これまでお伝えしたことを整理し、「私達が備えるべきこと」を、考えてみましょう。
第1は、「米・国防総省または連邦政府の仕事を受けようと考えている方」は、CMMCレベル1を、まずはクリアすることです。
その上で、「CUIを扱う可能性がある」ならば、CMMCレベル3クリアを目標にすべきです。これはなかなかハードルが高いかもしれません。
そして、米国の仕事はともかく、日本国内の政府系の仕事をしようと考えている方には、現在明確に出されているクリアすべき基準はありませんが、自己宣言型を含め様々なガイドラインが出されています。
もちろん、防衛省と「保護すべき情報」を扱う契約を交わすためには、「防衛省情報セキュリティ基準」ないしは、これから策定される「新基準」をクリアできる体制が必要です。
>防衛関連企業における情報セキュリティ確保について(防衛省ホームページ)
- 「調達における情報セキュリティ基準」(現行)
- 装備品等及び役務の調達に係る企業において当該調達に係る保護すべき情報の適切な管理を目指し、防衛省として求める対策を定めるものであり、当該企業は、情報セキュリティ対策を本基準に則り実施するものとする。
私達の見解としては、航空宇宙・防衛産業に関わろうとする事業者は、まず【IPA 25項目とCMMCレベル1を組み合わせた基準を、最低限クリアしておくことが必要】と考えています。
その上で、今やグローバルスタンダードになりつつあるNIST SP 800-171と同程度と宣言されている防衛省の「新基準」も見据えて、CMMCレベル3を目標に、いつ要求されても良いように備えておくことが重要であると考えています。
さらに政府系以外、民間航空機や自動車製造の業界にも、同等の基準で重要な情報を守る動きが出ています。米国では、医薬品などライフサイエンスの業界で、すでにNIST SP800-171の適用が始まっています。
下図は、日米の基準の相関関係を図にしたものです。
この後ご紹介するセルフチェック機能は、左端のIPA 25項目とCMMCレベル1をミックスした設問としており、皆様がまずはクリアすべきレベルと考えています。その上で、今後「保護すべき情報/CUI」を扱うために必要となる各レベルの全体像への知識を深め、自社が目標とすべき対策を具体的に定めることでステップアップを図るというご提案をいたします。
そうした方針が決まったら、「情報セキュリティ実施要領書」として文書化します。いろいろなひな型も公開されていますので、参考にしてください。
>IPA 中小企業の情報セキュリティ対策ガイドラインから「情報セキュリティ関連規程(サンプル)(全51ページ、word文書、179KB)」などをダウンロードして活用できます。
その中でも、CMMCレベル3を目標にした場合、我が国のほとんどの事業者でまだ対応出来ていないと考えられる主な対策が、「データ管理のクラウド利用」「データ暗号化対策」「個人認証の適用」などです。これらについては、今後ひとつづつ対策を実践しながら、徐々にセキュリティに強い体制を作ってゆけば良いと考えます。
そして、実施要領書や具体的な対策が決まったら、社員に周知徹底するための教育や研修を行うことも大切です。昨今のテレワークの普及にあわせて、e-learningで行うことも良いでしょう。
【参考】
日米の規格に対して、英国の「Cyber Essentials」や豪州の「Essential Eight」は同等の基本的なサイバーセキュリティー対策を、大小を問わずすべての企業に対して遵守することを要求(あるいは、義務付け)しています。
