[{"data":1,"prerenderedAt":22},["ShallowReactive",2],{"journal-detail-70":3},{"main":4,"content":12,"author":17},{"id":5,"level":6,"level_name":7,"title":8,"summary":7,"body":9,"author":10,"created_time":11,"edited_time":11},2048,0,"","米国内に工場を設置する場合に遵守しなければならないサイバーセキュリティ対策について","\u003Cp>アメリカでビジネスを展開する、特に政府機関と取引がある企業にとって、NIST（米国国立標準技術研究所）の規格遵守は極めて重要です。この規格は、サプライチェーン全体におけるサイバーセキュリティ対策の基準として機能し、遵守を怠るとビジネスチャンスを失う可能性があります。\u003C/p>\u003Ch3>NIST規格遵守の重要性\u003C/h3>\u003Cp>NIST SP 800シリーズは、米国政府機関の情報システムを保護するために策定されたセキュリティガイドラインです。政府機関だけでなく、その\u003Cstrong>サプライヤーや下請け企業にもこの基準の遵守が義務付けられる\u003C/strong>ことが増えています。これは、サイバー攻撃の多くが、セキュリティ対策が手薄なサプライヤーを経由して行われるという現状を踏まえています。\u003C/p>\u003Cul>\u003Cli>\u003Cstrong>政府調達の必須条件:\u003C/strong>\u003Cbr>米国防総省（DoD）との取引を行う企業には、\u003Cstrong>NIST SP 800-171\u003C/strong>への準拠が事実上必須となっています。この規格は、機密情報（CUI: Controlled Unclassified Information）を扱う企業に対して、14のセキュリティ要件と110の管理策を定めています。\u003C/li>\u003Cli>\u003Cstrong>サプライチェーン全体の信頼性確保:\u003C/strong>\u003Cbr>NISTの規格は、企業が自社のサプライヤーやパートナー企業を評価し、管理するための指針も提供しています。これにより、特定のサプライヤーがセキュリティ上の弱点となるリスクを低減し、サプライチェーン全体の安全性を高めることができます。\u003C/li>\u003C/ul>","murakami","2025-09-10 12:00:00",[13],{"id":14,"heading":15,"summary":7,"body":16,"gallery":7},2049,"サプライチェーンでの具体的な扱い方","\u003Cp>サプライチェーンにおけるNIST規格の具体的な扱いは、以下のような形で実践されています。\u003C/p>\u003Ch3>1. 契約要件への明記\u003C/h3>\u003Cp>米国政府機関との契約では、サプライヤーに対し、NIST SP 800-171への準拠が\u003Cstrong>契約条項として明記されます\u003C/strong>。サプライヤーは、準拠していることを証明する書類（SSP: System Security PlanやPoA&M: Plan of Action & Milestonesなど）を提出する必要があります。\u003C/p>\u003Cul>\u003Cli>\u003Cstrong>具体例:\u003C/strong>\u003Cbr>防衛装備品を製造するA社は、米国防総省から部品を調達する際、部品メーカーであるB社に対し、NIST SP 800-171に準拠していることを要求します。B社は、自社のITシステムや情報管理体制が規格を満たしていることを証明しなければ、A社との取引を継続できません。\u003C/li>\u003C/ul>\u003Ch3>2. サプライヤーの評価と管理\u003C/h3>\u003Cp>企業は、サプライヤーを選定する際に、セキュリティ評価プロセスにNISTの基準を組み込みます。これには、サプライヤーのセキュリティ体制を定期的に監査し、脆弱性がないかを確認することが含まれます。\u003C/p>\u003Cul>\u003Cli>\u003Cstrong>具体例:\u003C/strong>\u003Cbr>航空機メーカーC社は、部品を納入するD社に対し、定期的な脆弱性診断の実施を求めます。