NIST SP800-171 セキュリティ監査支援コンサルティングサービス

NIST SP800-171とは、NIST(米国国立標準技術研究所)によって発行された、機密情報以外の重要情報(CUI)(※)を取り扱う者が実施すべきセキュリティ要件をまとめたガイドラインです。米国連邦政府は取引企業に対してNIST SP800-171への準拠を義務付けており、米国のみならずグローバルでのセキュリティ施策のスタンダードとなっています。近年では、日本国内においても防衛省がNIST SP800-171をベースにした調達基準「防衛産業サイバーセキュリティ基準」を公表したほか、経済安全保障推進法が成立するなど、NIST SP800-171の重要性は高まっています。NIST SP800-171について詳細はこちらをご覧ください。

本サービスでは、NIST SP800-171への準拠が必要な企業/組織などに対し、そのシステムやプロセスがセキュリティ対策の観点で適切なレベルかを第三者の立場から監査いたします。NIST SP800-171 セキュリティ構築支援サービスについてはこちらをご覧ください。

※CUI:より厳格な管理が必要な機密情報であるCI(Classified Information、格付け情報)に対し、機密情報以外の重要情報をCUI(Controlled Unclassified Information)と呼びます。米国立公文書記録管理局(NARA)が管理するCUIレジストリーでは、業種ごとにCUIに該当する項目を示しており、例えば金融機関においては「金融業務上の秘密、予算、電子資金取引情報、買収関連情報、苦情情報など」がCUIに該当するとしています。

サービスの特長

・ 第三者の立場から監査を行い、報告書を発行します

NIST SP800-171のセキュリティ基準に基づき、第三者の立場から監査を実施します。システム整備状況や運用状況などについて、NIST SP800-171に照らして過不足を可視化し、監査終了後には報告書を発行します。報告書は、監査項目について第三者の立場から監査を行ったことを示すものになります。
※監査に当たっては、CUIが決定され、CUIを保有するシステムコンポーネントが明確になっていることが前提となります

・資格や経験を有するプロが監査を担当します

監査を担当するのは、CISA、CISSP等の資格を有し、かつNIST SP800-171準拠支援の経験も豊富なメンバーです。NIST SP800-171は様々な資料に言及しているため、全体像を把握するだけでも難しく、それらを実装レベルで理解するにはさらに高度なスキルが必要です。資格と経験を有するプロが監査を実施することで、CUIの選定、ITシステムの境界、境界の認証とモニタリング、暗号化とその鍵管理などについて、監査のレベルを担保します。

支援ステップ(例)

サービス提供の主な流れは以下の通りです。キックオフから監査報告まで、最短で4ヶ月で行います。
※対象システムコンポーネントの数により期間は増減します

成果物(例)

以下の成果物を納品します。また、これ以外にも精緻な監査のために必要な資料があれば適宜作成します。

# 名称 内容
1 NIST SP800-171セキュリティ監査キックオフ資料 キックオフを行うための資料(一部監査計画書の検討内容を含む)
2 トップインタビューシート 事業責任者(社長等)とセキュリティ責任者(CISO等)を対象としたトップインタビューのアジェンダを示したシート
3 トップインタビュー議事録 トップインタビューの結果を取りまとめた議事録
4 NIST SP800-171セキュリティ監査スケジュール 監査の詳細なスケジュール
5 NIST SP800-171セキュリティ監査計画書 監査の目的、対象範囲、体制、スケジュール、監査基準等を記載した計画書
6 NIST SP800-171セキュリティ監査シート NIST SP800-171の110項目を監査用向けに詳細にし、システムの共通部分や個別に監査すべき項目などを示したシート
7 インタビューシート 監査のための各種インタビュー項目を示したシート
8 インタビュー議事録 各種インタビューの議事録。監査証跡としても活用
9 NIST SP800-171セキュリティ監査証跡一覧 監査証跡を取りまとめたリスト
10 NIST SP800-171セキュリティ監査結果報告書 監査結果をとりまとめた報告書(NIST SP800-171の各項目に対して「適合、不適合」等を示し、改善方法にも言及)
      

 

サービス概要

NIST SP800-171 セキュリティ監査支援コンサルティングサービス
対象企業 ・米国政府と取引があり、NIST SP800-171への準拠が求められる組織
・米国内での製品/サービス提供を行う組織
・日本政府(防衛省など)の調達に関係する組織
・グローバル・スタンダードに基づきセキュリティを強化している組織
サービス概要 NIST SP800-171への準拠が必要な企業/組織などに対し、そのシステムやプロセスがセキュリティ対策の観点で適切なレベルかを第三者の立場から監査します。終了後には、監査を実施したことを示す報告書を発行します。
期間 4ヶ月~
※CUIの考え方と対象システム範囲によって異なります
価格 応相談
成果物 NIST SP800-171セキュリティ監査キックオフ資料
トップインタビューシート
トップインタビュー議事録
NIST SP800-171セキュリティ監査スケジュール
NIST SP800-171セキュリティ監査計画書
NIST SP800-171セキュリティ監査シート
インタビューシート
インタビュー議事録
NIST SP800-171セキュリティ監査証跡一覧
NIST SP800-171セキュリティ監査結果報告書

お問い合わせ

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

動画アーカイブ

セミナー動画などをご覧いただけます。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる