NIST SP800-171要約版資料、サプライチェーンセキュリティ対策ツールを無償提供開始 サプライチェーンのセキュリティ対策で遅れを取っている日本。各企業はただちに対応を
- 2019年07月01日 10:00:00
- マネー
- Dream News
- コメント
2019年7月1日
ゾーホージャパン株会社 プレスリリース ZJMR190701101
報道関係者各位
セキュリティ上の問題があるとして米国企業とファーウェイとの取引の事実上の禁止に至った「ファーフェイ問題」も記憶に新しいところ。
わずか十数年前にはセキュリティ対策と言えば“個人コンピューターからのウイルスファイル削除”が常識でしたが、もはやグループ会社や関連企業はもちろん、加えてサプライチェーン全体でのセキュリティ対策が必要となっています。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage1】
昨今のこのような状況を受け、ゾーホージャパン株式会社(代表取締役:迫 洋一郎、本社:横浜市)は、2019年7月1日、自社とサプライチェーンのセキュリティ対策にすぐ活用できる文書「NIST SP800-171の実践におけるヒント」および「業務委託契約書テンプレートと契約書別添セキュリティチェックシート」の無償提供を開始しました。
NIST発行の情報セキュリティ関連文書:
https://www.manageengine.jp/solutions/nist_publications/lp/index.html
サプライチェーンセキュリティ:
https://www.manageengine.jp/solutions/supply_chain_security/lp/index.html
■サプライチェーンのセキュリティ対策 海外の動き
2017年にはオーストラリア軍からF35戦闘機に関する情報を含むデータが流出、しかもサイバー犯罪者の侵入には4ヶ月も気が付かなかったといいます。不正アクセスを受けたのは従業員50人規模の航空宇宙関連契約企業でした。
ウクライナでは2015年と2016年に産業用制御系システムがサイバー攻撃を受け、大規模停電が発生。エネルギー等の重要インフラ事業者に、セキュリティ対策が義務化されました(NIS Directive)。
米国は2016年にDFARS Clause252.204-7012を発行、「米国防衛省と取引をするすべての企業に対して、NIST SP800-171に準拠したITシステムの整備を要求」しています。
■ガイドラインNIST SP800-171とは
NIST SP800-171とは米国政府機関が定めたセキュリティ基準を示すガイドラインです。政府機関だけではなく、取引企業からの情報漏えいを防ぐため、業務委託先におけるセキュリティ強化を要求する内容になっています。
各国も米国に追従しNIST SP800-171が実質上の国際標準化
米国防省と取引をしている全世界の企業に対してNIST SP800-171への準拠が要求されており、米国防省と取引をする企業はNIST SP800-171への対策は避けられません。
また、米国政府だけの取り組みにとどまらず主要国でも米国に追随する動きがはじまっています。
すなわち、NIST SP800-171に準拠しない企業とその製品やサービスは、グローバルサプライチェーンからはじき出されてしまうおそれがあるということです。
NIST SP800-171への対応 国内での進捗
日本政府は、防衛産業をハイレベルな産業サイバーセキュリティのモデルとすべく、防衛調達の新基準をNIST SP800-171と同等にすることを決定しました。新基準への準拠は下請けとなる中小企業も対象となっています。
日本国内の各企業もNIST SP800-171への対応を免れる余地がないのは明らかです。
■あらゆる企業で活用できる「NIST SP800-171の実践におけるヒント」
ゾーホージャパン株式会社は「NIST SP800-171の実践におけるヒント」を作成し、提供することにしました。無料でどなたでもダウンロードいただけます。
各企業ともにNIST SP800-171への対応が急務ですが、NIST SP800-171は全部で80ページにも及ぶ法的なドキュメントで、一般の方がすぐ利用できるガイドラインの形にはなっていません。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage2】
参考:NIST SP800-171 /情報処理推進機構 (IPA)
https://www.ipa.go.jp/files/000057365.pdf
「NIST SP800-171の実践におけるヒント」は、企業や組織における“実践”に役立つ情報だけを抽出し、オリジナルの図解
の解説も添えたNIST SP800-171の要約版です。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage3】
