セキュリティー基準を設けた理由
セキュリティー基準を設けた理由
NIST(米国標準技術研究所)は、米国政府機関の情報を守るために活動しています。アメリカの経済安全保障に加えて国民の生活質の向上、様々な技術と標準規定、測定などを通じて技術革新を促すことを目的にした米国商務省に属する研究機関であり、特に次世代通信網(スマートグリッド)やナノテクノロジー、ICチップや原子時計など他の先端分野や測定など技術情報に影響力を持ちます。
NISTがセキュリティ基準を設けた理由は、2017年に起きた不正アクセスでした。第5世代戦闘機F35の設計や製造に携わる航空宇宙産業の企業から30GB分に相当する情報が漏洩、その中には対潜哨戒機や輸送機、誘導爆弾に関連したものもありました。
直接的な情報漏えいは政府機関と契約したプライムベンダーが業務を委託した孫受けや曾孫受けであり、重要情報を扱っているにも関わらず、情報セキュリティ担当者が1人しかいませんでした。
機密情報ではありませんが、仕様書や実験データなどの重要情報漏洩を重くみたNISTは、関連企業すべてを対象とするSP800基準を作成しました。
日本での企業活動にも関わるNIST SP800-171
日本は加工貿易が盛んな国であり様々な製品が輸出されていますが、それらは同時に様々な国で使われるもので必ずしも良い方向に使われるものとは限りません。
一方で購入する側は安全に使うことができるものでなければならず、特に政府機関においてはそのセキュリティレベルは高いものが求められます。このようなセキュリティを担保するための仕組みとして、アメリカ政府が策定したものがNIST SP800-171です。
NIST SP800-171が定めるものはアメリカ政府機関が調達する製品に対して、セキュリティの基準を満たしていることが求められるものであり、これは防衛産業だけでなく幅広い分野に広がっています。
直接的に製品の販売を行うときにアメリカ政府と関わりがないように見えても、販売先からアメリカ政府に通ずるということはあり得ることで、この制度が民間に波及するということも十分に考えられますから、この基準を満たすことが今後の日本の製造業に求められる可能性があります。