この診断結果がNISTの基準を満たさない場合、C社はD社との取引を見直す可能性があります。\u003C/li>\u003C/ul>\u003Ch3>3. 情報共有とインシデント対応\u003C/h3>\u003Cp>NISTのフレームワークは、サプライチェーン全体での情報共有とインシデント発生時の対応を重視しています。サプライヤーは、セキュリティインシデントが発生した場合、速やかに主要顧客に報告する義務を負います。\u003C/p>\u003Cul>\u003Cli>\u003Cstrong>具体例:\u003C/strong>\u003Cbr>半導体メーカーE社がサイバー攻撃を受け、生産が停止した場合、E社は顧客であるF社にインシデントの内容と復旧見込みを迅速に報告する必要があります。これにより、F社は自社の生産計画への影響を最小限に抑えるための対策を講じることができます。\u003C/li>\u003Cli>\u003Cstrong>具体例: 造船所の場合:\u003C/strong>\u003Cbr>米海軍の軍艦を製造するフィンカンティエリ・マリーン・グループのような造船所がサイバー攻撃を受け、生産システムが停止した場合、迅速に海軍や関連サプライヤーにその旨を報告する義務があります。この情報共有が遅れると、軍艦の建造スケジュールに影響が及び、国家安全保障上のリスクにもつながるため、NIST規格に基づく強固なセキュリティ体制とインシデント対応計画が求められます。\u003C/li>\u003C/ul>\u003Cp>これらの事例からわかるように、NISTの規格は単なるガイドラインではなく、アメリカ市場でビジネスを行う上での\u003Cstrong>事実上のルール\u003C/strong>となっています。特に、サプライチェーンに組み込まれる企業は、NIST準拠への取り組みを怠ると、大きなビジネスリスクを負うことになります。\u003C/p>",[18],{"id":10,"company":19,"name":20,"profile":21},"株式会社ICS研究所","村上 正志","1979～90年まで、日本ベーレーのシステムエンジニアとして電力会社の火力発電プラント監視制御装置などのシステム設計及び高速故障診断装置やDirect Digital Controllerの製品開発に携わる。\n＊関わった火力発電所は、北海道電力（苫東厚真、伊達）、東北電力（新仙台、仙台、東新潟）、東京電力（広野、姉ヶ崎、五井、袖ヶ浦、東扇島）、北陸電力（富山新港）、中部電力（渥美、西名古屋、知多、知多第二）、関西電力（尼崎、御坊、海南、高砂）、中国電力（新小野田、下関、岩国）、四国電力（阿南）、九州電力（港、新小倉、川内）、Jパワー（磯子、松島、高砂）、日本海LNG　など\n\n1990年、画像処理VMEボードメーカーに移籍し、大蔵省印刷局の検査装置や大型印刷機械などのシステム技術コンサルティングに従事。\n\n1995年、デジタルに移籍し、SCADA製品の事業戦略企画推進担当やSE部長を務める。（2004年よりシュナイダーエレクトリックグループ傘下に属す）また、1999年にはコーポレートコーディネーション／VEC（Virtual Engineering Company & Virtual End-User Community）を立ち上げ、事務局長として、「見える化」、「安全対策」、「技術伝承」、「制御システムセキュリティ対策」など製造現場の課題を中心に会員向けセミナーなどを主宰する。協賛会員と正会員のコラボレーション・ビジネスを提案し、ソリューション普及啓発活動を展開。\n2011年には、経済産業省商務情報政策局主催「制御システムセキュリティ検討タスクフォース」を進言、同委員会委員及び普及啓発ワーキング座長を務める。\n2015年、内閣官房 内閣サイバーセキュリティセンターや東京オリンピックパラリンピック大会組織委員会などと交流。\n\n2015年、株式会社ICS研究所を創設。VEC事務局長の任期を継続。世界で初めて制御システムセキュリティ対策e-learning教育ビデオ講座コンテンツを開発。\n\n2017年4月～ 公益財団法人日本適合性認定協会JABの制御システムセキュリティ技術専門家\n\n2017年7月～ 経済産業省の産業サイバーセキュリティセンターCoEの制御システムセキュリティ講座講師担当\n\n現在活動している関連団体及び機関\n・日本OPC協議会 顧問\n・制御システムセキュリティ関連団体合同委員会委員",1779421343197]