NIST SP800-171についての社内教育を実施する際のテキストとしてもご利用いただけます。
■業務委託先企業のセキュリティ対策はどのように管理するか
自社のセキュリティ対策よりも困難なのは、業務委託先企業にセキュリティ対策を“講じさせ”て、“守らせる”ことです。
独立行政法人 情報処理推進機構 (IPA)発行の「情報セキュリティ10大脅威 2019」では「サプライチェーンの弱点を悪用した攻撃」が組織における脅威の第4位にランクインしています。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage4】
参考:情報セキュリティ10大脅威 2019/情報処理推進機構 (IPA)
https://www.ipa.go.jp/security/vuln/10threats2019.html
サプライチェーンの大部分を担う業務委託先企業におけるセキュリティ対策が急務であることは言うまでもありません。
IPAが2019年4月に公開した「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」報告書によると、96.5%の委託元企業が責任範囲を明記する用途で「契約書」を活用しています。
また、業務委託先企業のセキュリティ対策を管理するには、契約関連文書のテンプレートの見直しが有効であることも示されています。
■業務委託契約書テンプレートと契約書別添セキュリティチェックシート
ゾーホージャパン株式会社では、ニュートン・コンサルティング株式会社の監修を受け、業務委託契約書テンプレートと契約書別添セキュリティチェックシートを作成し、無償ダウンロード提供を開始しました。
業務委託契約書テンプレートと契約書別添セキュリティチェックシートは、ニュートン・コンサルティング社のセキュリティコンサルティング経験に基づく知識および、経済産業省や各機関が公開した以下のような規約やガイドラインから、業務委託先企業のセキュリティ対策に必要な要素を抜き出して共通項としてまとめたものです。
ーサイバーセキュリティ経営ガイドラインver2.0
https://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v2.0.pdf
ーJISQ15001:2017版 附属書A
ー重要インフラのサイバーセキュリティを改善するためのフレームワーク1.1版
https://www.ipa.go.jp/files/000071204.pdf
ーNIST SP800-171
https://www.ipa.go.jp/files/000057365.pdf
ーCIS Controls ver7
https://learn.cisecurity.org/control-download
ーISO27001 付属書A
ーISO27017 付属書A
ー中小企業の情報セキュリティ対策ガイドライン第3版
https://www.ipa.go.jp/files/000055520.pdf
ーPCI_DSS_v3.2
https://pcicompliance.stanford.edu/sites/g/files/sbiybj7706/f/pci_dss_v3-2.pdf
業務委託先企業の管理にすぐに活用できるツールです。
ゾーホージャパン株式会社が無償提供する「NIST SP800-171の実践におけるヒント」および「業務委託契約書テンプレートと契約書別添セキュリティチェックシート」をすべての企業で活用していただき、サプライチェーン全体でのセキュリティ対策を完了されることを願っております。
■ゾーホージャパン株式会社について
ゾーホージャパン株式会社は、ワールドワイドで事業を展開するZoho Corporation Pvt. Ltd.(本社:インド タミル・ナドゥ州チェンナイ CEO:Sridhar Vembu)が開発/製造したネットワーク管理開発ツールや企業向けIT運用管理ソフトウェア、企業向けクラウドサービスを日本市場に提供すると同時に関連するサポート、コンサルティングなども提供しています。
企業向けIT運用管理ツール群「ManageEngine」は、世界18万社を超える顧客実績を誇り、国内でも販売本数を伸ばしています。「ManageEngine」は、ネットワーク管理のOEM市場でスタンダードとして認知されてきたネットワーク管理開発ツール「WebNMS」のノウハウや経験を生かして開発されたものです。
また、業務改善/生産性向上を支援する企業向けクラウドサービス群「Zoho」は、世界で4,500万人を超えるユーザーに利用されています。国内では「Zoho CRM」を中心にユーザー数を増やしており、40種類以上の業務アプリケーションを1セットで利用できる「Zoho One」の提供も始まっています。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage5】
配信元企業:ゾーホージャパン株式会社
プレスリリース詳細へ
ドリームニューストップへ
Loading...
