NIST SP800-171要約版資料、サプライチェーンセキュリティ対策ツールを無償提供開始 サプライチェーンのセキュリティ対策で遅れを取っている日本。各企業はただちに対応を
- 2019年07月01日 10:00:00
- マネー
- Dream News
- コメント
2019年7月1日
ゾーホージャパン株会社 プレスリリース ZJMR190701101
報道関係者各位
セキュリティ上の問題があるとして米国企業とファーウェイとの取引の事実上の禁止に至った「ファーフェイ問題」も記憶に新しいところ。
わずか十数年前にはセキュリティ対策と言えば“個人コンピューターからのウイルスファイル削除”が常識でしたが、もはやグループ会社や関連企業はもちろん、加えてサプライチェーン全体でのセキュリティ対策が必要となっています。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage1】
昨今のこのような状況を受け、ゾーホージャパン株式会社(代表取締役:迫 洋一郎、本社:横浜市)は、2019年7月1日、自社とサプライチェーンのセキュリティ対策にすぐ活用できる文書「NIST SP800-171の実践におけるヒント」および「業務委託契約書テンプレートと契約書別添セキュリティチェックシート」の無償提供を開始しました。
NIST発行の情報セキュリティ関連文書:
https://www.manageengine.jp/solutions/nist_publications/lp/index.html
サプライチェーンセキュリティ:
https://www.manageengine.jp/solutions/supply_chain_security/lp/index.html
■サプライチェーンのセキュリティ対策 海外の動き
2017年にはオーストラリア軍からF35戦闘機に関する情報を含むデータが流出、しかもサイバー犯罪者の侵入には4ヶ月も気が付かなかったといいます。不正アクセスを受けたのは従業員50人規模の航空宇宙関連契約企業でした。
ウクライナでは2015年と2016年に産業用制御系システムがサイバー攻撃を受け、大規模停電が発生。エネルギー等の重要インフラ事業者に、セキュリティ対策が義務化されました(NIS Directive)。
米国は2016年にDFARS Clause252.204-7012を発行、「米国防衛省と取引をするすべての企業に対して、NIST SP800-171に準拠したITシステムの整備を要求」しています。
■ガイドラインNIST SP800-171とは
NIST SP800-171とは米国政府機関が定めたセキュリティ基準を示すガイドラインです。政府機関だけではなく、取引企業からの情報漏えいを防ぐため、業務委託先におけるセキュリティ強化を要求する内容になっています。
各国も米国に追従しNIST SP800-171が実質上の国際標準化
米国防省と取引をしている全世界の企業に対してNIST SP800-171への準拠が要求されており、米国防省と取引をする企業はNIST SP800-171への対策は避けられません。
また、米国政府だけの取り組みにとどまらず主要国でも米国に追随する動きがはじまっています。
すなわち、NIST SP800-171に準拠しない企業とその製品やサービスは、グローバルサプライチェーンからはじき出されてしまうおそれがあるということです。
NIST SP800-171への対応 国内での進捗
日本政府は、防衛産業をハイレベルな産業サイバーセキュリティのモデルとすべく、防衛調達の新基準をNIST SP800-171と同等にすることを決定しました。新基準への準拠は下請けとなる中小企業も対象となっています。
日本国内の各企業もNIST SP800-171への対応を免れる余地がないのは明らかです。
■あらゆる企業で活用できる「NIST SP800-171の実践におけるヒント」
ゾーホージャパン株式会社は「NIST SP800-171の実践におけるヒント」を作成し、提供することにしました。無料でどなたでもダウンロードいただけます。
各企業ともにNIST SP800-171への対応が急務ですが、NIST SP800-171は全部で80ページにも及ぶ法的なドキュメントで、一般の方がすぐ利用できるガイドラインの形にはなっていません。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage2】
参考:NIST SP800-171 /情報処理推進機構 (IPA)
https://www.ipa.go.jp/files/000057365.pdf
「NIST SP800-171の実践におけるヒント」は、企業や組織における“実践”に役立つ情報だけを抽出し、オリジナルの図解
の解説も添えたNIST SP800-171の要約版です。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage3】
