プレスリリース

NIST SP800-171 要約版資料、

サプライチェーンセキュリティ対策ツールを無償提供開始

サプライチェーンのセキュリティ対策で遅れを取っている日本。各企業はただちに対応を

2019年7月1日

セキュリティ上の問題があるとして米国企業とファーウェイとの取引の事実上の禁止に至った「ファーフェイ問題」も記憶に新しいところ。
わずか十数年前にはセキュリティ対策と言えば“個人コンピューターからのウイルスファイル削除”が常識でしたが、もはやグループ会社や関連企業はもちろん、加えてサプライチェーン全体でのセキュリティ対策が必要となってい ます。

昨今のこのような状況を受け、ゾーホージャパン株式会社(代表取締役:迫 洋一郎、本社:横浜市)は、2019年7月1日、自社とサプライチェーンのセキュリティ対策にすぐ活用できる文書「NIST SP800-171の実践におけるヒント」および「業務委託契約書テンプレートと契約書別添セキュリティチェックシート」の無償提供を開始しました。

NIST発行の情報セキュリティ関連文書:
https://www.manageengine.jp/solutions/nist_publications/lp/index.html

サプライチェーンセキュリティ:
https://www.manageengine.jp/solutions/supply_chain_security/lp/index.html

■サプライチェーンのセキュリティ対策 海外の動き

2017年にはオーストラリア軍から F35戦闘機に関する情報を含むデータが流出、しかもサイバー犯罪者の侵入には 4ヶ月も気が付かなかったといいます。不正アクセスを受けたのは従業員50人規模の航空宇宙関連契約企業でした。

ウクライナでは2015年と2016年に産業用制御系システムがサイバー攻撃を受け、大規模停電が発生。エネルギー等の重要インフラ事業者に、セキュリティ対策が義務化されました(NIS Directive)。

米国は2016年にDFARS Clause252.204-7012を発行、「米国防衛省と取引をするすべての企業に対して、NIST SP800-171に準拠したITシステムの整備を要求」しています。

■ガイドライン NIST SP800-171とは

NIST SP800-171とは米国政府機関が定めたセキュリティ基準を示すガイドラインです。政府機関だけではなく、取引企業からの情報漏えいを防ぐため、業務委託先におけるセキュリティ強化を要求する内容になっています。

各国も米国に追従し NIST SP800-171が実質上の国際標準化

米国防省と取引をしている全世界の企業に対して NIST SP800-171 への準拠が要求されており、米国防省と取引をする企業はNIST SP800-171への対策は避けられません。

また、米国政府だけの取り組みにとどまらず主要国でも米国に追随する動きがはじまっています。

すなわち、NIST SP800-171に準拠しない企業とその製品やサービスは、グローバルサプライチェーンからはじき出されてしまうおそれがあるということです。

NIST SP800-171への対応 国内での進捗

日本政府は、防衛産業をハイレベルな産業サイバーセキュリティのモデルとすべく、防衛調達の新基準をNIST SP800-171と同等にすることを決定しました。新基準への準拠は下請けとなる中小企業も対象となっています。日本国内の各企業もNIST SP800-171への対応を免れる余地がないのは明らかです。

■あらゆる企業で活用できる「NIST SP800-171の実践におけるヒント」

ゾーホージャパン株式会社は「NIST SP800-171の実践におけるヒント」を作成し、提供することにしました。
無料でどなたでもダウンロードいただけます。

各企業ともにNIST SP800-171への対応が急務ですが、NIST SP800-171は全部で80ページにも及ぶ法的なドキュメントで、 一般の方がすぐ利用できるガイドラインの形にはなっていません。

参考:NIST SP800-171/情報処理推進機構 (IPA)

 

「NIST SP800-171の実践におけるヒント」は、企業や組織における“実践”に役立つ情報だけを抽出し、オリジナルの図解の解説も添えたNIST SP800-171の要約版です。

NIST SP800-171についての社内教育を実施する際のテキストとしてもご利用いただけます。

■業務委託先企業のセキュリティ対策はどのように管理するか

自社のセキュリティ対策よりも困難なのは、業務委託先企業にセキュリティ対策を“講じさせ”て、“守らせる”ことです。

独立行政法人 情報処理推進機構 (IPA)発行の「 情報セキュリティ10大脅威 2019」では「サプライチェーンの弱点を悪用した攻撃」が組織における脅威の第4位にランクインしています。

