製品概要
■新たな「防衛産業サイバーセキュリティ基準」について
防衛装備庁の「装備品等及び役務の調達における情報セキュリティの確保に関する特約条項(通称「防衛産業サイバーセキュリティ基準」)は、旧基準(「防経装 第9246号 装備品等及び役務の調達における情報セキュリティの確保について」)に、米国の「NIST SP800-171」の要求管理策を取り込む形で2022年4月に整備されました。2023年4月より、防衛関連の調達契約を対象に、適用が開始されています。
調達契約を結ぶ企業に対しては、システム換装等を考慮して、新基準への準拠までに最長5年間の猶予期間が設けられています。しかし、要求される管理策が旧基準より広範かつ厳格になっており、計画的に対応を進める必要があります。また、防衛省や防衛装備庁と直接契約を結ぶ企業だけではなく、その企業のサプライチェーンネットワークに含まれる委託先企業に対しても、新基準への準拠が求められています。
図:米国のNIST SP800-171と、日本の新旧の防衛産業サイバーセキュリティ基準の違い
※防衛装備庁の図(https://www.mod.go.jp/atla/cybersecurity.html)をもとにNRIセキュアテクノロジーズで作成
特徴
■お客様に選ばれる理由
1.企業の対策状況を的確に評価
防衛産業を含む、さまざまな企業のセキュリティに関するルール策定や対策状況評価において、豊富な実績を持つNRIセキュアのコンサルタントが、丁寧なヒアリングを通じて各社固有の状況を把握したうえで、防衛新基準の準拠に必要な対策を導出します。
「NIST SP800-171準拠支援サービス」を通じて培った知見に基づき、対象企業の対策状況を的確に評価します。旧基準やISO27001に既に準拠している企業に対しては、個社の現状に合わせてヒアリング項目を絞ることで、担当者の対応負荷を下げることができます。
2.準拠に向けて何を実施すべきか明確化し、具体的な改善策を提示
評価結果から「必要な対策一覧」を導き出し、対応の優先順位付けを行ったうえで、簡易的なロードマップを作成します。さらに、新たに作成すべきポリシー等の文書や既存文書に取り入れるべき要素を整理し、準拠に向けて何を実施すべきかを明確化するとともに、具体的な改善策を提示します。
さらに、サプライチェーン全体のセキュリティマネジメントのために、装備品の開発工程の各フェーズにおいて保護すべき情報を適切に管理・保護するためのソリューションも提供可能です。
3.NRIグループとしての総合力
情報セキュリティを基軸としながら、あらゆる分野のプロフェッショナルによるバックアップが可能で、お客様の課題に合わせて最も効果的な体制で支援します。
■サービスの流れ
【STEP1 現状の把握】
NRIセキュアが保有する防衛新基準の解釈をベースとしたフレームワークによって貴社の現状を把握し、ヒアリングベースにて現状の課題を抽出・整理します。
【STEP2 対策状況の可視化】
現状の課題を整理した上で、準拠状況の可視化としてヒートマップの作成や定量評価を実施します。
【STEP3 準拠状況の一覧整理】
Step 1とStep 2の評価結果をもとに防衛新基準に準拠できていない項目に対する対策案を作成し、準拠状況を整理した一覧や、準拠に向けたロードマップ案を作成します。
図:防衛産業サイバーセキュリティ基準 準拠性評価サービスの位置づけ
■料金
個別見積もりとなります。
詳細については、以下よりお気軽にお問い合わせください。
■よくある質問
Q.支援期間はどのくらいですか?
A.サービスの規模や支援内容にもよりますが、準拠性評価のみのご支援であれば標準で3~4か月です。
ご支援内容とお客様の希望に応じて、適切な支援期間をご提案します。
Q.どのような企業を対象としたサービスですか?
A.防衛省や防衛装備庁と直接契約を結ぶ企業や、その企業のサプライチェーンネットワークに含まれる委託先企業です。
装備品等及び役務の調達に関する情報のうち、防衛省が企業に保護を求める情報として指定した”保護すべき情報”を取り扱う契約を行う事業者の皆様が対象となります。