ホーム > PC-Webzineアーカイブ > 【第1回】企業のIT製品の調達基準が変わる

【第1回】企業のIT製品の調達基準が変わる

【第1回】企業のIT製品の調達基準が変わる

2019年05月21日更新

第1回
企業のIT製品の調達が変わる
PCやプリンターも準拠が必要

防衛省は調達先の防衛関連企業に対して米国防総省の調達基準に合わせた情報保全策を義務付ける方針で、間もなく試行が開始される見込みだ。すでにアメリカでは連邦政府が防衛産業以外の全ての調達先にNISTガイドラインの準拠を要求しており、NISTガイドラインはサイバーセキュリティの事実上のグローバルスタンダードとなりそうだ。新しい調達基準は政府と取引する企業だけではなく、下請けや孫請けといったサプライチェーン全体に影響を及ぼす。しかも業務で使用するPCやプリンターなどの機器にも対応が求められ、企業のIT製品の調達基準も変わる。ここでは政府の新しい調達基準に採用されたNISTガイドラインの影響と対応について3回の連載で解説する。

政府の新しい調達基準に採用された
NISTガイドラインの影響と対応

経済や政治の戦場がサイバー空間へ

 事業を営む企業において日々の業務にネットワークを利用しない時間はないだろう。常にネットワークを通じてシステムや情報を利用したり得意先や顧客とつながったりしながら、業務や取引を進めているはずだ。このネットワークの先にあるサイバー空間の進展によりビジネスは大きな変革を遂げ、新たなビジネスを創造してきた。

 同時に社会にも変革をもたらし、日々の生活がより便利になるとともに、社会問題の解決にも活用が期待できるようになっている。このようにサイバー空間の利用はビジネスや趣味を超えて、国内外の経済や社会、政治にも及んでいる。

 日本HPの専務執行役員でパーソナルシステムズ事業統括を務める九嶋俊一氏は「サイバー空間は企業の成長や利益、地域や国の発展に貢献する一方で、サイバー空間を利用した犯罪が横行しています。サイバー空間での犯罪は攻撃者に大きなビジネスチャンスをもたらすため、被害が深刻化しているのです」と指摘する。

 従来の攻撃者は不特定多数のユーザーにマルウェアをばらまいてデータを消失させたり、PCの利用を妨害したり、サーバーに侵入してホームページを書き換えたりするなど金銭を目的とすることは少なかった。ところが昨今ではランサムウェアをはじめ仮想通貨の採掘など金銭を得る手段としてサイバー攻撃が利用されている。

 さらにこうした脅威の被害が個人や企業から社会や国家へと拡大している。九嶋氏は「例えばアメリカと中国の経済問題では武力行使ではなく通信機器やネットワークを通じた脅威が争点となっており、世界経済の覇権争いはサイバー空間で展開されていると言っても過言ではないのです」と説明する。
国内の全ての企業が影響を受ける

 サイバー空間での国家間の覇権争いが顕著化する中、国内でもサイバー空間での防衛が重要政策の一つであることを示す報道があった。それは防衛省が調達先の防衛関連企業にサイバーセキュリティ策定を義務付けるという内容で、その情報保全策に米国防総省相当の基準を採用するというものだ。

 報道された日本の新しい防衛調達基準の試行導入は2019年度から開始されるという。その対象となるのは防衛省と取引がある約9,000社だ。九嶋氏は「この政策は国内の多くの企業が影響を受けるでしょう。なぜなら防衛省と直接取引しているのは約9,000社ですが、その企業と取引している下請け、下請けと取引している孫請けというようにサプライチェーン全体が新しい調達基準を満たさなければならないからです。そして防衛調達に準じたセキュリティ対策は当然ほかの分野や領域に波及していきます。新しい防衛調達基準と同様のセキュリティ対策が防衛関連企業だけではなく、いずれは全ての産業、業種、そして中小企業、小規模事業者にも対応が求められるようになります」と説明する。

 政府が間もなく実施する新しい防衛調達基準の情報保全策に採用する米国防総省の基準とはどういうものなのか。それは米国国立標準技術研究所(NIST)が発行するサイバーセキュリティ標準の「SP800-171」と、米国政府のクラウド調達に関するセキュリティ基準である「FedRAMP」(Federal Risk and Authorization Management Program)だ。

 NISTのSP800シリーズはサイバーセキュリティフレームワークを構成するガイドライン群であり「組織」「ミッション・業務」「情報システム」などのさまざまなレベルのガイドラインを含む。国内で一般的な情報セキュリティマネジメントシステムの規格である「ISO/IEC 27001」では脅威の侵入前の特定や防御に対する対策をカバーしているのに対して、NISTのSP800シリーズでは侵入後の検知、対応、復旧もカバーしており、より厳格な対応が求められる。

日本HP 専務執行役員 パーソナルシステムズ事業統括 九嶋俊一 氏

PCにもSP800-171対応が必要

 米国防総省に納入する企業に求められるのは「SP800-171」というガイドラインだ。これは企業が管理すべき重要情報「CUI」(Controlled Unclassified Information)をどのように扱うのかを示したガイドラインで、すでにアメリカでは連邦政府が防衛産業以外の調達先にもSP800-171相当の対応を要求している。

 ただしSP800-171で示されているのは抽象的なガイドラインで、詳細な対策ではない。その具体的な対策が示されているがSP800-53だ。SP800-53では具体的な対策の詳細が示されているが、対策を講じる際にどのテクノロジーを利用するのかについては別のSP800の参照が示されている。

 なおFedRAMPについても「クラウドサービスの安全性評価に関する検討会」が設置され、全省庁が足並みをそろえつつ日本版FedRAMPに関する検討を進めているという。

 ところで連邦政府の規制はアメリカの企業のみではなく米国で事業を行う外国の企業にも及ぶ。各連邦規制当局はNIST SP800-171を参照して調達基準を設定しているため、アメリカの企業のみならずアメリカで事業を行う外国の企業やサプライチェーンに参加している企業にもSP 800-171への準拠が求められる。その結果、SP800シリーズはサイバーセキュリティの事実上のグローバルスタンダードだと言えよう。

 SP800シリーズによる調達基準の変化は国内でも身近なところから影響が出始めるという。九嶋氏は「SP800シリーズにはIT機器のセキュリティ機能についてのガイドラインも含まれており、サイバーセキュリティに関わる全ての機器にはSP800シリーズに準拠したセキュリティ機能や自己回復機能が求められます。それは業務で使用するPCやプリンターも含まれます」と指摘する。

 例えばSP800-147ではBIOSのアップデートについて、SP800-155ではBIOSの保護について、SP800-193では今後のPCへの攻撃の高度化に対応するために最も重要なファームウェア(BIOS)の自己回復について示されており、企業が使用するPCにも侵入前の対策機能だけではなく侵入後の回復までの対処機能が求められる。今後はNISTのSP800-171への対応を考慮していないPCやプリンターは使えなくなる可能性がある。

 九嶋氏は「日本HPが提供するPC製品は個人認証から盗難や紛失時、画面ののぞき見による情報漏えい対策機能、さらには業界で唯一、NIST SP800-193に準拠したBIOSを搭載しており、NIST SP800-171に対応する企業が必要とする機能をすでに数多く提供しています」とアピールする。新しい調達基準への対応には手元のPCから見直すことが第一歩となるだろう。

キーワードから記事を探す