世界のサプライチェーンが年々相互依存性を増している中、製造業務全般—特に電子機器の製造—は、異なる分野、国、市場のステークホルダー間の協力に依存し、それによって繁栄していることが明らかです。その結果、企業は製品を実現するために、契約メーカーやサプライヤーなどと機密設計や生産情報を共有することがよくあります。この情報には、知的財産、営業秘密、さらには防衛関連品や二重用途品に関連するデータなど、貴重な情報が含まれていることがあります。このような機密データを保護することは、競争優位を維持し、規制への準拠を確保することを目指す企業にとって最も重要です。
これらの規制の中でも特に重要なのが、契約メーカーに機密情報を転送する企業に対する国立標準技術研究所(NIST)特別公開文書800-171(NIST 800-171)です。このようなデータを共有する企業の具体的な要件、または国際武器取引規制に定義される防衛関連品や二重用途品を扱う場合について学びたい方は、読み進めてください。
国際武器取引規制(ITAR)は、防衛関連品目、防衛関連技術データ、およびサービスの輸出入を規制しています。ITAR管理下の情報を扱う企業は、サイバーセキュリティを超えた特定のコンプライアンス要件を認識する必要があります。NIST 800-171は、ITAR要件に沿うために満たされなければならないサイバーセキュリティ性能基準を定義しており、この機密データを保護する上で重要な役割を果たしています。
ITARは特定のサイバーセキュリティコントロールを指示していませんが、国立公文書記録管理局(NARA)は、「輸出管理」情報を管理された未分類情報(CUI)のカテゴリーとして分類しています。この分類により、NIST 800-171がこの機密データを保護するための最低サイバーセキュリティ基準として位置づけられます。
NIST 800-171は、CUIを保護するために設計された包括的なセキュリティコントロールのセットを提供します。これらのコントロールは、完全なサイバーセキュリティフレームワークを形成するために、幅広い領域にわたっています。以下のリストは、主要な要素を探求します:
これらの管理策を講じることは、企業が機密情報の保護とNARAのCUI要件の遵守への取り組みを示すものです。それにしても、NIST 800-171が基準として機能することを忘れてはなりません。企業はリスク評価を実施して特定の脆弱性を特定し、その結果に基づいて追加の管理策を実装する必要があるかもしれません。
したがって、NIST 800-171コンプライアンスが重要である理由は明らかですが、機密設計および生産情報の安全な転送を契約製造業者に確実に行うにはどうすればよいでしょうか?次のステップを検討してください:
ステップ |
例 |
リスク評価を実施する |
共有される機密情報を特定し、潜在的な脅威と脆弱性を評価し、転送に関連するリスクのレベルを決定する。 |
安全な通信チャネルを確立する |
データの転送中にデータを保護するために暗号化された通信チャネル(例:VPN、セキュアメール)を使用し、機密情報へのアクセスを制限するために強力なアクセス制御を実装し、定期的にセキュリティプロトコルを監視および更新する。 |
強力なアクセス制御を実装する |
強力なパスワードポリシーと多要素認証を実施し、機密情報へのアクセスを必要に応じて許可し、定期的にアクセス権限を見直し、必要に応じて更新してください。 |
データの安全な保管 |
休止状態および転送中の機密データを暗号化し、機密情報を定期的にバックアップし、バックアップを安全に保管し、不正なデータ転送を防ぐためのデータ損失防止(DLP)対策を実施します。 |
従業員のトレーニング |
従業員に定期的なサイバーセキュリティ意識向上トレーニングを提供し、ITAR規制とその責任について従業員を教育し、従業員の意識をテストするためのフィッシングシミュレーションを実施します。 |
インシデント対応計画 |
包括的なインシデント対応計画を策定し、セキュリティインシデントの検出、対応、回復の手順を確立し、定期的にインシデント対応計画をテストおよび更新します。 |
セキュリティ実践の監視と監査 |
定期的なセキュリティ監査と脆弱性評価を実施し、不審な活動についてネットワークトラフィックとシステムログを監視し、最新のセキュリティベストプラクティスと規制について常に最新の情報を得るようにしてください。 |
ITARコンプライアンスを考慮する |
防衛関連品またはデュアルユース品を取り扱っている場合は、ITARコンプライアンスを確保し、輸出管理リスクを軽減するためにITAR登録製造業者と協力してください。 |
貴社がITARによって定義される防衛品目または二重用途品目に関連する情報を転送している場合、ITAR登録済みの製造業者との作業は不可欠です。DDTCによるITAR登録は、製造業者がITAR規制の遵守を保証するための包括的な輸出管理プログラムを確立していることを意味します。このプログラムはサイバーセキュリティを超え、より広範な手順のセットを含んでいます:
電子製造業界の企業で、NIST 800-171を遵守し、ITAR登録製造業者と協力する企業は、機密情報の保護と関連規制の遵守を保証できます。しかし、NIST 800-171は基礎を提供するだけであり、具体的な状況に応じて追加の管理が必要になる場合があることを覚えておいてください。法律やサイバーセキュリティの専門家と相談し、会社がそのような情報を保護するための包括的なアプローチを持ち、すべてのコンプライアンス要件を満たしていることを確認することが重要です。これは、電子製造業界内での協力のための安全な環境を作り、革新と、場合によっては国家安全保障の利益を保護するのに役立つ多層的なアプローチです。
もし貴社がプロセスをレベルアップさせ、PCB設計をコンプライアンスに合わせたい場合は、Altium 365 GovCloudをご覧ください。これは、防衛および政府プロジェクトの要件をサポートするために設計された完全なソリューションです.