NIST SP800-171 準拠セキュリティ支援ソリューション

サプライチェーンを含めたトータルなサイバーセキュリティ対策強化の第一歩

昨今のサイバー攻撃は、ランサム攻撃に代表されるように、企業の本社や支社だけでなく、企業と取引のあるサプライチェーンを含めたサイバーセキュリティ対策を十全に講じていないと、わずかな脆弱性の隙をつかれて、企業活動全体を休止せざるを得なくなる危険をはらんでいます。

そこでサプライチェーンも含めた高度なセキュリティガイドラインとして米国国立標準技術研究所（National Institute of Standards and Technology 以下 NIST）が定めたNIST SP800-171が注目されるようになりました。SPとはSpecial Publicationの略で特別出版物を意味します。また800はサイバーセキュリティの研究やガイドライン等を意味するシリーズ番号です。171はその文書番号に相当します。

日本国内でも防衛装備庁が防衛装備品の調達等に関して、 2022年4月にNIST SP800-171 に準じる「防衛産業サイバーセキュリティ基準」を整備し、2023年から適用したことを発端に、日本企業においても次々とサプライチェーンのサイバーセキュリティ対策強化のためにNIST SP800-171準拠に向けて、早急に対処する動きが出てきました。

企業間の情報のやり取りが活発化するなかでビジネスが成り立つ現代、単に企業グループ内のサプライチェーン（下請け、孫請け等）だけに止まらず、企業活動にとって必要不可欠なサイバーセキュリティ対策として、 NIST SP800-171準拠を求める動きが広がってきています。これは事業を継続する上で必須のガイドラインとして位置づけられていることを意味します。

サプライチェーンを含めたトータルなサイバーセキュリティ対策の重要性が強く問われている現在、その対策として、NIST SP800-171準拠が喫緊に求められています。　

株式会社GRCSは、NIST SP800-171準拠に関するセキュリティ支援ソリューションを通じて、お客様のサプライチェーンを含めたトータルなサイバーセキュリティ対策強化に寄与し、安心して事業継続できる環境構築にご協力いたします。

NIST SP800-171とは

NISTはもともと連邦政府機関の機密情報に関してNIST SP800-53と呼ばれるプライバシーとセキュリティの管理を規定したガイドラインを2005年2月に設けていました。この対象組織を連邦政府機関以外の民間企業や組織に拡大し、機密情報以外の重要情報の保護を含めたセキュリティ基準を示すガイドラインとしてNIST SP800-171が2015年6月に策定されました。
現在は2024年5月に改訂された第3版のNIST SP800-171 Rev.3が最新版です。

