2019年07月01日 10:00

NIST SP800-171要約版資料、サプライチェーンセキュリティ対策ツールを無償提供開始 サプライチェーンのセキュリティ対策で遅れを取っている日本。各企業はただちに対応を

  • このエントリーをはてなブックマークに追加
2019年7月1日
ゾーホージャパン株会社 プレスリリース ZJMR190701101
報道関係者各位

セキュリティ上の問題があるとして米国企業とファーウェイとの取引の事実上の禁止に至った「ファーフェイ問題」も記憶に新しいところ。
わずか十数年前にはセキュリティ対策と言えば“個人コンピューターからのウイルスファイル削除”が常識でしたが、もはやグループ会社や関連企業はもちろん、加えてサプライチェーン全体でのセキュリティ対策が必要となっています。
昨今のこのような状況を受け、ゾーホージャパン株式会社(代表取締役:迫 洋一郎、本社:横浜市)は、2019年7月1日、自社とサプライチェーンのセキュリティ対策にすぐ活用できる文書「NIST SP800-171の実践におけるヒント」および「業務委託契約書テンプレートと契約書別添セキュリティチェックシート」の無償提供を開始しました。

NIST発行の情報セキュリティ関連文書:
https://www.manageengine.jp/solutions/nist_publications/lp/index.html

サプライチェーンセキュリティ:
https://www.manageengine.jp/solutions/supply_chain_security/lp/index.html

■サプライチェーンのセキュリティ対策 海外の動き
2017年にはオーストラリア軍からF35戦闘機に関する情報を含むデータが流出、しかもサイバー犯罪者の侵入には4ヶ月も気が付かなかったといいます。不正アクセスを受けたのは従業員50人規模の航空宇宙関連契約企業でした。
ウクライナでは2015年と2016年に産業用制御系システムがサイバー攻撃を受け、大規模停電が発生。エネルギー等の重要インフラ事業者に、セキュリティ対策が義務化されました(NIS Directive)。
米国は2016年にDFARS Clause252.204-7012を発行、「米国防衛省と取引をするすべての企業に対して、NIST SP800-171に準拠したITシステムの整備を要求」しています。

■ガイドラインNIST SP800-171とは
NIST SP800-171とは米国政府機関が定めたセキュリティ基準を示すガイドラインです。政府機関だけではなく、取引企業からの情報漏えいを防ぐため、業務委託先におけるセキュリティ強化を要求する内容になっています。

各国も米国に追従しNIST SP800-171が実質上の国際標準化
米国防省と取引をしている全世界の企業に対してNIST SP800-171への準拠が要求されており、米国防省と取引をする企業はNIST SP800-171への対策は避けられません。
また、米国政府だけの取り組みにとどまらず主要国でも米国に追随する動きがはじまっています。
すなわち、NIST SP800-171に準拠しない企業とその製品やサービスは、グローバルサプライチェーンからはじき出されてしまうおそれがあるということです。

NIST SP800-171への対応 国内での進捗
日本政府は、防衛産業をハイレベルな産業サイバーセキュリティのモデルとすべく、防衛調達の新基準をNIST SP800-171と同等にすることを決定しました。新基準への準拠は下請けとなる中小企業も対象となっています。
日本国内の各企業もNIST SP800-171への対応を免れる余地がないのは明らかです。

■あらゆる企業で活用できる「NIST SP800-171の実践におけるヒント」
ゾーホージャパン株式会社は「NIST SP800-171の実践におけるヒント」を作成し、提供することにしました。無料でどなたでもダウンロードいただけます。
各企業ともにNIST SP800-171への対応が急務ですが、NIST SP800-171は全部で80ページにも及ぶ法的なドキュメントで、一般の方がすぐ利用できるガイドラインの形にはなっていません。
参考:NIST SP800-171 /情報処理推進機構 (IPA)
https://www.ipa.go.jp/files/000057365.pdf

「NIST SP800-171の実践におけるヒント」は、企業や組織における“実践”に役立つ情報だけを抽出し、オリジナルの図解
の解説も添えたNIST SP800-171の要約版です。
NIST SP800-171についての社内教育を実施する際のテキストとしてもご利用いただけます。

■業務委託先企業のセキュリティ対策はどのように管理するか
自社のセキュリティ対策よりも困難なのは、業務委託先企業にセキュリティ対策を“講じさせ”て、“守らせる”ことです。
独立行政法人 情報処理推進機構 (IPA)発行の「情報セキュリティ10大脅威 2019」では「サプライチェーンの弱点を悪用した攻撃」が組織における脅威の第4位にランクインしています。
参考:情報セキュリティ10大脅威 2019/情報処理推進機構 (IPA)
https://www.ipa.go.jp/security/vuln/10threats2019.html

