DXとセキュリティをともに推進するポイント 第4回 海外と日本のセキュリティガイドラインの決定的な違いとは

また、攻撃手法を反映し、サプライチェーンリスク管理の重要性を高めている。具体的な施策としては、サードパーティのセキュリティ評価・監査、契約条件の見直し、インシデント発生時の連携、アクセス制限、製品セキュリティの確保など実務上の対策が挙げられている。

NIST CSFはコア（5つの構成要素）、ティア（評価指標）、プロファイル（組織の特徴から目指すべき姿を設定）で構成されているが、2.0では「信頼せず、常に検証する」というゼロトラストの概念がより明確に表現されており、ティア4（完全適応）で対応すべき点も更新されている。

例えば、識別では「組織が認可したネットワーク通信および内部と外部のネットワークデータフローの表明が維持されている」「資産における脆弱性が識別、検証、記録されている」、復旧においては「復旧措置が選択され、範囲が設定され、優先順位が付けられ、実施されている」などとされた。これらはゼロトラストの体現であり、サイバーハイジーンやサイバーレジリエンスに求められる代表的な要件事項である。

日本におけるセキュリティガイドライン

日本においては、これまではISMS（ISO/IEC 27001）の認証を取得することが自社のセキュリティ対策を対外的に証明する代表的な方法であった。もちろんISMSは現在も有効なセキュリティ強化への取り組みであるが、セキュリティ脅威の高まりやDXの進展によるリスクの増大、サプライチェーンリスク抑制のグローバル全体での動向などを背景に、取り組みは多様化してきているとともに、業界や用途に適した新たなガイドラインも公開されている。

2014年、安倍政権の下、「サイバーセキュリティ基本法」が定められ、内閣サイバーセキュリティセンター（NISC）を設立し、サイバーセキュリティ強化に大きく舵を切り、以降は国際的な連携の強化を強めている。

2022年には経済安全保障推進法が施行され、サイバーセキュリティ対策は、国民の生活維持のためのより戦略的な位置付けに昇華されている。地政学的リスクの増大と共に、一層重要性を増しているサイバーセキュリティ対策であるが、日本社会全体の底上げに向け、さまざまな機関の取り組みについて簡潔に紹介をする。
「サイバーセキュリティ経営ガイドライン」

2015年には経済産業省とIPA（情報処理推進機構）によって「サイバーセキュリティ経営ガイドライン」が公開された。ITの活用が不可欠な企業やITに関するシステムやサービスを供給する企業の経営者を主な対象としており、サイバー攻撃から企業を守るための理念や経営者としての心構え、会社として実施すべき行動に関するガイドラインとなっている。