防衛装備庁 防衛産業サイバーセキュリティ基準の強化について
こんにちは、丸山満彦です。
防衛装備庁が「防衛産業サイバーセキュリティ基準の強化について」を発表していますね。。。
令和5年度(2023年度)の契約から適用することになっていいますね。。。「システム換装等を考慮し一定の移行期間(最長5年間)を設定いたしますが、サイバー情勢も踏まえ、できるだけ早期の導入をお願いいたします。」とのことです。。。
防衛産業の育成が防衛力の強化につながる面もあるので、一定の距離感を持った防衛産業との協力体制というのが重要なんですが、そのあたりが十分に考慮されてのことだと良いのですけどね。。。
● 防衛装備庁
・2022.04.01 [PDF] 防衛産業サイバーセキュリティ基準の強化について
防衛産業サイバーセキュリティ基準の強化について
防衛省との契約企業におけるサイバーセキュリティ対策として「防衛産業サイバーセキュリティ基準」を新たに整備いたしました。
近年、国家の関与が疑われるサイバー攻撃が我が国産業に対して行われ、また、防衛産業において安全保障に影響を及ぼすおそれのあるデータが流出した可能性がある事案が発生するなど、サイバー攻撃のリスクは深刻化しています。
こうしたサイバー攻撃は、ネットワーク内部へ入り込む手段等が多様化・高度化していることを背景としており、防衛省の対策としては、先行する米国の取り組みを参考に、米国国防省が契約企業に義務付けている基準と同水準の管理策を盛り込んだ新たな情報セキュリティ基準(防衛産業サイバーセキュリティ基準)を制定することといたしました。
この新たな基準は、防衛省との契約に基づき保護すべき情報等を扱っている企業全てに適用されることとしており、速やかに関係企業において必要なサイバーセキュリティ対策が講じられるよう取り組んでまいります。
企業からの相談に対応するため、サイバーセキュリティに関する総合窓口を設置いたします。詳しくは、防衛装備庁公式ホームページ内「トピックス」に掲載しておりますのでご確認ください。
https://www.mod.go.jp/atla/cybersecurity.html
基準については、こちら・・・
・[PDF] 装備品等及び役務の調達における情報セキュリティの確保に関する特約条項
・[PDF] 装備品等及び役務の調達における情報セキュリティ基準 [Downloaded]
・[PDF] 秘密保全対策ガイドライン
装備品等及び役務の調達における情報セキュリティ基準とISO/IEC 27001との比較表があった方が良いですよね。。。
さて、、、、ISO/IEC 27001と米国国防省基準の比較の図がありますが、間違っていますね。。。(ISO/IEC 27001との対比表を作れば自然と訂正されるとは思いますが。。。)
誰が吹き込んで作ったんでしょうかね。。。
ISO/IEC 27001:2013が「検知」「対応」「復旧」が対応していないような図になっていますが、ありますよね。。。
NISTのCSFの資料を見れば明らかだと思います。。。(どこかのタイミングで訂正をしたほうが良いですね。。。)
● NIST -CYBERSECURITY FRAMEWORK - Framework Documents
・[xlsx] Framework V1.1 Core
● まるちゃんの情報セキュリティ気まぐれ日記
CMMC関係...
・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善
・2021.12.10 米国 CMMC Ver.2.0
・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0
・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています
・2020.05.01 Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・
・2020.04.19 COVID-19によりDODのサイバーセキュリティ認証(CMMC)の開始が遅れる?
・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)
・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0
« 米国 デジタル・ドルができる? H.R. 7231 電子通貨および安全なハードウェア(ECASH)法案 | Main | NATO CCDCOE タリンペーパー第13号:平時のサイバーアトリビューションに関する証明基準の開発 »
Comments
https://www.mod.go.jp/atla/cybersecurity.html
> ※ISO27001(International Organization for Standardization):情報セキュリティマネジメントの国際標準規格(発行:2006年)
これじゃCSF読んでないのも仕方ないかもしれませんね
Posted by: ms | 2022.04.05 10:04
msさん、コメントありがとうございます。
私も全てが正確に理解できているわけではないのは承知していますが、大きな点で不正確なまま、政策等を決めるというのは良くないように感じます。。。独自基準も良いのですが、国際標準とのリンクを必ずつけるようにしてくれると、既に国際標準を踏まえてセキュリティ対策をしている組織が助かるので良いのですけどね。。。これからの改善に期待していきましょう!!!
Posted by: maruyama | 2022.04.05 14:11