《TOPIC》
【セキュリティのさじ:情報セキュリティに関する最近の話題をピックアップし掘り下げます】
●11月25日の、インドとイスラエルが接近という記事が目にとまりました。従来あまり関係性がない(非同盟諸国のリーダを目指すインド、米国べったりのイスラエル)と思われていた両国は、なぜこのタイミングで接近したのでしょう。
接近の裏には中国の影や米国の動きがあるとの説もありますが、実際はよくわかりません。ただ、両国ともIT分野で強力であること(民需分野でのインド、軍事分野でのイスラエル)を考えると、なかなか興味深い接近とも思われます。
近年、イスラエルの軍事面でのIT技術が民需にも拡大している中、サイバー空間への悪用が危惧され米国で禁輸措置が取られるという記事や、米国がイスラエルと中国の接近に懸念を示しているとの記事もあり、インド・イスラエル両国の接近は単なるビジネスの拡大や新たな技術的なブレークスルーを目指すだけでなく、安全保障的な思惑もあるのかもしれません。
| 参考 | インド・イスラエル接近、来年FTA視野 ITや防衛で協力 | :日経新聞 11/25 |
| 米、イスラエル企業に禁輸 スパイウェア販売で | :日経新聞 11/4 | |
| 国の要人狙うスパイウェア、iPhone盗聴の可能性も | :日経新聞 9/14 | |
| イスラエルと中国の急接近にいらだつ米国 | :産経新聞 12/17 |
●経済安全保障は岸田内閣政策の大きな柱のひとつとのことですので、その観点とともにサイバー関連記事に目を通すことも多くなりました。
政策上、どうしても無視できないのは中国の動きと米国の反応です。米・ソ冷戦時代は、「安全保障」といえば軍事に焦点があたっていたと思います(経済ではソ連は問題にならず)。
一方で現代の米中間では、軍事だけでなく経済においても競争が激化し、対立・競合する場面が拡大してきた結果、日本としても経済を安全保障の視点から見た政策を推進する必要性が高まり、各種の法整備や官・民連携要請の最近の動きに繋がっているようにみえます。
サイバーセキュリティ分野でもその動きに連動してか、重要インフラやサプライチェーンの安全確保のため、重要インフラ事業者に対しての「サイバー防衛の義務化」の要請や、国(NISC)の定期的な点検などを定めた行動計画を策定中で、2022年度から適用との記事も出ており、今後も注視していく必要があると思われます。
| 参考 | データこそ経済安全保障の要 中国の政策変化に目配りを | :日経新聞 11/23 |
| サイバー事故調、国会に設置を | :日経新聞 11/27 | |
| サイバーセキュリティ「産業界の対策支援」 経産省ら | :日経新聞 11/29 | |
| [サイバー部隊、22年度に増員] 防衛相が講演 | :日経新聞 11/30 | |
| 重要インフラ、企業にサイバー防衛義務化 22年度から | :日経新聞 12/20 | |
| 米中の経済安全保障戦略(編集者:村山裕三) | :芙蓉書房出版 |
【NIS-Be最新情報:更新情報、活動報告、海外最新情報等】
- サイト最新情報
6月1日にリニューアルしたNIS-Beサイトは、順次内容の充実を図っています。最近では
やはりCMMCに関する情報が多く、「CMMC関連イベント情報カレンダー」には、12月になって毎日のように開催されているイベント情報が登録されています。
NIS-Be 情報共有会員サイト | NIS-Be 情報共有サイト(会員専用)
- ※記事の詳細はNIS-Beサイトを参照ください。
| CMMC 2.0に関する6つの誤解を論破する | SecurityBoulevard11/29 |
| 多くの防衛関連企業はCMMC要件の遵守に苦労する | NextGov 12/ 3 |
| CMMC-ABのCEOがCMMC 2.0についてコメント | FCW 12/ 3 |
| 米の会計検査院「CMMCに関しDoDは産業界とのコミュニケーション改善が必要」と報告 | NextGov 12/ 9 |
| 米の2022年国防授権法の中で、CMMCでの産業界とのコミュニケーション改善を要求 | FedScoop 12/15 |
| 米国の上院国家安全保障委員会がFedRAMPの関連法案を承認し上院に送付 | FedScoop 12/16 |
| CMMC-AB理事会の新会長にJeff Dalton | FedScoop 12/20 |
【コラム:発表されたCMMC 2.0の内容と注視すべき動向】
筆者:土橋 俊夫
CMMC 2.0の概要が発表され早2ヶ月が過ぎました。12月3日付けでその内容の一部がホームページに公開され、引き続きアセスメントに関する詳細な内容も順次公表されています(12月10日にはレベル1の詳細、12月16日にはレベル2の詳細が発表されました)。
発表されたCMMC 2.0の内容と注視すべき動向について以下に報告します。
請負業者や下請け業者に要求されるCMMCのレベルは、募集要項やRFI(Requests for Information)で指定され、CMMC 2.0では、情報を保護するというプログラムの当初の目標を維持しながら、次のことを行うとされています。
結果として、我々がCMMC1.0に対して危惧していた「認証対象の数が多すぎて現実的ではない」という課題が大きく改善されたと思われます。しかしながら今回の発表後の様子を見ていると、認証に関して様々な意見が提示され、発表直後にホームページの差替えが行なわれるなど、関係部門間における検討・調整が不十分であったことが・・・・・・・
以降は、NIS-Be通信 | NIS-Be 情報共有会員サイト (aviation.jp)をご覧ください。
【One TERM(用語解説)】
- その1
先月号(第14号)において「セキュリティのさじ」や「NIS-Beサイト最新情報」等でCMMC 2.0に関する記事を数多く掲載しましたが、当コーナーでも今後、CMMC 2.0について特集を組んでいきます。
その第一段として、DoDの発表当初にネット等で話題になった用語の差し替え(TriannualからTriennial)に関する話題を取り上げます。
【TriannualとTriennial】(筆者:齋藤 隆)
最近CMMCがVersion 1.0から2.0にアップデートされたことは皆様ご承知の通りです。DoDがCMMC 2.0を発表した際には、1回公開された内容が直後に削除されるなどちょっとしたドラマがありました。今は落ち着いてきているようですが、ネット上に掲載されている情報を見ると「アレッ?」と思うことが・・・・・・・
以降は、NIS-Be通信 | NIS-Be 情報共有会員サイト (aviation.jp)をご覧ください。
--------------------------------------------------------------------------------------------------
【編集後記】
あけましておめでとうございます。2022年が皆様にとって、幸多い年になることをお祈りしております。当通信は引き続き、皆様のお役に立てる情報をタイムリーに提供していく予定ですので、変わらぬご愛読をお願い申し上げます。
話は変わりますが、筆者は昨年末に、幾人かで久しぶりにリアルな会合および飲み会(当然マスク、ソーシャルディスタンス・換気確保など実施)に参加しました。オンライン会合は日常(確かに便利)になり、オンライン飲み会にも何度か参加していましたが、リアルに集まることはオンラインにはない「議論の深まり」や「楽しさ」があると痛感しました。
改めて今年こそはコロナ渦が全世界で落ち着いて、公私共に通常の活動が出来るような年になってもらいたいと願っております。
(佃)
