NIST SP800-171要約版資料、サプライチェーンセキュリティ対策ツールを無償提供開始 サプライチェーンのセキュリティ対策で遅れを取っている日本。各企業はただちに対応を
[19/07/01]
提供元:DreamNews
提供元:DreamNews
2019年7月1日
ゾーホージャパン株会社 プレスリリース ZJMR190701101
報道関係者各位
セキュリティ上の問題があるとして米国企業とファーウェイとの取引の事実上の禁止に至った「ファーフェイ問題」も記憶に新しいところ。
わずか十数年前にはセキュリティ対策と言えば“個人コンピューターからのウイルスファイル削除”が常識でしたが、もはやグループ会社や関連企業はもちろん、加えてサプライチェーン全体でのセキュリティ対策が必要となっています。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage1】
昨今のこのような状況を受け、ゾーホージャパン株式会社(代表取締役:迫 洋一郎、本社:横浜市)は、2019年7月1日、自社とサプライチェーンのセキュリティ対策にすぐ活用できる文書「NIST SP800-171の実践におけるヒント」および「業務委託契約書テンプレートと契約書別添セキュリティチェックシート」の無償提供を開始しました。
NIST発行の情報セキュリティ関連文書:
https://www.manageengine.jp/solutions/nist_publications/lp/index.html
サプライチェーンセキュリティ:
https://www.manageengine.jp/solutions/supply_chain_security/lp/index.html
■サプライチェーンのセキュリティ対策 海外の動き
2017年にはオーストラリア軍からF35戦闘機に関する情報を含むデータが流出、しかもサイバー犯罪者の侵入には4ヶ月も気が付かなかったといいます。不正アクセスを受けたのは従業員50人規模の航空宇宙関連契約企業でした。
ウクライナでは2015年と2016年に産業用制御系システムがサイバー攻撃を受け、大規模停電が発生。エネルギー等の重要インフラ事業者に、セキュリティ対策が義務化されました(NIS Directive)。
米国は2016年にDFARS Clause252.204-7012を発行、「米国防衛省と取引をするすべての企業に対して、NIST SP800-171に準拠したITシステムの整備を要求」しています。
■ガイドラインNIST SP800-171とは
NIST SP800-171とは米国政府機関が定めたセキュリティ基準を示すガイドラインです。政府機関だけではなく、取引企業からの情報漏えいを防ぐため、業務委託先におけるセキュリティ強化を要求する内容になっています。
各国も米国に追従しNIST SP800-171が実質上の国際標準化
米国防省と取引をしている全世界の企業に対してNIST SP800-171への準拠が要求されており、米国防省と取引をする企業はNIST SP800-171への対策は避けられません。
また、米国政府だけの取り組みにとどまらず主要国でも米国に追随する動きがはじまっています。
すなわち、NIST SP800-171に準拠しない企業とその製品やサービスは、グローバルサプライチェーンからはじき出されてしまうおそれがあるということです。
NIST SP800-171への対応 国内での進捗
日本政府は、防衛産業をハイレベルな産業サイバーセキュリティのモデルとすべく、防衛調達の新基準をNIST SP800-171と同等にすることを決定しました。新基準への準拠は下請けとなる中小企業も対象となっています。
日本国内の各企業もNIST SP800-171への対応を免れる余地がないのは明らかです。
■あらゆる企業で活用できる「NIST SP800-171の実践におけるヒント」
ゾーホージャパン株式会社は「NIST SP800-171の実践におけるヒント」を作成し、提供することにしました。無料でどなたでもダウンロードいただけます。
各企業ともにNIST SP800-171への対応が急務ですが、NIST SP800-171は全部で80ページにも及ぶ法的なドキュメントで、一般の方がすぐ利用できるガイドラインの形にはなっていません。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage2】
参考:NIST SP800-171 /情報処理推進機構 (IPA)
https://www.ipa.go.jp/files/000057365.pdf
「NIST SP800-171の実践におけるヒント」は、企業や組織における“実践”に役立つ情報だけを抽出し、オリジナルの図解
の解説も添えたNIST SP800-171の要約版です。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage3】
