サービス

NIST対応コンサルティング

デロイト トーマツでは、NIST開発のサイバーセキュリティ基準への対応を目的とした、アセスメントを含む総合的なコンサルティングサービスを提供します

自組織のセキュリティ態勢向上を目的に、サイバーセキュリティのフレームワークとして国際基準となりつつあるNIST CSF(Cybersecurity Framework)の導入を目指す企業に対して、アセスメントによる対応状況分析から対応方針策定、さらに実装完了までを一気通貫でご支援します。

また、企業のビジネスに影響を及ぼしかねないNIST SP 800-171への対応についても、専門家集団による総合的なコンサルティングサービスを提供可能です。

サイバーセキュリティで世界の潮流から取り残された日本企業

日本はISMS認証を世界で最も多く取得している国ですが、日本は世界で最もサイバーセキュリティが脆弱だ、というレピュテーションに陥っている理由は何でしょうか?その答えは、NIST(アメリカ国立標準技術研究所)が開発し、全世界のあらゆる業種で用いられるNIST CSF(サイバーセキュリティフレームワーク)と、日本企業が準拠しているISO27001のサイバーセキュリティに対する考え方の違いにあります。 

NIST CSFとそれを基に構成されたSP 800-171等のサイバーセキュリティ基準は、個々の企業における最重要ビジネスを、たとえ災害時やサイバー攻撃下であっても維持することを目指しています。つまり、ハッキングやマルウェアへの感染など「攻撃を受ける」ことを根本的な考え方の前提とし、攻撃者が最終目的までは果たせないようにするための多層防御(defense-in-depth)・攻撃下におけるインシデント対応・通常運用に戻すための復旧という一連のセキュリティ機能に必要となる要件を提示しています。これが、「攻撃を防ぐ」ことに主眼を置いている従来のセキュリティ基準とは大きく異なる点です。 

既にNIST CSFは国際基準になりつつあり、各国の政府調達における調達基準として求めるセキュリティ要件の参考になり始めています。よって、自組織のセキュリティ管理態勢がNIST CSFの水準に満たない企業は、入札から取り残されるリスクが高まるという認識を持たなければなりません。

NISTサイバーセキュリティ基準とは

NISTは米商務省配下の機関であり、様々な技術標準を扱っています。サイバーセキュリティは一つのテーマであり、サイバーセキュリティに関する技術標準やベストプラクティスをSpecial Publication(SP)シリーズとして発行しています。SPシリーズの中には、コンピュータ・セキュリティを扱うSP800シリーズ、サイバーセキュリティに関するプラクティスガイドを扱うSP1800シリーズ、基本的な情報システムの取扱方法を扱うSP500シリーズが存在します。この文書群の中でも特にSP800-53、SP800-171の2つの文書がサイバーセキュリティ基準として注目されています。

米国では、政府が指定した機密情報であるCI(Classified Information)と、機密情報ではないが重要な情報であるCUI(Controlled Unclassified Information)の2種類に分けられており、それぞれの情報を取り扱う情報システムに実装すべき技術標準としてSP800-53とSP800-171への準拠が求められ始めています。CIは最も厳格な管理を求められるため、SP800-53の方がより厳格なセキュリティを求めています。また、CUIは、2010年11月の米国大統領令(Executive Order 13556)により定義された重要情報ですが、その対象範囲や業界は幅広く、各企業の持つ営業秘密も含まれるため、一般的な民間企業はSP800-171への準拠は不可欠になる可能性が極めて高い状況にあります。 

さらに、米国では防衛産業に対してサプライチェーン全般についてSP800-171への準拠を2017年12月末までに求める連邦政府調達基準が発行されました。そして、他の産業界においてもSP800-171への準拠に向けたスケジュールが明示される方向で各業界の協議が進んでおります。つまり、米国市場でビジネスをする日本企業は、SP800-171に準拠していなければ製品供給やIoTでの接続が許されないという事態に陥る可能性が極めて高くなっております。

また、EUも既に2016年7月に国際標準で定められたサイバーセキュリティの技術の採用を2018年5月10日までに実施することを義務付ける法律が施行されており、どの技術が国際標準技術になるか?という観点を持って将来を見越してシステム改革を実施しておけるかどうかが、EU市場での生き残りを左右する状況となっています。

NIST対応コンサルティングの提供する価値

デロイトでは、サイバーセキュリティにおいてビジネス視点からオペレーション視点に至るまで一気通貫で深い知見を有する戦略コンサルタントやNISTレビューボードメンバで構成されたNISTアセスメントチームが、NISTに密な繋がりがありクラウドサービス調達基準であるFedRAMPの3PAO(第三者評価機関)でもあるデロイトUSとも連携することで、洗練されたナレッジとアセットにて総合的なNIST対応コンサルティングが可能です。 

単なる「基準対応支援」に留まらない、サイバーセキュリティについての概念レベルの変革から技術的・非技術的な要件を加味した統合的な変革を細部に渡ってご支援することで、根本的なサイバーリスクの低減を実現します。加えて、ITベンダーやIT部門の特定個人の力量に依存したセキュリティ体制から脱却し、近年重要になりつつある投資家に対するサイバーセキュリティに対する取り組みの十分性と、被害が生じた場合の責任についても、経営努力の妥当性を説明することが可能となります。

プロフェッショナル

桐原 祐一郎/Yuichiro Kirihara

桐原 祐一郎/Yuichiro Kirihara

デロイト トーマツ サイバー合同会社 代表執行者

製造業を中心に10年以上のコンサルテイング経験を有する。特に航空宇宙・防衛業界においては機体メーカー、エンジンメーカー、サプライヤー、関連商社、エアライン等の業界全体をカバーする経験を有し、事業戦略、新規プログラム立上、M&A、組織・業務設計、IT戦略、企業風土改革など幅広い課題解決のためのプロジェクトを手掛ける。 関連サービス ・ 資源・エネルギー・生産財(ナレッジ・サービス一覧はこちら) >>... さらに見る