参考:情報セキュリティ10大脅威 2019/情報処理推進機構 (IPA)

 

サプライチェーンの大部分を担う業務委託先企業におけるセキュリティ対策が急務であることは言うまでもありません。

IPAが2019年4月に公開した「 IT サプライチェーンにおける情報セキュリティの責任範囲に関する調査」報告書によると、96.5%の委託元企業が責任範囲を明記する用途で「契約書」を活用しています。

また、業務委託先企業のセキュリティ対策を管理するには、契約関連文書のテンプレートの見直しが有効であることも示されています。

■業務委託契約書テンプレートと契約書別添セキュリティチェックシート

ゾーホージャパン株式会社では、ニュートン・コンサルティング株式会社の監修を受け、業務委託契約書テンプレートと契約書別添セキュリティチェックシートを作成し、無償ダウンロード提供を開始しました。

業務委託契約書テンプレートと契約書別添セキュリティチェックシートは、ニュートン・コンサルティング社のセキュリティコンサルティング経験に基づく知識および、経済産業省や各機関が公開した以下のような規約やガイドラインから、業務委託先企業のセキュリティ対策に必要な要素を抜き出して共通項としてまとめたものです。

業務委託先企業の管理にすぐに活用できるツールです。

ゾーホージャパン株式会社が無償提供する「NIST SP800-171の実践におけるヒント」および「業務委託契約書テンプレートと契約書別添セキュリティチェックシート」をすべての企業で活用していただき、サプライチェーン全体でのセキュリティ対策を完了されることを願っております。

 

ManageEngine について

ManageEngineは、ゾーホージャパン株式会社が提供するネットワークや IT サービス、セキュリティ、デスクトップ・ノート PC、ビジネスアプリケーションなどを管理する製品・サービス群です。必要十分な機能に限定、かつ、直感的な操作が可能な画面設計により、短期間での導入が可能であり、その後の運用フェーズにおいても手間がかからず、よりシンプルな IT 運用管理を実現します。

また、中堅・中小企業でも導入しやすいリーズナブルな価格で、これまで大手ITベンダーが提供する複雑で高額なツールを利用していた企業や、ツールを自社開発していた組織にも採用されてきました。現在では、日本国内の一般企業、官公庁や自治体などへ、5,000ライセンスを超える販売実績があり、安心して使える製品・サービスです。

最大で29言語に対応する製品・サービスは、北米、欧州をはじめ、南米、中東、アジアなど世界で18万社以上の企業や組織が導入し、企業・組織の IT 運用管理のシンプル化、グローバル化に貢献しています。

 

ゾーホージャパン株式会社について

ゾーホージャパン株式会社は、ワールドワイドで事業を展開するZoho Corporation Pvt. Ltd.(本社:インド タミル・ナドゥ州チェンナイ CEO:Sridhar Vembu)が開発/製造したネットワーク管理開発ツールや企業向けIT運用管理ソフトウェア、企業向けクラウドサービスを日本市場に提供すると同時に関連するサポート、コンサルティングなども提供しています。
企業向けIT運用管理ツール群「ManageEngine」は、世界18万社を超える顧客実績を誇り、国内でも販売本数を伸ばしています。「ManageEngine」は、ネットワーク管理のOEM市場でスタンダードとして認知されてきたネットワーク管理開発ツール「WebNMS」のノウハウや経験を生かして開発されたものです。
また、業務改善/生産性向上を支援する企業向けクラウドサービス群「Zoho」は、世界で4,500万人を超えるユーザーに利用されています。国内では「Zoho CRM」を中心にユーザー数を増やしており、40種類以上の業務アプリケーションを1セット利用できる「Zoho One」の提供も始まっています。

Zoho Corporation

 

お問い合わせ先

■報道関係からのお問い合わせ先: ゾーホージャパン株式会社 マーケティング部 
Mail: jp-memarketing@zohocorp.com TEL: 045-319-4613
■お客様からのお問い合わせ先: ゾーホージャパン株式会社 営業部
Mail: jp-mesales@zohocorp.com TEL: 045-319-4612
■ゾーホージャパンURL:http://www.zoho.co.jp/
■ManageEngine事業サイトURL:https://www.manageengine.jp/

※ 本資料に掲載されている製品、会社などの固有名詞は各社の商号、商標または登録商標です。®マーク、TMマークは省略しています。