NIST SP800-171についての社内教育を実施する際のテキストとしてもご利用いただけます。
■業務委託先企業のセキュリティ対策はどのように管理するか
自社のセキュリティ対策よりも困難なのは、業務委託先企業にセキュリティ対策を“講じさせ”て、“守らせる”ことです。
独立行政法人 情報処理推進機構 (IPA)発行の「情報セキュリティ10大脅威 2019」では「サプライチェーンの弱点を悪用した攻撃」が組織における脅威の第4位にランクインしています。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage4】
参考:情報セキュリティ10大脅威 2019/情報処理推進機構 (IPA)
https://www.ipa.go.jp/security/vuln/10threats2019.html
サプライチェーンの大部分を担う業務委託先企業におけるセキュリティ対策が急務であることは言うまでもありません。
IPAが2019年4月に公開した「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」報告書によると、96.5%の委託元企業が責任範囲を明記する用途で「契約書」を活用しています。
また、業務委託先企業のセキュリティ対策を管理するには、契約関連文書のテンプレートの見直しが有効であることも示されています。
■業務委託契約書テンプレートと契約書別添セキュリティチェックシート
ゾーホージャパン株式会社では、ニュートン・コンサルティング株式会社の監修を受け、業務委託契約書テンプレートと契約書別添セキュリティチェックシートを作成し、無償ダウンロード提供を開始しました。
業務委託契約書テンプレートと契約書別添セキュリティチェックシートは、ニュートン・コンサルティング社のセキュリティコンサルティング経験に基づく知識および、経済産業省や各機関が公開した以下のような規約やガイドラインから、業務委託先企業のセキュリティ対策に必要な要素を抜き出して共通項としてまとめたものです。
ーサイバーセキュリティ経営ガイドラインver2.0
https://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v2.0.pdf
ーJISQ15001:2017版 附属書A
ー重要インフラのサイバーセキュリティを改善するためのフレームワーク1.1版
https://www.ipa.go.jp/files/000071204.pdf
ーNIST SP800-171
https://www.ipa.go.jp/files/000057365.pdf
ーCIS Controls ver7
https://learn.cisecurity.org/control-download
ーISO27001 付属書A
ーISO27017 付属書A
ー中小企業の情報セキュリティ対策ガイドライン第3版
https://www.ipa.go.jp/files/000055520.pdf
ーPCI_DSS_v3.2
https://pcicompliance.stanford.edu/sites/g/files/sbiybj7706/f/pci_dss_v3-2.pdf
業務委託先企業の管理にすぐに活用できるツールです。
ゾーホージャパン株式会社が無償提供する「NIST SP800-171の実践におけるヒント」および「業務委託契約書テンプレートと契約書別添セキュリティチェックシート」をすべての企業で活用していただき、サプライチェーン全体でのセキュリティ対策を完了されることを願っております。
■ゾーホージャパン株式会社について
ゾーホージャパン株式会社は、ワールドワイドで事業を展開するZoho Corporation Pvt. Ltd.(本社:インド タミル・ナドゥ州チェンナイ CEO:Sridhar Vembu)が開発/製造したネットワーク管理開発ツールや企業向けIT運用管理ソフトウェア、企業向けクラウドサービスを日本市場に提供すると同時に関連するサポート、コンサルティングなども提供しています。
企業向けIT運用管理ツール群「ManageEngine」は、世界18万社を超える顧客実績を誇り、国内でも販売本数を伸ばしています。「ManageEngine」は、ネットワーク管理のOEM市場でスタンダードとして認知されてきたネットワーク管理開発ツール「WebNMS」のノウハウや経験を生かして開発されたものです。
また、業務改善/生産性向上を支援する企業向けクラウドサービス群「Zoho」は、世界で4,500万人を超えるユーザーに利用されています。国内では「Zoho CRM」を中心にユーザー数を増やしており、40種類以上の業務アプリケーションを1セットで利用できる「Zoho One」の提供も始まっています。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage5】
