NIST SP800-171 セキュリティ監査支援コンサルティングサービス
NIST SP800-171とは、NIST(米国国立標準技術研究所)によって発行された、機密情報以外の重要情報(CUI)(※)を取り扱う者が実施すべきセキュリティ要件をまとめたガイドラインです。米国連邦政府は取引企業に対してNIST SP800-171への準拠を義務付けており、米国のみならずグローバルでのセキュリティ施策のスタンダードとなっています。近年では、日本国内においても防衛省がNIST SP800-171をベースにした調達基準「防衛産業サイバーセキュリティ基準」を公表したほか、経済安全保障推進法が成立するなど、NIST SP800-171の重要性は高まっています。NIST SP800-171について詳細はこちらをご覧ください。
本サービスでは、NIST SP800-171への準拠が必要な企業/組織などに対し、そのシステムやプロセスがセキュリティ対策の観点で適切なレベルかを第三者の立場から監査いたします。NIST SP800-171 セキュリティ構築支援サービスについてはこちらをご覧ください。
※CUI:より厳格な管理が必要な機密情報であるCI(Classified Information、格付け情報)に対し、機密情報以外の重要情報をCUI(Controlled Unclassified Information)と呼びます。米国立公文書記録管理局(NARA)が管理するCUIレジストリーでは、業種ごとにCUIに該当する項目を示しており、例えば金融機関においては「金融業務上の秘密、予算、電子資金取引情報、買収関連情報、苦情情報など」がCUIに該当するとしています。
サービスの特長
- 1. 第三者の立場から監査を行い、報告書を発行します
- NIST SP800-171のセキュリティ基準に基づき、第三者の立場から監査を実施します。システム整備状況や運用状況などについて、NIST SP800-171に照らして過不足を可視化し、監査終了後には報告書を発行します。報告書は、監査項目について第三者の立場から監査を行ったことを示すものになります。
※監査に当たっては、CUIが決定され、CUIを保有するシステムコンポーネントが明確になっていることが前提となります - 2. 資格や経験を有するプロが監査を担当します
- 監査を担当するのは、CISA、CISSP等の資格を有し、かつNIST SP800-171準拠支援の経験も豊富なメンバーです。NIST SP800-171は様々な資料に言及しているため、全体像を把握するだけでも難しく、それらを実装レベルで理解するにはさらに高度なスキルが必要です。資格と経験を有するプロが監査を実施することで、CUIの選定、ITシステムの境界、境界の認証とモニタリング、暗号化とその鍵管理などについて、監査のレベルを担保します。
成果物(例)
以下の成果物を納品します。また、これ以外にも精緻な監査のために必要な資料があれば適宜作成します。
# | 名称 | 内容 |
---|---|---|
1 | NIST SP800-171セキュリティ監査キックオフ資料 | キックオフを行うための資料(一部監査計画書の検討内容を含む) |
2 | トップインタビューシート | 事業責任者(社長等)とセキュリティ責任者(CISO等)を対象としたトップインタビューのアジェンダを示したシート |
3 | トップインタビュー議事録 | トップインタビューの結果を取りまとめた議事録 |
4 | NIST SP800-171セキュリティ監査スケジュール | 監査の詳細なスケジュール |
5 | NIST SP800-171セキュリティ監査計画書 | 監査の目的、対象範囲、体制、スケジュール、監査基準等を記載した計画書 |
6 | NIST SP800-171セキュリティ監査シート | NIST SP800-171の110項目を監査用向けに詳細にし、システムの共通部分や個別に監査すべき項目などを示したシート |
7 | インタビューシート | 監査のための各種インタビュー項目を示したシート |
8 | インタビュー議事録 | 各種インタビューの議事録。監査証跡としても活用 |
9 | NIST SP800-171セキュリティ監査証跡一覧 | 監査証跡を取りまとめたリスト |
10 | NIST SP800-171セキュリティ監査結果報告書 | 監査結果をとりまとめた報告書(NIST SP800-171の各項目に対して「適合、不適合」等を示し、改善方法にも言及) |