防衛産業サイバーセキュリティ基準評価支援サービスを8月23日提供開始

リスクマネジメントコンサルティングを手掛けるニュートン・コンサルティング株式会社（本社：東京都千代田区、代表取締役社長：副島　一也）は2023年8月23日より「防衛産業サイバーセキュリティ基準評価支援サービス」を提供開始します。

URL：https://www.newton-consulting.co.jp/solution/cyber/defense_industry.html

サービスリリースの背景

近年、サイバー空間の脅威は増大の一途をたどり、ランサムウェア攻撃やサプライチェーン企業へのサイバー攻撃など、企業や組織が直面するリスクが増えています。そして、これらの脅威は、企業のビジネス運営はもちろん、国家安全保障にも直結する問題となっています。特に防衛産業は、国家の安全保障を担保する重要な役割を果たしているため、サイバー攻撃の脅威から自身を守るだけでなく、供給する製品やサービスが安全であることを保証する必要があります。

このような背景から、日本の防衛省は、防衛関連企業に対するサイバーセキュリティ基準として「防衛産業サイバーセキュリティ基準」を2022年4月に整備し、2023年度より運用を開始しています。これは、防衛産業に特化したサイバーセキュリティ基準であり、防衛関連企業の情報セキュリティの確保を通じて、国の防衛装備品及び役務の調達を安全に行うためのものです。

本サービスは防衛産業に関連する組織の皆様を対象とした、防衛産業サイバーセキュリティ基準に準拠しているかを評価し、改善に導くためのサービスです。

防衛産業サイバーセキュリティ基準とは

防衛産業サイバーセキュリティ基準（以下、新基準）は、国の防衛装備品の管理や調達を担う防衛装備庁が旧基準（「装備品等及び役務の調達における情報セキュリティの確保について」）に追加して新たに特約条項として整備した基準（正式名称：装備品等及び役務の調達における情報セキュリティの確保に関する特約条項）で、2023年度より適用が開始されています。この新基準は米国立標準技術研究所（NIST）が公開したガイドライン「NIST SP800-171（以下、NIST171）」を参考にしており、ほぼ同様の水準を調達先に求めるものです。

旧基準は、これまで日本でメジャーであったISO27001(ISMS)の防御を主眼においた考え方でしたが、新基準はこれに加え、NIST171を参考に、検知、対応、復旧の3要素が追加されています。

• 検知：システムログや通信の監視および分析
• 対応：不具合の修正・改善や被害の拡大防止
• 復旧：バックアップからのシステム再構成（復旧）など

また、新基準の作成に当たっては、特に日本の風土や日本語の構造も考慮して、だれが行うべきか主語を明確にした記載が徹底されています。さらに、体制・役割・責任の明確化に加え、物理セキュリティやセキュリティ監査、防衛省監査の項目などがNIST171と比較すると強化されています。

米国の基準、日本の旧基準、新基準の比較

• 情報セキュリティ基本方針
• 情報セキュリティ規則
• 情報セキュリティ実施手順
• その他資料（システムセキュリティ実装計画書や取扱者名簿等）

これらは防衛省が公開している「情報セキュリティ基準」「システムセキュリティ実施要領」「解説資料」を参考にして作成、適用、および防衛省へ提出することが求められています。

サービス概要

サービスの特長

お客様の特性・ニーズに合わせた、柔軟な支援

お客様の組織の規模や状況、要望に応じて、サポート範囲や作業ステップをカスタマイズすることができます。また、優先すべき課題や対象とすべき範囲や期間などについても柔軟に対応いたします。さらに、評価後の各種対策の実装についてもオプションとしてアドバイスいたします。

支援範囲とステップ（例）

下図は一般的なサービスの流れです（ご要望により支援範囲のカスタマイズ可）。

支援ステップ（例）