サイバーセキュリティ

防衛産業サイバーセキュリティ基準評価支援コンサルティングサービス

評価・モニタリング・監査

近年、サイバー空間の脅威は増大の一途をたどり、ランサムウェア攻撃やサプライチェーン企業へのサイバー攻撃など、企業や組織が直面するリスクは増えています。そして、これらの脅威は、企業のビジネス運営はもちろん、国家安全保障にも直結する問題となっています。特に防衛産業は、国家の安全保障を担保する重要な役割を果たしているため、サイバー脅威から自身を守るだけでなく、供給する製品やサービスが安全であることを保証する必要があります。

このような背景から、日本の防衛省は、防衛関連企業に対するサイバーセキュリティ基準として「防衛産業サイバーセキュリティ基準」を2022年4月に整備し、2023年度より運用を開始しています。これは、防衛産業に特化したサイバーセキュリティ基準であり、防衛関連企業の情報セキュリティの確保を通じて、国の防衛装備品及び役務の調達を安全に行うためのものです。

本サービスは防衛産業に関連する組織の皆様を対象とした、防衛産業サイバーセキュリティ基準に準拠しているかを評価し、改善に導くためのサービスです。

防衛産業サイバーセキュリティ基準とは

防衛産業サイバーセキュリティ基準(以下、新基準)は、国の防衛装備品の管理や調達を担う防衛装備庁が旧基準(「装備品等及び役務の調達における情報セキュリティの確保について」)に追加して新たに特約条項として整備した基準(正式名称:装備品等及び役務の調達における情報セキュリティの確保に関する特約条項)で、2023年度より適用が開始されています。この新基準は米国立標準技術研究所(NIST)が公開したガイドライン「NIST SP800-171(以下、NIST171)」を参考にしており、ほぼ同様の水準を調達先に求めるものです。詳細はこちらをご参照ください。

米国の基準、日本の旧基準、新基準の比較

米国の基準、日本の旧基準、新基準の比較
出典:防衛装備庁の資料(https://www.mod.go.jp/atla/cybersecurity.html)をもとにニュートン・コンサルティングが作成
【適用対象】
新基準は、防衛装備庁と直接調達契約を締結する企業だけでなく、その調達企業のサプライチェーンネットワークに含まれる委託先企業も準拠が求められます。
【適用期間】
新基準の適用は、2023年度の調達契約から開始されています。実際にはシステム換装等を考慮し最長5年間の移行期間が設けられていますが、厳格な要求が課せられているため、対象企業は計画的に新基準への対応を進める必要があります。

このようなお客様におすすめします

  • 防衛産業に何らかの形で関わっている
  • 防衛装備庁や防衛省と直接契約を結ぶ企業だけでなく、サプライチェーンネットワークに含まれる委託先
  • 防衛産業サイバーセキュリティ基準に準拠するための具体的な対策が不明確
  • 自社での基準適用に向けた体制や手続きに不安を感じている
  • 現行基準ISO27001/2022等には準拠しているが、防衛産業サイバーセキュリティ基準に準拠するための適切なアプローチが必要
  • 最新のサイバーセキュリティ対策を導入し、事業の継続性と信頼性を保つことを希望している

サービスの特長

1. NISTフレームワーク等を通じて、防衛産業向けに求められる基準を理解したコンサルタントが支援
新基準に準拠するには、各種基準等の詳細まで深く理解する必要があります。そのためコンサルタントの専門的知識が不足していると、対策を行う企業側に多大な負荷をかけてしまいます。豊富な知識と実績をもつコンサルタントが支援する本サービスであれば、最短距離での実装を可能にします。
2. NIST171と防衛産業向けの違い、特徴を押さえた支援
当社のコンサルタントは、新基準の参考となる米国のNIST171にも精通しています。具体的な対策を検討する際に、必ずどこまで対策すればよいか迷うポイントが出てきますが、このNIST171を理解していることで、本質的なコンサルティングの支援が可能となります。
また、NIST171を参考としているとはいえ、比較すると新基準には以下のような違いがありますので、違いを踏まえた支援を致します。
  • 体制と役割、責任を厳格に明確化(管理者、管理責任者、統括者等)
  • 物理的・環境的セキュリティに関する詳細な要件
  • 情報セキュリティ事故等発生時の統括者による防衛省への報告
  • セキュリティ監査(防衛省による監査含む)
  • アクセス制御方針の詳細な要件等
3. お客様の特性・ニーズに合わせた、柔軟な支援
お客様の組織の規模や状況、要望に応じて、サポート範囲や作業ステップをカスタマイズすることができます。
また優先すべき課題や対象とすべき範囲や期間などについても柔軟に対応致します。
また、評価後の各種対策の実装についてもオプションとしてアドバイス致します。

主な成果物(例)

最終報告書を含め、評価・監査に用いた各種ツールや資料類を納品します。 以下は主な成果物の一例です。

  • 防衛産業サイバーセキュリティ基準評価支援キックオフ資料
  • トップインタビューシートおよび議事録
  • 保護すべき情報一覧
  • 現状分析・評価シート
  • IT・セキュリティ部門インタビューシートおよび議事録
  • 受領資料整理分類表
  • 情報セキュリティ基本方針
  • 情報セキュリティ規則
  • 情報セキュリティ実施手順
  • システムセキュリティ実装計画書
  • 実装ロードマップ
  • プロジェクト管理資料一式
  • セキュリティレビュー資料一式
  • プロジェクト報告書

支援範囲と作業ステップ(例)

下図は防衛産業サイバーセキュリティ基準評価支援コンサルティングサービスの一般的な流れです。
お客様のご要望によって支援範囲のカスタマイズも承ります。例えば、報告書作成や報告会の開催などが不要な場合には、推進計画の策定、各種セキュリティ対策の実装までをご支援範囲にすることもできます。

作業ステップ図

サービス概要

防衛産業サイバーセキュリティ基準評価支援コンサルティングサービス

概要 企業が防衛産業サイバーセキュリティ基準に迅速かつ効果的に対応できるよう、最適な支援を提供するサービスです。
対象企業 新たな「防衛産業サイバーセキュリティ基準」への対応を求められている企業や組織
期間 3ヶ月~
価格 応相談
成果物
  • 防衛産業サイバーセキュリティ基準評価支援キックオフ資料
  • トップインタビューシートおよび議事録
  • 保護すべき情報一覧
  • 現状分析・評価シート
  • IT・セキュリティ部門インタビューシートおよび議事録
  • 受領資料整理分類表
  • 情報セキュリティ基本方針
  • 情報セキュリティ規則
  • 情報セキュリティ実施手順
  • システムセキュリティ実装計画書
  • 実装ロードマップ
  • プロジェクト管理資料一式
  • セキュリティレビュー資料一式
  • プロジェクト報告書

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。 こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。

同意して閉じる
TOPへ戻る