防衛産業におけるサイバーセキュリティ体制強化のため、防衛省は2022年4月1日に新たなサイバーセキュリティ基準である「防衛産業サイバーセキュリティ基準」を発表しました。
日本政府としては、防衛関連情報に対するセキュリティ対策の充実化だけでなく、サプライチェーン全体におけるセキュリティ状況の改善を実現したい思いがありそうです。
↑防衛省の新セキュリティ基準(目次)
【新セキュリティ基準の対象となる情報】
防衛関連企業において取り扱われる保護すべき情報
【新セキュリティ基準の概要】
アメリカの国防調達で利用されているガイドライン「NIST SP800-171」に則り、これまでのセキュリティ基準と比較し、検知・対応・復旧という施策がさらに必要となります。
↑新セキュリティ基準の変更イメージ(防衛省HPから引用)
【新セキュリティ基準の対象となる企業】
装備品等及び役務の調達に係る企業
※当該企業の下請業者も含む
【適用時期】
令和5年度(2023年度)の契約から適用
※最長5年間の移行期間が設けられているが、出来るだけ早期の導入が求めらている
【まとめ】
防衛省の新セキュリティ基準に対応するためには、まずは自社が遵守できていないルールを把握することが重要です。
さらに、全てのルールを一気に遵守するよう実現することはマンパワー・コスト的に現実的ではないため、優先度付けを行ったうえである程度の時間をかけて、防衛省の基準を達成することが求められます。
Kommentit