NIST SP800-171についての社内教育を実施する際のテキストとしてもご利用いただけます。
■業務委託先企業のセキュリティ対策はどのように管理するか
自社のセキュリティ対策よりも困難なのは、業務委託先企業にセキュリティ対策を“講じさせ”て、“守らせる”ことです。
独立行政法人 情報処理推進機構 (IPA)発行の「情報セキュリティ10大脅威 2019」では「サプライチェーンの弱点を悪用した攻撃」が組織における脅威の第4位にランクインしています。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage4】
参考:情報セキュリティ10大脅威 2019/情報処理推進機構 (IPA)
https://www.ipa.go.jp/security/vuln/10threats2019.html
サプライチェーンの大部分を担う業務委託先企業におけるセキュリティ対策が急務であることは言うまでもありません。
IPAが2019年4月に公開した「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」報告書によると、96.5%の委託元企業が責任範囲を明記する用途で「契約書」を活用しています。
また、業務委託先企業のセキュリティ対策を管理するには、契約関連文書のテンプレートの見直しが有効であることも示されています。
■業務委託契約書テンプレートと契約書別添セキュリティチェックシート
ゾーホージャパン株式会社では、ニュートン・コンサルティング株式会社の監修を受け、業務委託契約書テンプレートと契約書別添セキュリティチェックシートを作成し、無償ダウンロード提供を開始しました。
業務委託契約書テンプレートと契約書別添セキュリティチェックシートは、ニュートン・コンサルティング社のセキュリティコンサルティング経験に基づく知識および、経済産業省や各機関が公開した以下のような規約やガイドラインから、業務委託先企業のセキュリティ対策に必要な要素を抜き出して共通項としてまとめたものです。
ーサイバーセキュリティ経営ガイドラインver2.0
https://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v2.0.pdf
ーJISQ15001:2017版 附属書A
ー重要インフラのサイバーセキュリティを改善するためのフレームワーク1.1版
https://www.ipa.go.jp/files/000071204.pdf
ーNIST SP800-171
https://www.ipa.go.jp/files/000057365.pdf
ーCIS Controls ver7
https://learn.cisecurity.org/control-download
ーISO27001 付属書A
ーISO27017 付属書A
ー中小企業の情報セキュリティ対策ガイドライン第3版
https://www.ipa.go.jp/files/000055520.pdf
ーPCI_DSS_v3.2
https://pcicompliance.stanford.edu/sites/g/files/sbiybj7706/f/pci_dss_v3-2.pdf
業務委託先企業の管理にすぐに活用できるツールです。
ゾーホージャパン株式会社が無償提供する「NIST SP800-171の実践におけるヒント」および「業務委託契約書テンプレートと契約書別添セキュリティチェックシート」をすべての企業で活用していただき、サプライチェーン全体でのセキュリティ対策を完了されることを願っております。
■ゾーホージャパン株式会社について
ゾーホージャパン株式会社は、ワールドワイドで事業を展開するZoho Corporation Pvt. Ltd.(本社:インド タミル・ナドゥ州チェンナイ CEO:Sridhar Vembu)が開発/製造したネットワーク管理開発ツールや企業向けIT運用管理ソフトウェア、企業向けクラウドサービスを日本市場に提供すると同時に関連するサポート、コンサルティングなども提供しています。
企業向けIT運用管理ツール群「ManageEngine」は、世界18万社を超える顧客実績を誇り、国内でも販売本数を伸ばしています。「ManageEngine」は、ネットワーク管理のOEM市場でスタンダードとして認知されてきたネットワーク管理開発ツール「WebNMS」のノウハウや経験を生かして開発されたものです。
また、業務改善/生産性向上を支援する企業向けクラウドサービス群「Zoho」は、世界で4,500万人を超えるユーザーに利用されています。国内では「Zoho CRM」を中心にユーザー数を増やしており、40種類以上の業務アプリケーションを1セットで利用できる「Zoho One」の提供も始まっています。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage5】
配信元企業:ゾーホージャパン株式会社
プレスリリース詳細へ
ドリームニューストップへ
Loading...
