Posted: 15 Mar. 2021 3 min. read

第4回:各国政府、厳しい調達基準

シリーズ:DX時代のサイバー対策

企業のサイバーセキュリティー戦略策定において、経営陣としてどんな動きを押さえておく必要があるのだろうか。まず重要になってくるのが、各国の国家戦略に絡むサイバーセキュリティーの動向だ。サイバー空間は国の安全や経済と切っても切り離せない関係になっており、自国の経済・安全保障を名目にサイバー空間におけるルール形成と主導権の確保に積極的に取り組んでいるからだ。

 

最も分かりやすい取り組みの例が、米国での防衛品調達における「サイバーセキュリティー成熟度モデル認証(CMMC)」によるサプライチェーンの囲い込みである。CMMCは企業のサイバーセキュリティー管理体制のレベル(成熟度)を認証する制度で、国防総省が同省と取引のある全ての民間企業に求めている。

 

具体的には米国立標準技術研究所(NIST)が策定したサイバーセキュリティー基準「NIST SP 800-171」で定めた様々な要求事項を満たすかどうかで判断する。約30万社に影響が及ぶと試算されており、この水準を満たさない企業は防衛調達のサプライチェーンから締め出される可能性もある。

 

米国ではエネルギー省などでも同様の認証制度があり、発電所などのエネルギープラントでサイバーセキュリティーの不備によって大きな問題が起きないようにセキュリティー基準を設けている。

 

欧州でも欧州連合(EU)によってICT製品の安全性を認証するサイバーセキュリティー法が昨年施行された。欧州ネットワーク情報セキュリティー庁(ENISA)がその認証スキームの準備と調整を進めている。民間企業が認証を取得していない場合にサプライチェーンから締め出される可能性がある。

 

中国もインターネット安全法(中国サイバーセキュリティー法)を制定。システム障害や情報漏えいが発生した際に国家へ及ぼす影響度合いに応じて満たすべきセキュリティー水準と罰則が民間企業に科せられるようになった。

 

あらゆるモノがネットにつながるデジタル時代、こうしたルールは直接取引のある企業だけではなく、幅広い範囲に及ぶ。例えば、先の国防総省の基準は委託先や再委託先などにも求めている。「うちの会社は海外で事業展開していないので、諸外国のルールは知る必要はない」とは言ってはいられない時代になったといえる。

※クリックかタップで拡大画像をご覧いただけます

本稿は2020年12月16日に日経産業新聞に掲載された「戦略フォーサイト:DX時代のサイバー対策(5)各国政府、厳しい調達基準」を一部改訂したものです。

D-NNOVATIONスペシャルサイト

社会課題の解決に向けたプロフェッショナルたちの物語や視点を発信しています

プロフェッショナル

北町 任/Takashi Kitamachi

北町 任/Takashi Kitamachi

デロイト トーマツ グループ マネジャー

デロイト トーマツ サイバー合同会社所属。会計系の大手コンサルティング会社を経て現職。製造業を中心に、取引先を含めたサプライチェーン全体のサイバーセキュリティー戦略や製品セキュリティー戦略の策定などに従事。