調達購買関連 最新トピックス |
サイバー対策、米基準要求、防衛省、調達先9000社に-日本経済新聞 (2018-02-10) | ||
昨日の日経新聞朝刊で、米国基準の包括的なサイバー防衛策を取引先に義務付けるとの報道がありました。昨日の日経新聞朝刊で、米国基準の包括的なサイバー防衛策を取引先に義務付けるとの報道がありました。その対象には戦闘機と戦車がそれぞれ約1000社が対象とあるように、かつ米国基準の実施状況からも、完成品メーカーだけでなく、その先のサプライヤーも対象になると思われます。 具体的には、基準の実施を義務付けるとともに、その実施状況を質問票で回答させ、確認を行っていく方式が予想されます。そして、活動の中心はIT部門になると思われますが、サプライヤーが絡むことで購買部門も無関与とはなりません。ただしどのくらいの業務負荷が購買部門に要求されるかは、今後の防衛省の検討に拠ると思われます。 記事の概要と、先行する米国での実施状況(ロッキード・マーティン社事例)を以降に整理します。 記事の概要は以下。 ・防衛省は米国基準の包括的なサイバー防衛策を取引企業に義務付ける方向である。 早ければ年内にも決定し、数年かけて企業に導入を義務付ける。 ・100項目超の対策を盛り込んだ基準遵守が、防衛産業に関連する企業に要請される。 ・将来的には、防衛産業だけではなく、インフラや自動車など幅広い産業に要請が拡大する見込み。 ・米国防総省は、技術的な要件だけでない広範なサイバー防衛策(NIST 800-171)への対応策を、期限を2017年末として関連企業に義務付けた。 ・これに準拠する防衛省のものも、システム面の対応に加え、社内の管理体制などを含んだ幅広いものとなる見込み。 ・対象となる関連企業は戦闘機と戦車がそれぞれ約1000社、護衛艦は約7000社。 ・米国は防衛産業以外にも基準を義務付ける方向で、鉄道、電力・ガスなどのインフラ産業、自動車、機械関連の産業に影響が及ぶと思われる。 そして、ロッキード・マーティン社(LM)の実施事例は以下。 ・米国政府が作成した質問票(NIST 800-171)の110項目に加えて、業務委託先企業のExostar社の180項目の質問票への回答を、自社のサプライヤーに要求している。 ・回答は、Exostar社ののサイトからオンラインで行う。 ・サプライヤーは、質問項目に基いて、自己診断を行い、結果を報告する。 ・必要に応じて、LM社がサプライヤーのIT統制や運用状況の確認確認を行う。 ・サイバー事故が発生した場合、あるいは政府基準非遵守事態が有った場合には、LM社と米国防省への申告をサプライヤーに義務付ける。 参考) Supply Chain Cybersecurity-Lockheed Martin(参考になる包括的資料です) https://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/suppliers/2017-CybersecurityLandscape.pdf |