ニュートン・コンサルティング、 セキュリティ対策基準「NIST SP800-171」に対応 　～国際的なガイドラインへの準拠で 高度なサイバーセキュリティを実現～

リスクマネジメントコンサルティングを手掛けるニュートン・コンサルティング株式会社(本社：東京都千代田区、代表取締役社長：副島 一也)は、米国国立標準技術研究所(National Institute of Standards and Technology 以下、NIST)が定めたセキュリティ基準を示すガイドライン「NIST SP800-171」へ2024年1月9日に準拠し、高度な情報セキュリティ体制の構築を完了しました。

1. NIST SP800-171準拠の背景
   近年、国際的なサイバー攻撃の増加と高度化に伴い、その標的は無差別かつあらゆる産業に拡大しています。各組織における防御体制や情報保護対策の強化は、より高い水準を求められる状況です。

この情勢を受けて、先進的なサイバーセキュリティ対策で知られる米国では、政府機関を中心とした各組織にNISTが策定したセキュリティ要件等を基にした、より強固で高度な対策をサプライチェーンに求め始めています。日本においてもサイバーセキュリティの強化は国を挙げて取り組むべき最重要課題の一つとなっており、NIST SP800-171をベースにした「防衛産業サイバーセキュリティ基準」の公表にいたっています。サプライチェーン攻撃対策へのいわば実質的な国際標準となりつつあるのが、NIST SP800-171です。

2. NIST SP800-171とは
   NIST SP800-171は、米国の国家安全保障上重要な情報のうち秘密指定のされていない情報であるCUI(Controlled Unclassified Information)を保護するために、NISTが規定した民間企業向けのガイドラインです。

NISTではサイバー脅威から米国政府機関における機密情報：CI(Classified Information)を守るためのガイドラインである「NIST SP800-53」も策定していますが、NIST SP800-171は米国政府機関の下請け企業、サプライチェーン全体を対象としているという特徴があります。

NIST SP800-171は、体制やルールおよびプロセスから技術的な対策までを、バランスよくセキュリティ要件として整理しているうえに、類似するセキュリティフレームワークの中でも要求されるレベルが高度となっています。これにより、NIST SP800-171に準拠することで、組織の総合的なセキュリティレベルの向上につながります。

3. 国内でのNIST SP800-171の重要性
   日本国内でもNIST SP800-171の重要性が高まっており、防衛省は2022年4月、NIST SP800-171をベースにした調達基準「防衛産業サイバーセキュリティ基準」を公表し、2023年度の契約から適用を開始しました。また、2022年5月に可決された「経済安全保障推進法」では、サプライチェーンや基幹インフラのセキュリティ強化、特定技術の保護などが定められています。

4. ニュートン・コンサルティングの対応
   ニュートン・コンサルティングは、従来から情報セキュリティマネジメント規格ISO27001:2022の認証を取得しておりましたが、より高度なセキュリティを確保することを目的として、NIST SP800-171に準拠した以下の対応を行いました。

NIST SP800-171準拠の概要

この取り組みは、お客様へのコンサルティング支援データおよび業務ネットワークやシステム全般(メール、コミュニケーションツール、データ保管ストレージ等)を対象としております。

5． ニュートン・コンサルティングのセキュリティ体制
ニュートン・コンサルティングは「NCiSIRT」と名付けたCSIRTを設け、セキュリティレベルの向上に取り組んでいます。

NCiSIRTの名称には、その姿勢を表す意味を込めています。

N＝Newton, Network
C＝Consulting、Cyber、Computer
i＝Information
S＝Security
I＝Incident
R＝Response
T＝Team

NCiSIRTは旧来のISMS(情報セキュリティマネジメントシステム)チームとITチーム(情報システムの運用・保守等を対応)を統合した組織です。CISOを責任者として、セキュリティ体制の最適化を図っています。

NCiSIRTの体制

NIST SP800-171準拠の対応をはじめ、あらゆるセキュリティインシデントに対し、実効力のあるチーム体制にて今後も取り組んでまいります。

・ニュートンのCSIRT「NCiSIRT」について詳細
https://www.newton-consulting.co.jp/policy/csirt.html

6. コンサルティングサービスの紹介
   なお、ニュートン・コンサルティングでは、お客様の組織に対するNIST SP800-171準拠に関するコンサルティングサービスも提供しております。

・NIST SP800-171セキュリティ構築支援コンサルティングサービスについて詳細
https://www.newton-consulting.co.jp/solution/cyber/nist_sp800_compliance.html

・NIST SP800-171セキュリティ監査支援コンサルティングサービスについて詳細
https://www.newton-consulting.co.jp/solution/cyber/nist_sp800.html

このたびの自社におけるNIST SP800-171対応の知見をふまえ、お客様のセキュリティ強化のご支援においても、より高度なサービスの提供を目指します。

https://www.newton-consulting.co.jp/
社名　　：ニュートン・コンサルティング株式会社
所在地　：東京都千代田区麹町1-7 相互半蔵門ビルディング5F
設立　　：2006年11月13日
資本金　：30,000,000円(2023年12月末時点)
代表者　：代表取締役社長　副島 一也
事業内容：リスクマネジメントに関わるコンサルティング

内閣府、内閣サイバーセキュリティセンター、経済産業省、一般社団法人全国銀行協会、東京ガス株式会社、三菱商事株式会社、積水化学工業株式会社、武田薬品工業株式会社、ヤフー株式会社、デル・テクノロジーズ株式会社、他、約2,000社の支援実績を有する
～お客様事例～
https://www.newton-consulting.co.jp/casestudy/