NIST SP800-171とは、NIST(米国国立標準技術研究所)によって発行された、機密情報以外の重要情報(CUI)(※)を取り扱う者が実施すべきセキュリティ要件をまとめたガイドラインです。米国連邦政府は取引企業に対してNIST SP800-171への準拠を義務付けており、米国のみならずグローバルでのセキュリティ施策のスタンダードとなっています。近年では、日本国内においても防衛省がNIST SP800-171をベースにした調達基準「防衛産業サイバーセキュリティ基準」を公表したほか、経済安全保障推進法が成立するなど、NIST SP800-171の重要性は高まっています。NIST SP800-171について詳細はこちらをご覧ください。
本サービスでは、NIST SP800-171への準拠が必要な企業/組織などに対し、そのシステムやプロセスがセキュリティ対策の観点で適切なレベルかを第三者の立場から監査いたします。NIST SP800-171 セキュリティ構築支援サービスについてはこちらをご覧ください。
※CUI:より厳格な管理が必要な機密情報であるCI(Classified Information、格付け情報)に対し、機密情報以外の重要情報をCUI(Controlled Unclassified Information)と呼びます。米国立公文書記録管理局(NARA)が管理するCUIレジストリーでは、業種ごとにCUIに該当する項目を示しており、例えば金融機関においては「金融業務上の秘密、予算、電子資金取引情報、買収関連情報、苦情情報など」がCUIに該当するとしています。
サービス提供の主な流れは以下の通りです。キックオフから監査報告まで、最短で4ヶ月で行います。
※対象システムコンポーネントの数により期間は増減します
以下の成果物を納品します。また、これ以外にも精緻な監査のために必要な資料があれば適宜作成します。
| # | 名称 | 内容 |
|---|---|---|
| 1 | NIST SP800-171セキュリティ監査キックオフ資料 | キックオフを行うための資料(一部監査計画書の検討内容を含む) |
| 2 | トップインタビューシート | 事業責任者(社長等)とセキュリティ責任者(CISO等)を対象としたトップインタビューのアジェンダを示したシート |
| 3 | トップインタビュー議事録 | トップインタビューの結果を取りまとめた議事録 |
| 4 | NIST SP800-171セキュリティ監査スケジュール | 監査の詳細なスケジュール |
| 5 | NIST SP800-171セキュリティ監査計画書 | 監査の目的、対象範囲、体制、スケジュール、監査基準等を記載した計画書 |
| 6 | NIST SP800-171セキュリティ監査シート | NIST SP800-171の110項目を監査用向けに詳細にし、システムの共通部分や個別に監査すべき項目などを示したシート |
| 7 | インタビューシート | 監査のための各種インタビュー項目を示したシート |
| 8 | インタビュー議事録 | 各種インタビューの議事録。監査証跡としても活用 |
| 9 | NIST SP800-171セキュリティ監査証跡一覧 | 監査証跡を取りまとめたリスト |
| 10 | NIST SP800-171セキュリティ監査結果報告書 | 監査結果をとりまとめた報告書(NIST SP800-171の各項目に対して「適合、不適合」等を示し、改善方法にも言及) |
| 概要 | NIST SP800-171への準拠が必要な企業/組織などに対し、そのシステムやプロセスがセキュリティ対策の観点で適切なレベルかを第三者の立場から監査します。終了後には、監査を実施したことを示す報告書を発行します。 |
|---|---|
| 対象企業 |
|
| 期間 | 4ヶ月~ ※CUIの考え方と対象システム範囲によって異なります |
| 価格 | 応相談 |
| 成果物 |
|
日本発の内視鏡AIを世界へ。NIST CSF適用でセキュリティ強化
CSIRT構築をきっかけに高まった、経営層のリスク意識
商船三井グループ全対応、重大ICTインシデント対応体制を構築
経営陣が一堂に会し、その場で意思決定する、実践に即したサイバー演習
標的型メール訓練で初動対応強化。全社のリアルな動きをチェック
金融庁と財務局合同、共通の意識確認を促すサイバーセキュリティ研修
ISMS起点での標的型メール訓練。今後の改善ポイントを洗い出し
03-3239-9209