配信元企業:ゾーホージャパン株式会社
プレスリリース詳細へ
ドリームニューストップへ
ゾーホージャパン株会社 プレスリリース ZJMR190701101
報道関係者各位
セキュリティ上の問題があるとして米国企業とファーウェイとの取引の事実上の禁止に至った「ファーフェイ問題」も記憶に新しいところ。
わずか十数年前にはセキュリティ対策と言えば“個人コンピューターからのウイルスファイル削除”が常識でしたが、もはやグループ会社や関連企業はもちろん、加えてサプライチェーン全体でのセキュリティ対策が必要となっています。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage1】
昨今のこのような状況を受け、ゾーホージャパン株式会社(代表取締役:迫 洋一郎、本社:横浜市)は、2019年7月1日、自社とサプライチェーンのセキュリティ対策にすぐ活用できる文書「NIST SP800-171の実践におけるヒント」および「業務委託契約書テンプレートと契約書別添セキュリティチェックシート」の無償提供を開始しました。
NIST発行の情報セキュリティ関連文書:
https://www.manageengine.jp/solutions/nist_publications/lp/index.html
サプライチェーンセキュリティ:
https://www.manageengine.jp/solutions/supply_chain_security/lp/index.html
■サプライチェーンのセキュリティ対策 海外の動き
2017年にはオーストラリア軍からF35戦闘機に関する情報を含むデータが流出、しかもサイバー犯罪者の侵入には4ヶ月も気が付かなかったといいます。不正アクセスを受けたのは従業員50人規模の航空宇宙関連契約企業でした。
ウクライナでは2015年と2016年に産業用制御系システムがサイバー攻撃を受け、大規模停電が発生。エネルギー等の重要インフラ事業者に、セキュリティ対策が義務化されました(NIS Directive)。
米国は2016年にDFARS Clause252.204-7012を発行、「米国防衛省と取引をするすべての企業に対して、NIST SP800-171に準拠したITシステムの整備を要求」しています。
■ガイドラインNIST SP800-171とは
NIST SP800-171とは米国政府機関が定めたセキュリティ基準を示すガイドラインです。政府機関だけではなく、取引企業からの情報漏えいを防ぐため、業務委託先におけるセキュリティ強化を要求する内容になっています。
各国も米国に追従しNIST SP800-171が実質上の国際標準化
米国防省と取引をしている全世界の企業に対してNIST SP800-171への準拠が要求されており、米国防省と取引をする企業はNIST SP800-171への対策は避けられません。
また、米国政府だけの取り組みにとどまらず主要国でも米国に追随する動きがはじまっています。
すなわち、NIST SP800-171に準拠しない企業とその製品やサービスは、グローバルサプライチェーンからはじき出されてしまうおそれがあるということです。
NIST SP800-171への対応 国内での進捗
日本政府は、防衛産業をハイレベルな産業サイバーセキュリティのモデルとすべく、防衛調達の新基準をNIST SP800-171と同等にすることを決定しました。新基準への準拠は下請けとなる中小企業も対象となっています。
日本国内の各企業もNIST SP800-171への対応を免れる余地がないのは明らかです。
■あらゆる企業で活用できる「NIST SP800-171の実践におけるヒント」
ゾーホージャパン株式会社は「NIST SP800-171の実践におけるヒント」を作成し、提供することにしました。無料でどなたでもダウンロードいただけます。
各企業ともにNIST SP800-171への対応が急務ですが、NIST SP800-171は全部で80ページにも及ぶ法的なドキュメントで、一般の方がすぐ利用できるガイドラインの形にはなっていません。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage2】
参考:NIST SP800-171 /情報処理推進機構 (IPA)
https://www.ipa.go.jp/files/000057365.pdf
「NIST SP800-171の実践におけるヒント」は、企業や組織における“実践”に役立つ情報だけを抽出し、オリジナルの図解
の解説も添えたNIST SP800-171の要約版です。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage3】
NIST SP800-171についての社内教育を実施する際のテキストとしてもご利用いただけます。
■業務委託先企業のセキュリティ対策はどのように管理するか
