サイバーセキュリティ監査サービス(NIST SP800-171準拠)

昨今、サプライチェーンを狙ったサイバー攻撃が増加傾向にあり、IPAが2019年8月に公開した「セキュリティ10大脅威」でも初登場で4位に位置付けられています。米国では政府機関が行う調達取引において全世界の取引先企業にNIST SP800-171への準拠が義務付けられました。NIST SP800-171とは、米国政府機関が調達する製品や技術などを開発・製造する企業に対して、セキュリティ基準を示したガイドラインです。これに追随し、日本でも防衛省 (防衛装備庁)が同様の対応を取引先企業に求めるようになりました。

防衛省と直接の取引がなくても、NIST SP800-171は業務委託先に対してセキュリティ強化を要求する内容のため、ITに依拠したサプライチェーンを持つ企業にとって早急に対応を検討したいガイドラインです。

このような動きは各国に広がっており、今後あらゆるところでNIST SP800-171準拠を求められ、このレベルに達していなければ業務パートナーから信頼が得られにくくなるなど、ビジネスの成否に影響する可能性があります。NIST SP800-171は他のガイドライン同様、違反した場合は契約解除や刑事処罰の対象になり得ます。

本サービスはNIST SP800-171への準拠が必要な企業、組織に対し、そのシステムやプロセスがセキュリティ対策の観点で適切なレベルかを監査するサービスです。

1. NIST SP800-171基準でセキュリティ状況を可視化し、あるべき姿に対するギャップを特定します。
   NIST SP800-171に加えて、NIST Cyber Security Frameworkや弊社の様々なフレームワーク監査経験や弊社独自の知見も反映した監査基準に基づき、整備状況や運用状況の監査を行い、過不足を可視化します。
    
2. ギャップに基づき、具体的な改善策を提示します。
   物理的なセキュリティを含めたITシステムの運用管理から複数の委託先を含むサプライチェーンまで広範囲にわたって監査を行います。規程やマニュアルレベルでの具体的な改善点や、ルール・プロセスの最適化、体制変更、人材に必要なスキル、セキュリティプロダクトによる強化など様々な観点から改善策を提示します。

セキュリティ対策に関するルールや整備状況を監査した後、必要に応じて数週間～数ヶ月の運用定着期間を設け、運用状況について監査します。
サービス提供の主な流れは以下の通りです。

監査報告書として、業界で用いられている様々なベストプラクティスに基づき、重点を置いて改善すべきポイントや改善方法等をご報告します。