政府調達

コンプライアンス

企業防衛の要!NIST SP800-171でセキュリティ強化

- NIST SP800-171とはNIST SP800-171は、アメリカ合衆国の国立標準技術研究所(NIST)が発行しているセキュリティガイドラインの一つです。このガイドラインは、政府機関以外の組織が、アメリカ合衆国政府の機密情報を取り扱う際に、守るべきセキュリティ対策について、包括的に定めたものです。具体的には、情報システムのアクセス制御や、データの暗号化、従業員へのセキュリティ教育など、多岐にわたる対策が求められます。近年、日本では、防衛装備品の調達において、セキュリティの重要性が高まっています。そのため、防衛省では、調達基準にNIST SP800-171を反映させる動きが進んでいます。これは、防衛装備品に関する機密情報が、安全に保護される体制を構築することを目的としています。NIST SP800-171への対応は、防衛産業に関わる企業だけでなく、サプライチェーン全体に求められます。情報漏えいなどのリスクを軽減し、信頼性を確保するためにも、組織全体でセキュリティ対策に取り組むことが重要です。
セキュリティ強化

セキュリティ・バイ・デザイン:安全なシステム開発のために

- セキュリティ・バイ・デザインとは 情報システムやソフトウェア、製品などを開発する際、従来の手法では、セキュリティ対策は開発の最終段階や、場合によっては運用開始後に後から付け足しで行われることが少なくありませんでした。しかし、このような後付けのセキュリティ対策には、いくつかの問題点があります。 例えば、開発の後期になって重大なセキュリティ上の欠陥が見つかった場合、設計を大幅に見直す必要が生じ、多大な時間とコストがかかってしまう可能性があります。また、機能とセキュリティ対策がうまく統合されず、使いにくいシステムになってしまうこともあります。 そこで重要になるのが「セキュリティ・バイ・デザイン」という考え方です。セキュリティ・バイ・デザインとは、開発の初期段階からセキュリティを考慮し、システム設計にセキュリティ対策を組み込んでいくという考え方です。 具体的には、開発の要件定義の段階からセキュリティを考慮し、設計、実装、テスト、運用、保守の各段階においても、セキュリティ対策をしっかりと織り込んでいく必要があります。 セキュリティ・バイ・デザインは、後付けでセキュリティ対策をするよりも、安全なシステムを効率的に開発できるだけでなく、開発後のセキュリティリスクを低減できるというメリットもあります。
クラウド

政府機関が利用するクラウドサービスの安全性を確保するISMAPとは

- ISMAPとはISMAPは、「情報システムのセキュリティ管理及び評価プログラム」の略称で、国の機関が利用するクラウドサービスの安全性を評価し、登録する制度です。この制度は、政府が推進するクラウドサービスの利用促進と、安全性の確保の両立を目的としています。国の機関は、原則としてこのISMAPに登録されたクラウドサービスの中から、利用するサービスを選ぶことになっています。 ISMAPに登録されるためには、クラウドサービスを提供する事業者は、セキュリティに関する様々な管理策を実施していることを、第三者機関の審査によって証明する必要があります。 審査項目には、データの保管場所やアクセス制御、情報漏えい対策など、多岐にわたる項目が含まれており、厳しい基準をクリアする必要があります。ISMAPへの登録は、利用者である国の機関にとって、クラウドサービスの安全性を客観的に判断する基準となります。 また、クラウドサービスを提供する事業者にとっても、政府機関に対して、自社のサービスの信頼性を示す重要な指標となります。ISMAPは、クラウドサービスの利用が拡大する中で、安全性を確保するための重要な制度として、今後もその役割が期待されています。
クラウド

政府機関も利用するクラウドサービスの安全性確保のための制度~ISMAPの概要~

近年、多くの組織にとって、情報をインターネット上のサーバーで管理するクラウドサービスは欠かせないものとなってきています。場所を選ばずにデータにアクセスできる利便性の高さがある一方、その仕組みにより情報漏洩などの危険性も高まっているのが現状です。そこで、国は2018年6月に各府省や地方自治団体がクラウドサービスを安全に利用するための指針となる「政府情報システムのためのセキュリティ評価制度」を策定しました。これがISMAP、つまり「イスマップ」と呼ばれるものです。 ISMAPは、政府機関がクラウドサービスを導入する際に、サービスを提供する事業者のセキュリティ対策が十分であるかを評価し、その結果を踏まえて適切なサービスを選択できるようにするための制度です。具体的には、クラウドサービス事業者は、ISMAPの基準に基づいて自社のセキュリティ対策を評価し、その結果を証明する「セキュリティ評価認証」を取得する必要があります。そして、政府機関は、ISMAPの認証を取得した事業者のサービスの中から、自機関のセキュリティ要件に合致したものを選んで導入することになります。この仕組みにより、政府機関は、より安全なクラウドサービスを利用できるようになり、国民の貴重な情報を守ることができます。 ISMAPは、政府機関におけるクラウドサービスの利用を促進し、国民へのサービス向上につながらることが期待されています。