アクセスランキング
九州北部 10日明け方~夕方 「線状降水帯」発生のおそれ
嘉門タツオ、破門された落語の舞台出演に感無量「何とも言えませんな…」天満天神繁昌亭でパフォ
フランス代表DFラングレ、バルサと契約解除で合意決定 3年契約でアトレチコ加入へ
FRUITS ZIPPERが迷惑行為に警告「厳しく対応」前日イベントで観覧者もみ合う動画拡散
ヒカル「0日婚」新妻とのデートショット公開に反響「普通にラブラブ」「お似合い」
エティハド航空、アブダビ〜シドニー線にエアバスA350-1000型機を投入
リーダーは「地」の利を得よ!
安田大サーカスのクロちゃん、まさかの場所で…斬新すぎる食事風景披露「ちゃぷちゃぷしながら」
Rちゃんプロデュース「Riu」が東京・南青山にてポップアップを開催♡
気象学者の増田善信さん死去 101歳 「黒い雨」範囲見直し調査
長嶋一茂、「家族としてお許しいただきたいけれど…」妹・三奈さんらとの病室での会話明かす
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」
小倉優子、不自然な“二重ライン”にネット騒然「やっぱり整形?」
松山千春が告白、超大物投手の葬式で弔辞を読まされた過去「嫌だったんだろうな」推察
藤本美貴、夫・庄司智春がしていたら「結婚しなかったと思う」“習慣”を発表
元NMBの上西怜さんが着こなすランジェリー、“あざとカワイイ”ビジュアル大量公開!
武田鉄矢、昨年死去した大物俳優をライバル視していた「1人だけ、ライバルと思った人がいた」
あのちゃん実名告白「めんどくさい芸能人」が台本と違いスタジオ騒然
西田ひかる「なんとかならなかったのかな」コンビニ備蓄米視察で小泉農相「大きなうねり」発言に
父が再婚の丸山隆平(36)現在の家族関係がとんでもないことになっていたと話題に
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」
多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!
ガーシー、佐野ひなこの暴露を示唆でネット騒然「ファンだったのに」
【おすすめアニメ50選】完結済み!定番から最新作まで!
「名探偵コナン」最大の謎、蘭姉ちゃんのあの角の正体がついに判明
浜崎あゆみ、バスト丸見えの投稿にネット騒然「巨乳すぎて不自然」
小澤征悦と再婚した桑子真帆アナ(34)黒い過去が流出、衝撃の過去にネット騒然
長嶋一茂、「家族としてお許しいただきたいけれど…」妹・三奈さんらとの病室での会話明かす
Tips
おすすめ
九州北部 10日明け方~夕方 「線状降水帯」発生のおそれ
嘉門タツオ、破門された落語の舞台出演に感無量「何とも言えませんな…」天満天神繁昌亭でパフォ
NY外為:BTC続伸、米長期金利低下を好感
フランス代表DFラングレ、バルサと契約解除で合意決定 3年契約でアトレチコ加入へ
NY外為:ドル軟調、米5月NY連銀インフレ期待率が低下
FRUITS ZIPPERが迷惑行為に警告「厳しく対応」前日イベントで観覧者もみ合う動画拡散
ヒカル「0日婚」新妻とのデートショット公開に反響「普通にラブラブ」「お似合い」
エティハド航空、アブダビ〜シドニー線にエアバスA350-1000型機を投入
リーダーは「地」の利を得よ!
安田大サーカスのクロちゃん、まさかの場所で…斬新すぎる食事風景披露「ちゃぷちゃぷしながら」