International Cybersecurity Standards and Regulations(国際標準・規制)
NIST SP 800 シリーズ・CSF 2.0・ISO/IEC 27017/27018・GDPR・NERC CIP の 5 系統を軸に国際サイバーセキュリティ標準・規制の全体像を整理。各標準の適用対象・強制力・主要要件と実務上の落とし穴を解説する。
article technology ja NIST SP 800 シリーズ・CSF 2.0・ISO/IEC 27017/27018・GDPR・NERC CIP の 5 系統を軸に国際サイバーセキュリティ標準・規制の全体像を整理。各標準の適用対象・強制力・主要要件と実務上の落とし穴を解説する。国際標準・規制
国際的なサイバーセキュリティ標準・規制は「共通言語」「調達要件」「越境対応」の 3 つの役割を担う。NIST フレームワーク群は米連邦政府調達の要件として世界標準となり、GDPR は域外適用によって非 EU 企業にも規律を及ぼす。NERC CIP は北米の電力 OT に強制力を持つ業界特有規格の代表例だ。本記事は各標準・規制の位置づけ・要件・実務上の留意点を整理する。
情報カットオフ ~2025-08、confidence: medium 固定。以下の一部情報は 2026-05 時点で外部再検証が未実施の項目を含む可能性がある。
国際標準・規制の役割
サイバーセキュリティに関わる国際標準・規制は以下の 3 機能を持つ。
| 機能 | 代表例 | 特徴 |
|---|---|---|
| 共通言語 | NIST CSF 2.0・ISO 27001 | 組織間・業界横断でリスクを共通フォーマットで語る |
| 調達要件 | NIST SP 800-171 / CMMC | 政府契約・サプライチェーン参加の必要条件 |
| 越境規制 | GDPR・APPI | 法域を超えて個人データ取扱企業を拘束する |
これら標準・規制は相互に参照しており、例えば ISO 27001 の管理策カタログ(ISO 27002)は NIST SP 800-53 と広範に対応する。実務では「複数標準の重複領域をまとめて対応する」アプローチ(SCF: Secure Controls Framework など)が有効。
NIST SP 800 シリーズ
米国 NIST(国立標準技術研究所)の情報セキュリティ標準群。主要文書は以下のとおり。
SP 800-53 Rev 5(2020 年):
- 連邦情報システムおよびその他の組織向けの包括的な管理策カタログ
- Rev 4 の 18 ファミリ・約 900 管理策を再整理・統合
- プライバシー管理策(PT ファミリ)を新設し NIST Privacy Framework と整合
- FISMA 対応連邦機関の「唯一の典拠」として機能
SP 800-171 Rev 3(2024-05 公開):
- 非連邦情報システム上の CUI(Controlled Unclassified Information)保護基準
- Rev 2 の 110 管理策 → 97 管理策(統合・再構成)
- PL(計画)・SA(システム調達)・SR(サプライチェーンリスク管理)の 3 ファミリを新設し、SP 800-53 Rev 5 との整合を強化
- アセスメントは SP 800-171A Rev 3 で実施
- DoD 調達に求められる CMMC(Cybersecurity Maturity Model Certification) Level 2 は 800-171 Rev 3 準拠が要件
SP 800-61(インシデント対応):
- インシデントライフサイクル(準備・検知・分析・封じ込め・根絶・復旧・事後分析)の標準手順
- CERT/CSIRT 構築・運用の国際的な参照基準
SP 800-82 Rev 3(OT/ICS セキュリティ):
- 産業制御システム(ICS)・OT 環境向けセキュリティガイド
- Purdue モデルのゾーン分離、SCADA/DCS/PLC 特有のリスクへの対応
- IEC 62443 との整合が強化(tech-128 参照)
NIST CSF 2.0(サイバーセキュリティフレームワーク)
NIST が 2024-02 に公開した Cybersecurity Framework 2.0 は、バージョン 1.1 から 10 年ぶりの大改訂。
6 機能体制への拡張:
| 機能 | 内容 |
|---|---|
| Govern(統治) | ★新設。サイバーセキュリティリスク管理の組織内意思決定・責任・方針を定義 |
| Identify | 資産・環境・ガバナンス・リスク評価 |
| Protect | アクセス制御・意識向上・データセキュリティ・プロセス整備 |
| Detect | 継続監視・異常検知 |
| Respond | インシデント対応・コミュニケーション |
| Recover | 復旧計画・改善 |
主な変更点:
- Govern 機能の新設: 経営層への「サイバーリスクは経営リスク」という認識普及を促進
- 業種・規模非依存: 中小企業から国家機関まで適用可能なスケール設計
- サプライチェーン: C-SCRM(サイバーサプライチェーンリスク管理)を全機能に統合
- CSF → SP 800-171 Rev 3 の OLIR(Online Informative References)マッピングが 2025-07 公開予定
実務上のポイント: CSF 2.0 は認証制度ではなくフレームワーク(参照モデル)。ISO 27001 や NIST 800-53 へのマッピングを利用して既存の管理策をカバレッジ確認するツールとして活用する。
ISO/IEC 27017 と ISO/IEC 27018
両規格は ISO/IEC 27001(ISMS 要求事項)と ISO/IEC 27002(管理策実施指針)を基盤として、クラウドおよびプライバシー領域を拡張する。
ISO/IEC 27017(クラウドセキュリティ):
- クラウドサービス固有の 37 管理策を追加(ISO 27002 の延長)
- CSP(クラウドサービスプロバイダー)と利用者(クラウドサービスカスタマー)双方への管理策を規定
