NIST SP800-171セキュリティ構築支援サービスを 9月14日提供開始　 ～国際的なサイバーセキュリティスタンダードに対応～

リスクマネジメントコンサルティングを手掛けるニュートン・コンサルティング株式会社(本社：東京都千代田区、代表取締役社長：副島 一也)は2022年9月14日より、サイバーセキュリティガイドライン「NIST SP800-171」関連サービスをリニューアルします。従来ご提供していた「NIST SP800-171セキュリティ監査支援サービス」に加え、「NIST SP800-171セキュリティ構築支援サービス」を提供開始します。

URL：

https://www.newton-consulting.co.jp/solution/cyber/nist_sp800_compliance.html

https://www.newton-consulting.co.jp/solution/cyber/nist_sp800.html

1. サービスリリースの背景
   NIST SP800-171とは、NIST(米国国立標準技術研究所)によって発行された、機密情報以外の重要情報(CUI)(※)を取り扱う者が実施すべきセキュリティ要件をまとめたガイドラインです。米国連邦政府は取引企業に対してNIST SP800-171への準拠を義務付けており、米国のみならずグローバルでのセキュリティ施策のスタンダードとなっています。近年では、日本国内においても防衛省がNIST SP800-171をベースにした調達基準「防衛産業サイバーセキュリティ基準」を公表したほか、経済安全保障推進法が成立するなど、NIST SP800-171の重要性は高まっています。

こうした情勢を踏まえ、当社ではNIST SP800-171セキュリティ構築支援サービスを提供開始いたします。本サービスでは、NIST SP800-171への準拠に向けたセキュリティ構築のため、ギャップ分析から対策の導入までをご支援します。また、従前よりご提供しているNIST SP800-171セキュリティ監査支援サービスでは、組織のセキュリティシステムやプロセスがNIST SP800-171に照らして適切なレベルかを第三者の立場から監査いたします。これによって、NIST SP800-171への準拠状況について対外的なアピールが可能になります。

※CUI：より厳格な管理が必要な機密情報であるCI(Classified Information、格付け情報)に対し、機密情報以外の重要情報をCUI(Controlled Unclassified Information)と呼びます。米国立公文書記録管理局(NARA)が管理するCUIレジストリーでは、業種ごとにCUIに該当する項目を示しており、例えば金融機関においては「金融業務上の秘密、予算、電子資金取引情報、買収関連情報、苦情情報など」がCUIに該当するとしています。

2. 「NIST SP800-171セキュリティ構築支援サービス」概要

●NIST SP800-171への準拠に向けたセキュリティ構築のため、ギャップ分析から対策の導入まで支援します
NIST SP800-171への準拠に向けてまず取り組むべきはCUIの定義／可視化と現状分析／評価を行い、AsIs(現状)とToBe(あるべき姿)のギャップを明確にすることです。具体的には最初に規程類や設計書等にて全体を評価するとともに、定期的に確認会を開きながら、110のセキュリティ要件の一つ一つを詳細にレビューしていきます。その結果に基づき、SSP(System Security Plan)とPOAM(Plan of Action and Milestone)を作成し、具体的なセキュリティ対策の実装へと進む、息の長いプロジェクトとなります。この一連の流れをアドバイザリーとPMOという形で支援します。

●米国の認証制度「CMMC 2.0」に基づく支援をいたします
米国では、NIST SP800-171をベースとしたサイバーセキュリティの成熟度モデル認定(Cybersecurity Maturity Model Certification)の認証制度「CMMC 2.0」の運用が始まっています。CMMC 2.0では取り組むべきセキュリティレベルが3段階で明確に示されており、NIST SP800-171への準拠にも活用できます。この3段階のレベルに基づき、NIST SP800-171への準拠に向けたセキュリティ構築を支援します。

●NIST SP800-171のポイントを押さえたプロが支援します
NIST SP800-171への準拠にはいくつかのポイントがありますが、中でもCUIの定義、CUIを保管するシステムの境界設計、FIPS準拠した暗号モジュールの実装、多要素認証の強化は確実に押さえておくべきです。しかしながら、こうした内容は、NIST SP800-171はもちろん、NIST SP800-171が参照している他のガイドラインや最新の技術レベルを知らないと対応が困難です。ニュートン・コンサルティングではNIST SP800-171準拠に向けたセキュリティ構築支援を数多く手掛けてきた経験豊富なコンサルタントが、その経験やノウハウを活かして効果的な支援を行います。

●監査支援に絞ったサービスも別途ご提供可能です
組織のセキュリティレベルがNIST SP800-171に照らして適切かどうか監査のみしてほしいというお客様には、別途「NIST SP800-171セキュリティ監査支援サービス」をご提供可能です。NIST SP800-171のセキュリティ基準に基づき、第三者の立場から監査を実施します。

トップインタビューで投資や育成等のセキュリティ戦略をお聞きし、その後、CUIの定義／可視化、現状分析／評価、推進計画の作成、具体的なセキュリティ対策の実装と進みます。CUIの定義／可視化や、現状分析／評価などでフェーズを区切って支援することも可能です。

支援ステップ(例)

・米国政府と取引があり、NIST SP800-171への準拠が求められる組織
・米国内での製品／サービス提供を行う組織
・日本政府(防衛省など)の調達に関係する組織
・グローバル・スタンダードに基づきセキュリティを強化している組織

応相談

応相談

・NIST SP800-171セキュリティ構築支援キックオフ資料
・トップインタビューシートおよび議事録
・CUI検討シート
・CUI一覧
・現状分析・評価シート
・IT・セキュリティ部門インタビューシートおよび議事録
・受領資料整理分類表
・SSP(System Security Plan)
・POAM(Plan of Action and Milestone)
・実装ロードマップ
・プロジェクト管理資料一式
・セキュリティレビュー資料一式
・プロジェクト報告書

https://www.newton-consulting.co.jp/
社名　　：ニュートン・コンサルティング株式会社
所在地　：東京都千代田区麹町1-7 相互半蔵門ビルディング5F
設立　　：2006年11月13日
資本金　：30,000,000円(2021年12月末時点)
代表者　：代表取締役社長　副島 一也
事業内容：リスクマネジメントに関わるコンサルティング

内閣府、内閣サイバーセキュリティセンター、経済産業省、一般社団法人全国銀行協会、東京ガス株式会社、三菱商事株式会社、積水化学工業株式会社、武田薬品工業株式会社、ヤフー株式会社、デル・テクノロジーズ株式会社、他、約1,800社の支援実績を有する

～お客様事例～
https://www.newton-consulting.co.jp/casestudy/