「NIST SP800-171」と同じ水準まで強化、「防衛産業サイバーセキュリティ基準」を整備 防衛装備庁

掲載:2022年04月07日

サイバー速報

         
目次

防衛装備庁は4月1日、防衛産業におけるサイバーセキュリティ体制の強化を目的に、従来よりも厳格な管理策を盛り込んだ「防衛産業サイバーセキュリティ基準」を整備したと発表しました。新基準の適用は2023年度の契約からで、最長5年間の移行期間が設けられています。

新基準は米国国立標準技術研究所(NIST)が2016年に発行したセキュリティガイドライン「NIST SP800-171」と同じ水準を調達先に求めます。NIST SP800-171は機密情報ではない重要情報(Controlled Unclassified Information)の適切な取り扱いを規定しています。

従来は情報セキュリティマネジメントシステムの国際規格ISO27001をもとに、主にサイバー攻撃を防止する対策を求めていましたが、新基準ではそれらに加えて攻撃を受けた後の対策までを要求事項に盛り込みました。サイバーセキュリティを特定・防御・検知・対応・復旧の5段階に分け、特定・防御と併せて検知・対応・復旧までの対策を求めます。具体的には、システムログや通信の監視および分析(検知)、不具合の修正・改善や被害の拡大防止(対応)、バックアップからのシステム再構成(復旧)などを要求事項に含め、従来の基準よりも項目数が大幅に増加します。

おすすめ記事