アクセスランキング
米米CLUB元メンバー死去 石井竜也「眉間に皺なんて見たことないくらい、いつもニコニコ…」
ドリカム吉田美和の20歳下夫、突如番組のカラオケ企画に登場し騒然!「一緒に朝ご飯を食べた」
【EL】神業ゴールの久保建英「監督が前に行けと。じゃあ最後だし行ってみようかなと思って」
西川のりお、松本人志に「キチッと」対応求める 盟友島田紳助さん引き合いに「モヤッとする」
NewJeans会見“007ほうふつ”極秘だった 当日に場所探し「5人の椅子だけ…」
Amazonブラックフライデー、iPad最大14%OFFで今季底値 Apple最大の掘り出し物が登場
NewJeans、29日夜の「Mステ」出演へ 所属事務所に専属契約の解除通知で世界が注目
岡村隆史、ミキを“酷評”したビートたけしの反応明かす「そのままスルー」
ソフトバンク、19分で100%充電の「Xiaomi 14T Pro」新CM公開 乃木坂46池田がキメ顔で「充電はっや!」
為末大氏 選挙のSNS運用問題めぐり私見「一人一アカウント、個人情報と紐付け」
フジ「ぽかぽか」で不適切発言が頻発、9月の高畑淳子に続き青学大・原晋監督も 局アナ謝罪対応
大谷翔平、5000万円相当の野球カード所有権返還を申し立て 元通訳の水原一平被告が無断購入
倖田來未が実名告白「エロかっこいい路線」に進ませた憧れの歌手「同じことしててもあかんなと」
22歳の大谷翔平、合コン出席も女子アナとの食事も否定、行ったことがあるのは…
猪口邦子参院議員宅の火災 2人死亡 夫・孝さんと長女か
ドリカム吉田美和の20歳下夫、突如番組のカラオケ企画に登場し騒然!「一緒に朝ご飯を食べた」
米米CLUB元メンバー死去 石井竜也「眉間に皺なんて見たことないくらい、いつもニコニコ…」
「くだらねえな」堀江貴文氏、斎藤知事巡る疑惑報じるマスコミに怒り「視聴率稼ぎの姑息な手段」
辻希美17歳長女希空、インスタでも顔出し「沢山のフォローありがとう」感謝つづる
元CAグラドル「赤ビキニ×バキバキ腹筋」最強コンボ「スゴすぎ血管キレそう」「世界一」
クロちゃんを騙した「レイちゃま(小林レイミ)」の現在が別人すぎると話題に
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!
“飛び降り配信”女子高生と交際のYouTuberピャスカルが大炎上「擁護できない」
前澤友作氏「全ての方向で法的措置を検討します」と警告
千鳥ノブ、突然の背中激痛で動けなくなり病院直行「診断名」明かす「3日ぐらい動けなかった」
「グラビア界の超新星」榎原依那がスケスケ悩殺Tシャツ姿公開「たまらん」「エロス」「血圧が」
元SPEED、新垣仁絵(40)の現在が衝撃的すぎると話題に
フジ「ぽかぽか」で不適切発言が頻発、9月の高畑淳子に続き青学大・原晋監督も 局アナ謝罪対応
Tips
おすすめ
米米CLUB元メンバー死去 石井竜也「眉間に皺なんて見たことないくらい、いつもニコニコ…」
ドリカム吉田美和の20歳下夫、突如番組のカラオケ企画に登場し騒然!「一緒に朝ご飯を食べた」
【EL】神業ゴールの久保建英「監督が前に行けと。じゃあ最後だし行ってみようかなと思って」
西川のりお、松本人志に「キチッと」対応求める 盟友島田紳助さん引き合いに「モヤッとする」
NewJeans会見“007ほうふつ”極秘だった 当日に場所探し「5人の椅子だけ…」
Amazonブラックフライデー、iPad最大14%OFFで今季底値 Apple最大の掘り出し物が登場
NewJeans、29日夜の「Mステ」出演へ 所属事務所に専属契約の解除通知で世界が注目
岡村隆史、ミキを“酷評”したビートたけしの反応明かす「そのままスルー」
ソフトバンク、19分で100%充電の「Xiaomi 14T Pro」新CM公開 乃木坂46池田がキメ顔で「充電はっや!」
為末大氏 選挙のSNS運用問題めぐり私見「一人一アカウント、個人情報と紐付け」