サプライヤーの選定と評価プロセスにおいての情報セキュリティガイドラインが定められています。

アクセス制御と情報の物理的な保護を重視し、製造設備やプロセスに関わる機密情報が外部に漏洩しないようにセキュリティ対策の強化が求められます。

顧客データの安全な取扱いと保護を確保し、取引時の情報漏洩を防ぐために暗号化やセキュリティプロトコルの実施が求められます。

製品やサービスが最終消費者に安全に届けられるよう、配送と物流の各ステージでのセキュリティ対策を講じ、サプライチェーン全体の透明性と追跡可能性を向上させます。

横スクロールしてください

	要件	内容	確認項目数	管理項目数	サイバーセキュリティフレームワーク
	要件	内容	確認項目数	管理項目数	統治	特定	防御	検知	対応	復旧
1	アクセス管理	システムや重要情報にアクセスができる人や機能を制限する	16	44	〇	〇	〇
2	意識向上および訓練	セキュリティポリシーの遵守と、その遂行にむけた訓練を行なう	2	4	〇	〇	〇	〇	〇	〇
3	監査および説明責任	システムの監査が可能であり、責任の所在を明確化できること	8	17	〇			〇	〇
4	構成管理	システム構成機器を把握し、それらのセキュリティ構成設定を管理する	10	25	〇	〇	〇
5	識別および認証	システムにアクセスできる利用者やデバイスの識別と認証を行なう	8	22	〇	〇	〇
6	インシデント対応	インシデント対応能力を確立し、インシデントの追跡や報告をする	5	12	〇	〇	〇	〇	〇
7	メンテナンス	組織のシステムのメンテナンスを行なう	3	10	〇	〇	〇	〇	〇	〇
8	記憶媒体の保護	重要情報を含むシステムの記録媒体を保護する	7	11	〇	〇	〇		〇	〇
9	要員のセキュリティ	重要情報を含むシステムへのアクセス権限の際は、その個人を審査する	2	4	〇	〇	〇
10	物理的保護	組織のシステム、装置、運用環境への物理的アクセスを制限する	5	14	〇	〇	〇	〇
11	リスクアセスメント	情報資産に対するリスクを定期的に評価する	3	6	〇	〇	〇	〇	〇	〇
12	セキュリティアセスメント	組織のシステムのセキュリティ管理策を定期的に評価する	4	7	〇	〇	〇	〇	〇	〇
13	システムおよび通信の保護	組織のシステムで送受信される通信を監視・管理・保護する	10	14	〇	〇	〇	〇	〇
14	システムおよび情報の完全性	システムの欠陥を瞬時に特定・報告・修正し、保護機能を持つ	5	11	〇	〇	〇	〇	〇	〇
15	計画	ポリシーに準じて手順を明示したセキュリティ計画を策定する	3	9	〇	〇
16	システムとサービスの調達	システムの開発や変更には継続的にサポートできる手段を講じる	3	6	〇	〇
17	サプライチェーンリスクマネジメント	サプライチェーンのプロセスの弱点や欠点を特定し対処法を確立する	3	6	〇	〇	〇

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171r3.pdf

■ NISTサイバーセキュリティフレームワーク

NIST SP800-171では、従来からのインシデント対応としてのリスクの「特定」や攻撃に対する「防御」だけでなく、ランサム攻撃などの高度なサイバー攻撃からの早期回復を図るために、これに「検知」、「対応」、「復旧」を加えた、「特定」、「防御」、「検知」、「対応」、「復旧」、さらにそれら全体をまとめる「統治」を加えた６つのサイバーセキュリティフレームワークが内包されています。

準拠状況の可視化

重要情報の定義
サプライチェーンの選定
NIST SP800-171の要件と現在の対策状況を比較検討
リスクを可視化し必要な対策を把握

準拠計画策定

確実にセキュリティ対策可能なロードマップ策定
準拠までに無理のないマイルストーンの策定

伴走支援

対策支援

計画策定にもとづき、必要な対策の完遂に向けてサイバーセキュリティの専門家チームによる伴走支援
ご要望に応じて、専門家からの様々な技術対策等のご提案やご説明

システム構築支援

システム的な対策による準拠を目指すお客様には、システム構築支援も用意
製品選定から特権アクセス管理などのシステム対策を含めたシステム導入支援も準備

最終報告

お客様の環境に則したNIST SP800-171準拠であることを示すチェックシートを作成・確認
NIST SP800-171が求める全ての要件に準拠完了したことを最終報告書にまとめ提出

継続支援

NIST SP800-171準拠の状態を維持させていくための継続した支援も用意
継続的な準拠チェックの実施や管理体制などの人的支援も可能

コンサルティング／教育

重要情報の定義

企業間やサプライチェーンで保護すべき重要情報を特定し、定義します。
お客さまの環境下で、重要情報の秘匿性を保護する要件を特定します。例えば重要情報を処理、格納、伝送、それらを扱う全構成要素の特定など。

