アメリカには、NIST(米国標準技術研究所)という1901年設立という歴史ある物理化学の研究所があります。その目的は物理化学の技術を改善していき生活の質を高めることです。
そして、NISTの研究分野には情報技術があり、情報セキュリティに関するガイドラインとしてNIST SP800-171「連邦政府外のシステムと組織における管理された非格付け情報の保護」を発行しています。そのガイドラインは、アメリカの政府と取引をする企業が守らなければいけないサイバーセキュリティの基準であり、絶対に漏れてはいけない国の機密情報を守るための要です。
日本でも防衛省との取引をする国内企業に対して、NIST SP800-171と同レベルの要件を2021年から課すことになっています。また、それ以外の場面でも同じことを求められることが増えることが予想されていますから、事業を幅広く展開する事を考えているならば早期に対応しておくほうが良いでしょう。
NISTのサイバーセキュリティフレームワーク(CSF)は、政府機関であるアメリカ国立標準技術研究所によって2014年に発行されたものです。
CSFの正式名称は、「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」であり、汎用的かつ体系的なフレームワークです。日本はもちろん、世界各国で重要視される存在として準拠が進められています。
CSFはサイバーセキュリティ対策の体系的なガイドラインであり、小規模から大規模なインフラまで網羅できます。ガイドラインSP 800シリーズにはセキュリティ管理の具体的な手法と手順が明記され、CSFの下位概念として整備されているのが特徴です。
SP 800-171はサプライチェーンのセキュリティ対策であり、アメリカ国防総省は相手の契約企業にこの準拠を求めています。NIST SP 800-171は相手企業からの情報漏洩を防ぐため、企業内の高いセキュリティ対策を定めた内容となっています。
日本もこの影響を受け、NIST SP 800-171と同程度まで情報セキュリティ基準を強化することを決定しているのが実状です。ASEANエリアや欧州においても同様の対応が進み、日本国内の各企業にも影響が及んでいるいるところです。