政府、防衛関連企業に米国サイバー防衛基準を適用へ、サプライヤーにも自己診断が及ぶ可能性-日本経済新聞 (2019年3月14日)

政府、防衛関連企業に米国サイバー防衛基準を適用へ、サプライヤーにも自己診断が及ぶ可能性-日本経済新聞 (2019-03-14)
3月14日の日本経済新聞は、日本政府が防衛関連企業に対し、米国サイバー防衛基準「NIST　SP800―171」遵守を2020年度から義務付ける方向であることを報じています。米国サイバー防衛基準「NIST　SP800―171」は情報へのアクセス制限や通信の監視、記憶媒体の保管方法など約100項目からなるもの(概要は、下記のIt's購買系ブログ記事参照)で、まず1～2社で試行し、遵守計画の提出を行わせた後、防衛省と直接契約を結ぶ約300社程度に展開するとしています。加えて、「政府に直接計画を提出しないものの、下請け企業も同水準の対応が求められる可能性がある。」と、サプライヤーへの買い手企業自主調査の可能性も匂わせるものとなっています。事実、米国ではロッキード・マーティンがサプライヤーに自己診断(Self-assessment)をさせており、おそらくは同等の方式が必要になるのではないかと想定されます。参考) サプライチェーン・サイバーセキュリティ～取引先へのサイバーセキュリティ調査はどうなりそうか-It's購買系ブログ http://www.itscobuy.com/blog/?p=575