第4回:各国政府、厳しい調達基準 ブックマークが追加されました
企業のサイバーセキュリティー戦略策定において、経営陣としてどんな動きを押さえておく必要があるのだろうか。まず重要になってくるのが、各国の国家戦略に絡むサイバーセキュリティーの動向だ。サイバー空間は国の安全や経済と切っても切り離せない関係になっており、自国の経済・安全保障を名目にサイバー空間におけるルール形成と主導権の確保に積極的に取り組んでいるからだ。
最も分かりやすい取り組みの例が、米国での防衛品調達における「サイバーセキュリティー成熟度モデル認証(CMMC)」によるサプライチェーンの囲い込みである。CMMCは企業のサイバーセキュリティー管理体制のレベル(成熟度)を認証する制度で、国防総省が同省と取引のある全ての民間企業に求めている。
具体的には米国立標準技術研究所(NIST)が策定したサイバーセキュリティー基準「NIST SP 800-171」で定めた様々な要求事項を満たすかどうかで判断する。約30万社に影響が及ぶと試算されており、この水準を満たさない企業は防衛調達のサプライチェーンから締め出される可能性もある。
米国ではエネルギー省などでも同様の認証制度があり、発電所などのエネルギープラントでサイバーセキュリティーの不備によって大きな問題が起きないようにセキュリティー基準を設けている。
欧州でも欧州連合(EU)によってICT製品の安全性を認証するサイバーセキュリティー法が昨年施行された。欧州ネットワーク情報セキュリティー庁(ENISA)がその認証スキームの準備と調整を進めている。民間企業が認証を取得していない場合にサプライチェーンから締め出される可能性がある。
中国もインターネット安全法(中国サイバーセキュリティー法)を制定。システム障害や情報漏えいが発生した際に国家へ及ぼす影響度合いに応じて満たすべきセキュリティー水準と罰則が民間企業に科せられるようになった。
あらゆるモノがネットにつながるデジタル時代、こうしたルールは直接取引のある企業だけではなく、幅広い範囲に及ぶ。例えば、先の国防総省の基準は委託先や再委託先などにも求めている。「うちの会社は海外で事業展開していないので、諸外国のルールは知る必要はない」とは言ってはいられない時代になったといえる。
本稿は2020年12月16日に日経産業新聞に掲載された「戦略フォーサイト:DX時代のサイバー対策(5)各国政府、厳しい調達基準」を一部改訂したものです。
【シリーズ】DX時代のサイバー対策
>>第1回:サイバー対策は商品力や企業力に直結
>>第2回:外部環境の変化を読み解く
>>第3回:社内守るだけでは守れず
プロフェッショナル
Recommended for you
Opens_in_a_new_window
