装備品等及び役務の調達における情報セキュリティ基準と
SP800-171とJIS Q 27001:2014

当社が見ている「情報セキュリティ基準」の姿

防衛装備庁は令和4年4月1日に「防衛産業サイバーセキュリティ基準の強化について」を発表しました。
https://www.mod.go.jp/atla/cybersecurity.html

これまで防衛産業においては、「JIS Q 27001:2014（ISMS）」の考え方に基づいた情報セキュリティが要求されてきましたので、ベースとなるセキュリティ対策は既に実施されているものと考えていますが、サイバー攻撃の増加、高度化などを踏まえて、被害の予防や発生時の対処能力の向上を目指した基準改定をされたのだと考えています。これは、情報セキュリティにおける「情報システム」の保護から、「情報」の取り扱いに保護の範囲を広げたとも考えられます。

ただし1点、今回の改正において、大きな問題だと考えているのは、NISTのサイバーセキュリティフレームワーク等で考えられている5つのフェーズ「識別」「防御」「検知」「対応」「復旧」と比較した場合、ISMSでは「検知」「対応」「復旧」の記載が「無い」と公に指摘している点です。

「検知」「対応」「復旧」に該当する部分は、マネジメントシステムのアセスメントと監査において当然に実施・把握され、かつ改善されるべきもので、その実施スパンがマネジメントシステムであることにより、やや長い（年1回等）印象となっていることから、「無い」と断言してしまったようです。

現行の情報システム運用においては、死活監視やNOC（ネットワーク・オペレーション・センター）による監視は比較的行われおり、常時監視です。
障害が発生すれば逐次対応されるでしょうし、障害発生時点では、機器の故障、設定ミス、サイバー攻撃の別は判断ができませんから、システム部門でもセキュリティ部門でも、あらゆる可能性を想定した復旧作業を行っていると思います。

よって、ISMSに「検知」「対応」「復旧」が「無い」と決めつけてしまうことは、大きな問題だと考えているわけです。

尚、令和元年（2019年）11月に公開した当社コラム「情報セキュリティ規程類に対するSP800-171の反映に関する考察」はこちらです。
https://www.enna.co.jp/kitei_compliance/security-rule_sp800-171/

ISMSから始めることに問題はあるのか

当社では、2018年からNIST文書を活用したサイバーセキュリティ対策支援を提供していますが、そもそもNIST SP800-171は、SP800-53を維持運用している組織が導入するものであって、SP800-171単体を導入し運用することはありません。また、SP800-53を維持運用するためには、SP800-37が必要となりますので、これらの関係性を整理してから着手するのは、SP800-53の管理策の多さからも、大きな手間であると考えています。

更には、SP800-53の上位に、大統領令や情報公開法もありますので、情報を守る法的要求等について体系的に知っておかないと、NIST文書の価値が十分に生かされない結果となります（日本国内のように、官公庁が自ら私文書だと裁定すれば文書を削除することができるのとは、文化が違います）。

ですので、NIST SP800-53 との関係が整理されている ISO/IEC 27001:2013（JIS Q 27001:2014）を用いて、防衛調達基準に適応すべき事項を特定し、細かい部分を171のエッセンスを使って補完すればよいのではないかと考えているところです。

尚、筆者（当社代表）は、2004年から防衛産業において総務部門及びISMS事務局を務め、また、関連団体においては2015年よりNIST文書を活用したサイバーセキュリティ対応組織モデル及び人材モデルを策定し、米国NISTのカンファレンスで発表するための資料作成を行っていますので、今回の情報セキュリティ基準のISMSとSP800-171の分断はとても違和感を感じています。
https://www.nist.gov/cyberframework/success-stories/japanese-cross-sector-forum