自社のセキュリティ対策よりも困難なのは、業務委託先企業にセキュリティ対策を“講じさせ”て、“守らせる”ことです。
独立行政法人 情報処理推進機構 (IPA)発行の「情報セキュリティ10大脅威 2019」では「サプライチェーンの弱点を悪用した攻撃」が組織における脅威の第4位にランクインしています。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage4】
参考:情報セキュリティ10大脅威 2019/情報処理推進機構 (IPA)
https://www.ipa.go.jp/security/vuln/10threats2019.html
サプライチェーンの大部分を担う業務委託先企業におけるセキュリティ対策が急務であることは言うまでもありません。
IPAが2019年4月に公開した「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」報告書によると、96.5%の委託元企業が責任範囲を明記する用途で「契約書」を活用しています。
また、業務委託先企業のセキュリティ対策を管理するには、契約関連文書のテンプレートの見直しが有効であることも示されています。
■業務委託契約書テンプレートと契約書別添セキュリティチェックシート
ゾーホージャパン株式会社では、ニュートン・コンサルティング株式会社の監修を受け、業務委託契約書テンプレートと契約書別添セキュリティチェックシートを作成し、無償ダウンロード提供を開始しました。
業務委託契約書テンプレートと契約書別添セキュリティチェックシートは、ニュートン・コンサルティング社のセキュリティコンサルティング経験に基づく知識および、経済産業省や各機関が公開した以下のような規約やガイドラインから、業務委託先企業のセキュリティ対策に必要な要素を抜き出して共通項としてまとめたものです。
ーサイバーセキュリティ経営ガイドラインver2.0
https://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v2.0.pdf
ーJISQ15001:2017版 附属書A
ー重要インフラのサイバーセキュリティを改善するためのフレームワーク1.1版
https://www.ipa.go.jp/files/000071204.pdf
ーNIST SP800-171
https://www.ipa.go.jp/files/000057365.pdf
ーCIS Controls ver7
https://learn.cisecurity.org/control-download
ーISO27001 付属書A
ーISO27017 付属書A
ー中小企業の情報セキュリティ対策ガイドライン第3版
https://www.ipa.go.jp/files/000055520.pdf
ーPCI_DSS_v3.2
https://pcicompliance.stanford.edu/sites/g/files/sbiybj7706/f/pci_dss_v3-2.pdf
業務委託先企業の管理にすぐに活用できるツールです。
ゾーホージャパン株式会社が無償提供する「NIST SP800-171の実践におけるヒント」および「業務委託契約書テンプレートと契約書別添セキュリティチェックシート」をすべての企業で活用していただき、サプライチェーン全体でのセキュリティ対策を完了されることを願っております。
■ゾーホージャパン株式会社について
ゾーホージャパン株式会社は、ワールドワイドで事業を展開するZoho Corporation Pvt. Ltd.(本社:インド タミル・ナドゥ州チェンナイ CEO:Sridhar Vembu)が開発/製造したネットワーク管理開発ツールや企業向けIT運用管理ソフトウェア、企業向けクラウドサービスを日本市場に提供すると同時に関連するサポート、コンサルティングなども提供しています。
企業向けIT運用管理ツール群「ManageEngine」は、世界18万社を超える顧客実績を誇り、国内でも販売本数を伸ばしています。「ManageEngine」は、ネットワーク管理のOEM市場でスタンダードとして認知されてきたネットワーク管理開発ツール「WebNMS」のノウハウや経験を生かして開発されたものです。
また、業務改善/生産性向上を支援する企業向けクラウドサービス群「Zoho」は、世界で4,500万人を超えるユーザーに利用されています。国内では「Zoho CRM」を中心にユーザー数を増やしており、40種類以上の業務アプリケーションを1セットで利用できる「Zoho One」の提供も始まっています。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000196729&id=bodyimage5】
配信元企業:ゾーホージャパン株式会社
プレスリリース詳細へ
ドリームニューストップへ