NISTが策定したセキュリティガイドラインは世界各国を巻き込むもので、当然ながら日本もその影響の例外ではありません。
セキュリティガイドラインが求める基準をクリアしなければ、これまでアメリカと取引を行っていた企業も取引が行えなくなってしまいます。
世界の中でも巨大な市場を誇るアメリカとの取引を続けたいなら、NISTによるガイドラインを守るために、社内システムやセキュリティなどを更新する必要があるでしょう。
これまで自社内で厳しいセキュリティを行ってきた企業であってもアメリカが求める基準に適合しているかの点検が必要になり、セキュリティ関連に弱みを持つ企業は改めてシステムを構築する必要に迫らせます。
NISTが策定した基準の標準化が進めば、アメリカだけではなく世界でもセキュリティガイドラインの存在が当然になります。
自社は関係がないと考えるだけではなく、世界全体への影響を考慮したシステム構築や再認識などが必須となるはずです。
NISTのSP800-171とは、米国が定めた情報・ネットセキュリティに関係したガイドラインであり、主に政府機関と取引する法人に求められる基準です。
主に取引先を通じて起こり得る情報漏洩を防ぐために設けられたものであり、政府機関と同レベルのセキュリティレベルが求められることになります。
これは業務委託先や取引先の関連企業全てに対する要求基準であることから下請けや孫請けなど、契約に関係したすべての業務や関係者が対象です。
NISTのSP800-171が規定しているのは、重要情報の保護です。
重要情報とは業務を行う上で欠かせないデータや仕様書などのことであり、機密情報を示唆したり推測できるような情報全般を指します。
これらの情報漏えいの多くはサーバーへの攻撃は、関係者を通じて行われます。
そのためハッキングやマルウェア対策、DDoSといったサーバー攻撃対策に加えて、関係者すべての情報管理体制が必要になります。