サプライチェーンの大部分を担う業務委託先企業におけるセキュリティ対策が急務であることは言うまでもありません。

IPAが2019年4月に公開した「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」報告書によると、96.5%の委託元企業が責任範囲を明記する用途で「契約書」を活用しています。
また、業務委託先企業のセキュリティ対策を管理するには、契約関連文書のテンプレートの見直しが有効であることも示されています。

■業務委託契約書テンプレートと契約書別添セキュリティチェックシート
ゾーホージャパン株式会社では、ニュートン・コンサルティング株式会社の監修を受け、業務委託契約書テンプレートと契約書別添セキュリティチェックシートを作成し、無償ダウンロード提供を開始しました。
業務委託契約書テンプレートと契約書別添セキュリティチェックシートは、ニュートン・コンサルティング社のセキュリティコンサルティング経験に基づく知識および、経済産業省や各機関が公開した以下のような規約やガイドラインから、業務委託先企業のセキュリティ対策に必要な要素を抜き出して共通項としてまとめたものです。

ーサイバーセキュリティ経営ガイドラインver2.0
https://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v2.0.pdf

ーJISQ15001:2017版 附属書A

ー重要インフラのサイバーセキュリティを改善するためのフレームワーク1.1版
https://www.ipa.go.jp/files/000071204.pdf

ーNIST SP800-171
https://www.ipa.go.jp/files/000057365.pdf

ーCIS Controls ver7
https://learn.cisecurity.org/control-download

ーISO27001 付属書A

ーISO27017 付属書A

ー中小企業の情報セキュリティ対策ガイドライン第3版
https://www.ipa.go.jp/files/000055520.pdf

ーPCI_DSS_v3.2
https://pcicompliance.stanford.edu/sites/g/files/sbiybj7706/f/pci_dss_v3-2.pdf

業務委託先企業の管理にすぐに活用できるツールです。

ゾーホージャパン株式会社が無償提供する「NIST SP800-171の実践におけるヒント」および「業務委託契約書テンプレートと契約書別添セキュリティチェックシート」をすべての企業で活用していただき、サプライチェーン全体でのセキュリティ対策を完了されることを願っております。

■ゾーホージャパン株式会社について
ゾーホージャパン株式会社は、ワールドワイドで事業を展開するZoho Corporation Pvt. Ltd.(本社:インド タミル・ナドゥ州チェンナイ CEO:Sridhar Vembu)が開発/製造したネットワーク管理開発ツールや企業向けIT運用管理ソフトウェア、企業向けクラウドサービスを日本市場に提供すると同時に関連するサポート、コンサルティングなども提供しています。
企業向けIT運用管理ツール群「ManageEngine」は、世界18万社を超える顧客実績を誇り、国内でも販売本数を伸ばしています。「ManageEngine」は、ネットワーク管理のOEM市場でスタンダードとして認知されてきたネットワーク管理開発ツール「WebNMS」のノウハウや経験を生かして開発されたものです。
また、業務改善/生産性向上を支援する企業向けクラウドサービス群「Zoho」は、世界で4,500万人を超えるユーザーに利用されています。国内では「Zoho CRM」を中心にユーザー数を増やしており、40種類以上の業務アプリケーションを1セットで利用できる「Zoho One」の提供も始まっています。

※記載内容(リンク先を含む)のサービスや表現の適法性について、ドリームニュースでは関知しておらず確認しておりません。

  • IT、通信、コンピュータ技術

会社概要

ゾーホージャパン株式会社
商号
ゾーホージャパン株式会社(ゾーホージャパンカブシキガイシャ)
代表者
迫 洋一郎(サコ ヨウイチロウ)
所在地
〒220-0012
神奈川県横浜市西区みなとみらい三丁目6番1号 みなとみらいセンタービル13階
TEL
045-319-4613
業種
ソフトウエア
上場先
未上場
従業員数
500名未満
会社HP
http://www.manageengine.jp/
公式ブログ
http://blogs.manageengine.jp/
  • 公式twitter
  • 公式facebook

運営会社 プライバシーポリシー情報削除ガイドラインサイトのご利用についてサイトマップお問い合わせ

© 2007-2024 GlobalIndex Co.,Ltd. All Rights Reserved.