防衛産業サイバーセキュリティ基準評価支援サービスを8月23日提供開始

リスクマネジメントコンサルティングを手掛けるニュートン・コンサルティング株式会社（本社：東京都千代田区、代表取締役社長：副島　一也）は2023年8月23日より「防衛産業サイバーセキュリティ基準評価支援サービス」を提供開始します。

URL：https://www.newton-consulting.co.jp/solution/cyber/defense_industry.html

1．サービスリリースの背景

近年、サイバー空間の脅威は増大の一途をたどり、ランサムウェア攻撃やサプライチェーン企業へのサイバー攻撃など、企業や組織が直面するリスクが増えています。そして、これらの脅威は、企業のビジネス運営はもちろん、国家安全保障にも直結する問題となっています。特に防衛産業は、国家の安全保障を担保する重要な役割を果たしているため、サイバー攻撃の脅威から自身を守るだけでなく、供給する製品やサービスが安全であることを保証する必要があります。

このような背景から、日本の防衛省は、防衛関連企業に対するサイバーセキュリティ基準として「防衛産業サイバーセキュリティ基準」を2022年4月に整備し、2023年度より運用を開始しています。これは、防衛産業に特化したサイバーセキュリティ基準であり、防衛関連企業の情報セキュリティの確保を通じて、国の防衛装備品及び役務の調達を安全に行うためのものです。

本サービスは防衛産業に関連する組織の皆様を対象とした、防衛産業サイバーセキュリティ基準に準拠しているかを評価し、改善に導くためのサービスです。

【防衛産業サイバーセキュリティ基準とは】
防衛産業サイバーセキュリティ基準（以下、新基準）は、国の防衛装備品の管理や調達を担う防衛装備庁が旧基準（「装備品等及び役務の調達における情報セキュリティの確保について」）に追加して新たに特約条項として整備した基準（正式名称：装備品等及び役務の調達における情報セキュリティの確保に関する特約条項）で、2023年度より適用が開始されています。この新基準は米国立標準技術研究所（NIST）が公開したガイドライン「NIST SP800-171（以下、NIST171）」を参考にしており、ほぼ同様の水準を調達先に求めるものです。

旧基準は、これまで日本でメジャーであったISO27001(ISMS)の防御を主眼においた考え方でしたが、新基準はこれに加え、NIST171を参考に、検知、対応、復旧の３要素が追加されています。

検知：システムログや通信の監視および分析
対応：不具合の修正・改善や被害の拡大防止
復旧：バックアップからのシステム再構成（復旧）など

また、新基準の作成に当たっては、特に日本の風土や日本語の構造も考慮して、だれが行うべきか主語を明確にした記載が徹底されています。さらに、体制・役割・責任の明確化に加え、物理セキュリティやセキュリティ監査、防衛省監査の項目などがNIST171と比較すると強化されています。

米国の基準、日本の旧基準、新基準の比較
出典：防衛装備庁「防衛産業サイバーセキュリティ基準の整備について」をもとに作成

【適用対象】
新基準は、防衛装備庁と直接調達契約を締結する企業だけでなく、その調達企業のサプライチェーンネットワークに含まれる委託先企業も準拠が求められます。

【適用期間】
新基準の適用は、2023年度の調達契約から開始されています。実際にはシステム換装等を考慮し最長5年間の移行期間が設けられていますが、厳格な要求が課せられているため、対象企業は計画的に新基準への対応を進める必要があります。

【企業に求められる措置】
2023年度以降、新基準に準拠し調達契約を希望する企業は、防衛省に以下の書類の提出が求められます。

① 情報セキュリティ基本方針
② 情報セキュリティ規則
③ 情報セキュリティ実施手順
④ その他資料（システムセキュリティ実装計画書や取扱者名簿等）

これらは防衛省が公開している「情報セキュリティ基準」「システムセキュリティ実施要領」「解説資料」を参考にして作成、適用、および防衛省へ提出することが求められています。

2．サービス概要

【サービスの特長】

1. NISTフレームワーク等を通じて、防衛産業向けに求められる基準を理解したコンサルタントが支援
新基準に準拠するには、各種基準等の詳細まで深く理解する必要があります。そのためコンサルタントの専門的知識が不足していると、対策を行う企業側に多大な負荷をかけてしまいます。豊富な知識と実績をもつコンサルタントが支援する本サービスであれば、最短距離での実装を可能にします。

2. NIST171と防衛産業向けの違い、特徴を押さえた支援
当社のコンサルタントは、新基準の参考となる米国のNIST171にも精通しています。具体的な対策を検討する際に、必ずどこまで対策すればよいか迷うポイントが出てきますが、このNIST171を理解していることで、本質的なコンサルティングの支援が可能となります。
また、NIST171を参考としているとはいえ、比較すると新基準には以下のような違いがありますので、違いを踏まえた支援をいたします。

体制と役割、責任を厳格に明確化(管理者、管理責任者、統括者等)
物理的・環境的セキュリティに関する詳細な要件
情報セキュリティ事故等発生時の統括者による防衛省への報告
セキュリティ監査(防衛省による監査含む)
アクセス制御方針の詳細な要件等

3. お客様の特性・ニーズに合わせた、柔軟な支援
お客様の組織の規模や状況、要望に応じて、サポート範囲や作業ステップをカスタマイズすることができます。また、優先すべき課題や対象とすべき範囲や期間などについても柔軟に対応いたします。さらに、評価後の各種対策の実装についてもオプションとしてアドバイスいたします。

【支援範囲とステップ（例）】

下図は一般的なサービスの流れです（ご要望により支援範囲のカスタマイズ可）。

支援ステップ（例）

対象	新たな「防衛産業サイバーセキュリティ基準」への対応を求められている企業や組織
期間	3ヶ月～
価格	応相談
成果物（例）	防衛産業サイバーセキュリティ基準評価支援キックオフ資料トップインタビューシートおよび議事録保護すべき情報一覧現状分析・評価シート IT・セキュリティ部門インタビューシートおよび議事録受領資料整理分類表情報セキュリティ基本方針情報セキュリティ規則情報セキュリティ実施手順システムセキュリティ実装計画書実装ロードマッププロジェクト管理資料一式セキュリティレビュー資料一式プロジェクト報告書
詳細	https://www.newton-consulting.co.jp/solution/cyber/defense_industry.html

ニュートン・コンサルティング株式会社概要

社名	ニュートン・コンサルティング株式会社
所在地	東京都千代田区麹町1-7 相互半蔵門ビルディング5F
設立	2006年11月13日
資本金	30,000,000円(2023年12月末現在)
代表者	代表取締役社長　副島一也
事業内容	リスクマネジメントに関わるコンサルティング