企業はどのセキュリティガイドラインに準拠しているか?

掲載:2024年12月11日

執筆者:執行役員 兼 プリンシパルコンサルタント 内海 良

コラム

セキュリティ対策と一口に言っても、SIEMやEDR、脆弱性対応といった技術面での対策から、研修やメール訓練、サイバー演習といったスキル面での対策、さらにはCSIRTやPSIRTの構築・運営といったルール面での対策まで、多岐にわたります。

これらの対策を漏れなく実施するためには、セキュリティ関連の規格やガイドラインの活用が欠かせませんが、現在、国内外問わず、さまざまなセキュリティガイドラインが公表されています。セキュリティ担当の方であれば、どのガイドラインに準拠すれば良いのか、悩んだこともあるのではないでしょうか。

そこで各種ガイドラインの準拠の実態について、調査を実施しました。本コラムではその調査結果と考察をお届けします。

         

調査内容

今回の調査は、企業のセキュリティ担当者を対象に、現在どの規格・ガイドラインに準拠しているか、また今後どの規格・ガイドラインに準拠する予定かに焦点をあてて調査しました。

調査概要
調査方法:インターネット上でのアンケート調査
調査対象:企業の情報セキュリティ部門に所属する担当
有効回答数:144名
調査機関:翔泳社EnterpriseZine会員
調査期間:2024年9月20日~10月31日
【調査設問一覧】
設問 回答形式
Q1 現在、準拠済みのガイドラインや認証制度があれば教えてください。 複数選択
Q2 今後、準拠予定のガイドラインや認証制度があれば教えてください。 複数選択
Q3 NISTSP800-171について知っていましたか? 単一選択

企業はどのガイドラインに準拠しているか?

この設問では、国内外15の規格・ガイドラインを選択肢として設定しました。その結果が以下のグラフです。調査の結果、1位がISO27001、2位がプライバシーマーク、3位がサイバーセキュリティ経営ガイドラインとなりました。

Q1.現在、準拠済みのガイドラインや認証制度があれば教えてください。(複数回答)

ISO27001とプライバシーマークはいずれも認証制度として歴史が古く、政府や自治体の調達要件となることも多いガイドラインです。そのため日本においては政府や官公庁とビジネスを行う際の通行手形として位置付けられ、多くの企業が準拠(認証取得)しているのも頷けます。ちなみにISO27001の取得数が世界のなかで圧倒的に多いのは日本です。一方で、準拠者が一番多いISO27001でも、準拠しているのは全回答者数のうちの47%にとどまっていることも興味深いと言えます。

2位のプライバシーマークと同様、国内向けであるサイバーセキュリティ経営ガイドラインが3位という結果も特筆に値します。「サイバーセキュリティに国境はない」とよく言われるとおり、グローバルなガイドラインが多数存在するなかで、この国内向けガイドラインがランクインした理由を考えると、その特徴に着目できます。その名の通り、サイバーセキュリティ経営ガイドラインは経営陣に特化した利用用途になっています。国内向けであるにも関わらず、ここまで浸透していることを考えると、サイバーセキュリティ活動において、経営陣の理解が必要ということを表しているのではないでしょうか。

もう一つ注目したいのは、NIST CSF(Cybersecurity Framework)です。2024年2月にVer2.0が公表されたことを受け、今回の調査ではあえてバージョンを分けて調査を実施しました。その結果、Ver2.0に準拠している企業が旧バージョンを上回りました。わずか7ヶ月の間でこれだけ準拠した企業があるということは、セキュリティ感度が高い企業は、CSFに着目し、迅速にバージョンアップ対応を行なっていることがわかります。NIST CSF Ver2.0は、Ver1.0で全世界に定着したと言ってもよい、サイバー攻撃対応の考え方「識別」、「防御」、「検知」、「対応」、「復旧」をベースに、さらに「ガバナンス」の観点を加えた新たなサイバーセキュリティ対応の考え方を打ち出し、その実効性、有効性を高めています。

今後、企業はどのセキュリティガイドラインに準拠していくのか?

それでは、今後企業はどの規格・ガイドラインに準拠していきたいと考えているのでしょうか。
調査の結果、1位はNIST SP800-171となり、以下、ISO27001、サイバーセキュリティ経営ガイドライン、ISO27017、NIST CSF Ver2.0、防衛産業サイバーセキュリティ基準と続きます。

Q2.今後、準拠予定のガイドラインや認証制度があれば教えてください。(複数回答)

NIST SP800-171が1位という結果は、経済のブロック化を背景としてサプライチェーン全体で重要な情報を守るという経済情勢が影響しているものと推察できます。他のガイドラインと異なり、NIST SP800-171は対象となる組織全体のセキュリティの強化にも活用できますが、その本質は特定のデータである「CUI(Controlled Unclassified Information)」を保護することに特化している点にあります。CUIは機密ではない重要情報とも呼ばれ、その保護のためには、CUIを特定し、自組織はもちろん、委託先やベンダーなどサプライチェーン全体で守る仕組みがNIST SP800-171の特徴です。

また機密性に特化していることから、CUIを取り扱う領域の隔離(ネットワークのセグメンテーションなど)、データの暗号化といった対応が重視されています。サプライチェーンに起因したサイバー攻撃被害が頻発している現状では、これらの対策が求められる場面が増え、NIST SP800-171への準拠の必要性が一層高まっていると言えるでしょう。

ちなみに今回の調査では、NIST SP800-171を知っているかという質問もしていますが、知っている人は約半数の71名でした。

Q3.NIST SP800-171について知っていましたか?

NIST SP800-171を知っていると回答した人のうち、約3割が準拠を検討していることを踏まえると、今後、まだNIST SP800-171を知らない人たちにもその存在が浸透していくにつれて、準拠する企業数も増加していくことが想定されます。

またNIST CSF Ver2.0と並んで「防衛産業サイバーセキュリティ基準」も上位にランクインしています。この基準は防衛産業に携わる組織を対象としたガイドラインであり、NIST SP800-171をベースとしています。NIST SP800-171が求めるCUIを「保護すべき情報」と呼称し、防衛省が指定する「保護すべき情報」を、サプライチェーンを構成する企業全体で守る仕組みです。さらに、この防衛産業サイバーセキュリティ基準に準拠を予定している企業が多いという事実は、NIST SP800-171への関心が高まっていることを裏付けるものと考えられます。

まとめ

今回の調査結果として、規格・ガイドラインも業種・業態に特化したもの、経営層向けに策定されたもの、さらにはサプライチェーン全体でセキュリティを確保することを目的としたものなど、さまざまなセキュリティ規格・ガイドラインがあるなか、企業は自社に合うものを選択して規格・ガイドラインに準拠していると推察できます。

また、現在注目を集めているNIST SP800-171やNIST CSFなど、NIST系のガイドラインについては、今後さらに普及していく傾向にあると言えるでしょう。

これらの規格・ガイドラインは今取り組むべきセキュリティの課題が集約された叡智の結晶です。企業としては使わない手はありません。

ぜひ自社に相応しいものを選定し、セキュリティ向上に活用しましょう。

おすすめ記事