製品導入支援／運用・保守支援

サプライチェーンの選定

お客様が重要情報のやり取りをしている企業や、サプライチェーンの中から、NIST SP800-171準拠を目指すサプライチェーンを選定します。

運用・保守支援／教育

NIST SP800-171の要件と現在の対策状況を比較検討

お客様が保持している既存のサイバーセキュリティに関する規程やガイドライン、およびその対策状況と、NIST　SP800-171で対策をすべき項目を照合・精査し、比較検討します。

1,000

リスクを可視化し必要な対策を把握

比較検討結果から、お客様の現在の環境下でのリスク分析を行ない、それらのリスクを可視化します。
同時に、リスクの可視化から見えてくる対策を導出し、把握するとともに、それらを改善する方法を提示します

確実にセキュリティ対策可能なロードマップ策定

可視化されたリスクの対策要件と、それらを改善する方法を精査し、お客様の環境下において、最適に対策を完遂できるロードマップを策定いたします。
ロードマップを参考に、全体のスケジュールを見積もります。

準拠までに無理のないマイルストーンの策定

ロードマップと全体スケジュールを参考に、対策要件の処理方法を具体的なマイルストーンとして、無理のない計画として策定します。
計画実行に際し、ボトルネックとなる作業が極力生じないように、お客様とのコミュニケーションを密に、詳細日程を固めていきます。
お客様環境下での作業規模や作業期間に合わせて、支援チームの編成についても柔軟に対応いたします。

計画策定にもとづき、必要な対策の完遂に向けてサイバーセキュリティの専門家チームによる伴走支援

NIST SP800-171に精通した専門家の中から厳選した担当者でチームを構成し、お客さまに寄り添った伴走支援を行ないます。

ご要望に応じて、専門家からの様々な技術対策等のご提案やご説明

伴走支援を通じて、お客様の疑問質問には専門家の立場から懇切丁寧に対応いたします。また、お客様環境下での対策に関する最善策の提案なども合わせてご説明いたします。

システム的な対策による準拠を目指すお客様には、システム構築支援も用意

システムを導入することで、NIST SP800-171準拠を考えているお客様についても、柔軟に対策可能なシステム構築の支援体制を組んで、適切に対応いたします。

1,000

製品選定から特権アクセス管理などのシステム対策を含めたシステム導入支援も準備

NIST SP800-171準拠実現のために、お客様環境下に最適な製品やシステムの選定を行ないます。また、お用命があれば導入・構築支援も含めて対応可能です。

お客様の環境に則したNIST SP800-171準拠であることを示すチェックシートを作成・確認

NIST SP800-171が求める要件を網羅した、お客様の環境下で準拠していることを確認できるオリジナルなチェックシートをご用意します。
NIST SP800-171に精通する専門家により、このオリジナルなチェックシートに沿って、対処すべき要件をひとつひとつ確認いたします。

NIST SP800-171が求める全ての要件に準拠完了したことを最終報告書にまとめ提出

チェックシートでの確認の後、確実にNIST SP800-171準拠が完了していることを、最終確認いたします。
このチェックシートの確認済資料を含めた支援サービスすべての作業内容、ならびに専門家の所見を加えた最終報告書を提出物としてお客様に納品いたします。

NIST SP800-171準拠の状態を維持させていくための継続した支援も用意

NIST SP800-171準拠の状態を継続して維持していくために、定期的な準拠確認を含むモニタリング活動や、新規機材やシステム導入時にNIST SP800-171への準拠確認など、一度弊社で支援サービスをご利用いただいたお客様を対象に、継続支援サービスを用意しています。

継続的な準拠チェックの実施や管理体制などの人的支援も可能

NIST SP800-171準拠の維持のために、定期的な準拠確認の実施対応や、NIST SP800-171の要件に応じた情報セキュリティ管理体制を目的とした人的運用支援にも柔軟に対応いたします。
また、弊社の「従量課金型セキュリティ業務支援サービス」の継続利用により、高度な専門家によるNIST SP800-171を含むサイバーセキュリティに関するお問い合わせ対応も可能です。