- 責任共有モデルの明確化(例: 仮想マシン強化は利用者責任、物理インフラは CSP 責任)
- **仕様(specification)**であり、ISO 27001 の認証取得とは別に単独での参照が可能
ISO/IEC 27018(パブリッククラウドの PII 保護):
- パブリッククラウドにおいて PII(個人を特定できる情報)を処理する CSP 向けの実践規範(code of practice)
- 27017 がセキュリティ全般を対象とするのに対し、27018 はプライバシー・データ保護に特化
- GDPR の技術的・組織的措置(Article 32)の適合を支援するための標準として位置づけられている
- 収集目的の明示・同意管理・データポータビリティ・削除要求への対応などを規定
実務上の留意点: AWS・Azure・GCP などの主要 CSP はいずれも ISO 27017/27018 認証を取得済み。利用者企業は CSP の第三者認証を「移転リスクの軽減証拠」として規制当局・監査人に提示できる。
GDPR(一般データ保護規則)
EU の一般データ保護規則(GDPR: General Data Protection Regulation)は 2018-05-25 適用開始。個人データ保護の国際基準として、EU 域外企業にも強力な域外適用を持つ。
主要要件:
- 合法性の根拠: 処理には同意・契約・法的義務・正当な利益等の根拠が必要
- データ主体の権利: アクセス権・訂正権・削除権(忘れられる権利)・ポータビリティ権
- プライバシー・バイ・デザイン: 設計段階からのデータ保護組み込み義務
- データ保護責任者(DPO): 大量処理・特別カテゴリ処理企業は任命義務
- 越境移転規制: EU 外への個人データ移転には十分性認定・SCC・BCR 等が必要
制裁金: 最大 全世界年間売上高の 4% または 2,000 万 €(いずれか高い方)。
主要制裁事例(情報カットオフ ~2025-08 時点):
- 2023-05: Meta — 12 億 €(EU-US データ移転に関する Schrems II 後の転送違反)
- 2024: LinkedIn — 3.1 億 €(ターゲット広告でのデータ処理の適法根拠不備)
- 2024: Meta — 2.51 億 €(Facebook データ侵害)
EU-US Data Privacy Framework(DPF): 2023 年に発効した新たな EU-US 間データ移転枠組み。Privacy Shield(2020 年無効化)の後継として機能するが、Schrems III の訴訟リスクも残る。
実務上の留意点:
- 日本は 2023-04 に GDPR の「十分性認定」を取得済みだが、APPI との差異(例: 特別カテゴリデータの範囲)に注意
- CRM・マーケティングシステムへの EU 居住者データ格納は GDPR 適用対象
NERC CIP(北米電力 OT セキュリティ規格)
NERC CIP(North American Electric Reliability Corporation Critical Infrastructure Protection)は、北米の電力信頼度を管轄する NERC が策定した強制規格群。
対象: 北米 **BES(Bulk Electric System)**事業者。発電・送電・変電設備の運用者が対象。カナダ・メキシコの一部地域も含む。
強制力: NERC に法的強制権限があり、FERC(連邦エネルギー規制委員会)が監督。違反時は高額の制裁金(1 日当たり最大 100 万ドル)。OT/ICS セキュリティ規制の代表的強制例。
主要 CIP 規格:
| 規格 | 内容 |
|---|---|
| CIP-002 | BES サイバーシステムの資産分類(高・中・低インパクト) |
| CIP-003〜006 | セキュリティ管理・ESP(電子セキュリティ境界)・物理セキュリティ・要員訓練 |
| CIP-007 | システムセキュリティ管理(ポート管理・パッチ・セキュリティ監視) |
| CIP-008/009 | インシデント報告・復旧計画 |
| CIP-013 | ★サプライチェーンリスク管理(2020 施行)。ハードウェア・ソフトウェアのサプライヤーリスク評価が義務 |
| CIP-014 | 物理的セキュリティ(変電所等の物理攻撃対策) |
実務上の留意点:
- CIP 適用を受ける資産か否かは「インパクト分類」(高・中・低)で変わる。未分類または過小分類は重大な違反リスク
- CIP-013 のサプライチェーン管理は 2020 年以降の新たな義務。機器調達・ソフトウェアアップデートのセキュリティ評価プロセスが必要
- 日本では NERC CIP の直接適用はないが、重要インフラの電力 OT セキュリティの参考標準として ACD 法体制下でも参照される
アンチパターン
| # | アンチパターン | 正しい理解 |
|---|---|---|
| AP-1 | CSF 2.0 は認証制度だと思い込む | CSF はフレームワーク(参照モデル)であり認証制度ではない。ISO 27001 のような第三者認証スキームは存在しない |
| AP-2 | SP 800-171 を Rev 2 のまま運用し続ける | 2024-05 に Rev 3 が公開され、管理策数が 110 → 97 に変更。CMMC は Rev 3 準拠を要件とするため、米国政府調達に関わる場合は移行計画が必須 |
| AP-3 | GDPR の域外適用を見落とす | EU 居住者への商品・サービス提供または行動監視を行う日本企業にも GDPR は適用される。越境移転の「適法根拠」確認が不可欠 |
| AP-4 | ISO 27017 認証取得 = GDPR 準拠 | 27017 は技術的・組織的措置の一部をカバーするが、GDPR 全体(データ主体権利・合法根拠・DPO 任命等)を自動的に充足しない |
| AP-5 | 標準を文書で導入して運用しない | NIST・ISO いずれも継続的モニタリング・定期レビューを要求する。導入直後だけ対応して形骸化するのが最大のリスク |