NIST SP800-171に基づくセキュリティ監査支援

サプライチェーンにおける情報管理の重要性

昨今、サプライチェーンを狙ったサイバー攻撃が増加傾向にあり、IPAが2019年8月に公開した「セキュリティ10大脅威」でも初登場で4位に位置付けられています。米国では政府機関が行う調達取引において全世界の取引先企業にNIST SP800-171への準拠が義務付けられました。NIST SP800-171とは、米国政府機関が調達する製品や技術などを開発・製造する企業に対して、セキュリティ基準を示したガイドラインです。これに追随し、日本でも防衛省 (防衛装備庁)が同様の対応を取引先企業に求めるようになりました。

防衛省と直接の取引がなくても、NIST SP800-171は業務委託先に対してセキュリティ強化を要求する内容のため、ITに依拠したサプライチェーンを持つ企業にとって早急に対応を検討したいガイドラインです。

このような動きは各国に広がっており、今後あらゆるところでNIST SP800-171準拠を求められ、このレベルに達していなければ業務パートナーから信頼が得られにくくなるなど、ビジネスの成否に影響する可能性があります。NIST SP800-171は他のガイドライン同様、違反した場合は契約解除や刑事処罰の対象になり得ます。

本サービスはNIST SP800-171への準拠が必要な企業、組織に対し、そのシステムやプロセスがセキュリティ対策の観点で適切なレベルかを監査するサービスです。

NIST SP800-171 セキュリティ監査支援サービスのメリット

  1. NIST SP800-171基準でセキュリティ状況を可視化し、あるべき姿に対するギャップを特定します。
    NIST SP800-171に加えて、NIST Cyber Security Frameworkや弊社の様々なフレームワーク監査経験や弊社独自の知見も反映した監査基準に基づき、整備状況や運用状況の監査を行い、過不足を可視化します。
     
  2. ギャップに基づき、具体的な改善策を提示します。
    物理的なセキュリティを含めたITシステムの運用管理から複数の委託先を含むサプライチェーンまで広範囲にわたって監査を行います。規程やマニュアルレベルでの具体的な改善点や、ルール・プロセスの最適化、体制変更、人材に必要なスキル、セキュリティプロダクトによる強化など様々な観点から改善策を提示します。

作業ステップ(例)

セキュリティ対策に関するルールや整備状況を監査した後、必要に応じて数週間~数ヶ月の運用定着期間を設け、運用状況について監査します。
サービス提供の主な流れは以下の通りです。

成果物イメージ

監査報告書として、業界で用いられている様々なベストプラクティスに基づき、重点を置いて改善すべきポイントや改善方法等をご報告します。

      

 

サービス概要

NIST SP800-171に基づくセキュリティ監査支援

対象企業 特に米国政府や防衛省(防衛装備庁)と取引がある、グローバル展開するお客様
サービス概要 システムの整備状況、運用状況について、セキュリティレベルの監査を行います。NIST SP800-171で特に問われる部分の技術的なセキュリティ対策に加え、一般的な情報セキュリティも含めて改善策を提案します。
期間 3ヶ月~
価格 300万円~
成果物 セキュリティ監査実施計画書
セキュリティ監査シート
セキュリティ監査実施結果報告書

お問い合わせ

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる