サイバー対策、米基準要求、防衛省、調達先9000社に-日本経済新聞 (2018年2月10日)

サイバー対策、米基準要求、防衛省、調達先9000社に-日本経済新聞 (2018-02-10)
昨日の日経新聞朝刊で、米国基準の包括的なサイバー防衛策を取引先に義務付けるとの報道がありました。昨日の日経新聞朝刊で、米国基準の包括的なサイバー防衛策を取引先に義務付けるとの報道がありました。その対象には戦闘機と戦車がそれぞれ約1000社が対象とあるように、かつ米国基準の実施状況からも、完成品メーカーだけでなく、その先のサプライヤーも対象になると思われます。具体的には、基準の実施を義務付けるとともに、その実施状況を質問票で回答させ、確認を行っていく方式が予想されます。そして、活動の中心はＩＴ部門になると思われますが、サプライヤーが絡むことで購買部門も無関与とはなりません。ただしどのくらいの業務負荷が購買部門に要求されるかは、今後の防衛省の検討に拠ると思われます。記事の概要と、先行する米国での実施状況(ロッキード・マーティン社事例)を以降に整理します。記事の概要は以下。・防衛省は米国基準の包括的なサイバー防衛策を取引企業に義務付ける方向である。　早ければ年内にも決定し、数年かけて企業に導入を義務付ける。・100項目超の対策を盛り込んだ基準遵守が、防衛産業に関連する企業に要請される。・将来的には、防衛産業だけではなく、インフラや自動車など幅広い産業に要請が拡大する見込み。・米国防総省は、技術的な要件だけでない広範なサイバー防衛策(NIST 800-171)への対応策を、期限を2017年末として関連企業に義務付けた。・これに準拠する防衛省のものも、システム面の対応に加え、社内の管理体制などを含んだ幅広いものとなる見込み。・対象となる関連企業は戦闘機と戦車がそれぞれ約1000社、護衛艦は約7000社。・米国は防衛産業以外にも基準を義務付ける方向で、鉄道、電力・ガスなどのインフラ産業、自動車、機械関連の産業に影響が及ぶと思われる。そして、ロッキード・マーティン社(LM)の実施事例は以下。・米国政府が作成した質問票(NIST 800-171)の110項目に加えて、業務委託先企業のExostar社の180項目の質問票への回答を、自社のサプライヤーに要求している。・回答は、Exostar社ののサイトからオンラインで行う。・サプライヤーは、質問項目に基いて、自己診断を行い、結果を報告する。・必要に応じて、LM社がサプライヤーのＩＴ統制や運用状況の確認確認を行う。・サイバー事故が発生した場合、あるいは政府基準非遵守事態が有った場合には、LM社と米国防省への申告をサプライヤーに義務付ける。参考) Supply Chain Cybersecurity-Lockheed Martin(参考になる包括的資料です) https://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/suppliers/2017-CybersecurityLandscape.pdf