サービス

NISTアセスメント

NIST開発のサイバーセキュリティ基準によるアセスメントサービスのご紹介

国際基準となりつつあるサイバーセキュリティフレームワークであるNIST CSF(Cybersecurity Framework)への準拠状況分析から対応方針策定、さらに実装完了までご支援します。専門チームが膨大なNIST文書群と関連文書を読み解いて日本語に咀嚼翻訳した、独自のアセスメントアセットを保持しており、これによって準拠に向けた総合的なコンサルティングを提供可能です。

サイバーセキュリティで世界の潮流から取り残された日本企業

日本はISMS認証を世界で最も多く取得している国ですが、日本は世界で最もサイバーセキュリティが脆弱だ、というレピュテーションに陥っている理由は何でしょうか?その答えは、NIST(アメリカ国立標準技術研究所)が開発し、全世界のあらゆる業種で用いられるNIST CSF(サイバーセキュリティフレームワーク)と、日本企業が準拠しているISO27001のサイバーセキュリティに対する考え方の違いにあります。 

NIST CSFとそれを基に構成されたサイバーセキュリティ基準は、個々の企業における最重要ビジネスをたとえ災害時やサイバー攻撃下であっても維持することを目指しています。つまり安全神話を妄信するのではなく、ウイルスへの感染、ハッキングされた状態に陥ることを前提とした思想を持つところに根本的な違いがあります。攻撃を受けたとしても攻撃者が最終目的までは果たせないようにするための多層防御(defense-in-depth)や攻撃下におけるインシデント対応、そしてその後の通常運用に戻るための復旧という一連の流れを徹底して実行させるという、侵入を前提とした考え方であり、これが侵入を防ぐためにどうすべきかということしか考えていないISO27001とは大きく異なるのです。 

さらに、NISTのサイバーセキュリティ基準はどのような技術を採用すべきか?という推奨技術まで示されている点でもISO27001とは大きく異なっています。既にNIST CSFは国際標準になりつつあり、各国の政府調達基準でも調達基準に求めるセキュリティ基準の参考になり始めています。よって、正式な国際標準になってから準拠するという待ちの姿勢でいては入札から取り残されるリスクが高まるという認識を持たなければなりません。

NISTサイバーセキュリティ基準とは

NISTは米商務省配下の機関であり、様々な技術標準を扱っています。サイバーセキュリティは一つのテーマであり、サイバーセキュリティに関する技術標準やベストプラクティスをSpecial Publication(SP)シリーズとして発行しています。SPシリーズの中には、コンピュータ・セキュリティを扱うSP800シリーズ、サイバーセキュリティに関するプラクティスガイドを扱うSP1800シリーズ、基本的な情報システムの取扱方法を扱うSP500シリーズが存在します。この文書群の中でも特にSP800-53、SP800-171の2つの文書がサイバーセキュリティ基準として注目されていますが、これらは、SP800シリーズの技術体系を組み合わせることで、一定水準のセキュリティ機能の実装を実現しようという目的の下で開発されたものです。 

米国では、政府が規定した機密情報であるCI(Classified Information)と、機密情報ではないが重要な情報であるCUI(Controlled Unclassified Information)の2種類に分けられており、それぞれの情報を取り扱う情報システムに装備すべき技術標準としてSP800-53とSP800-171への準拠が求められ始めております。CIは最も厳格な管理を求められるため、SP800-53の方がより厳格なセキュリティを求めています。また、CUIは、2010年11月の米国大統領令(Executive Order 13556)により定義された重要情報ですが、その対象範囲や業界は幅広く、各企業の持つ営業秘密も含まれるため、一般的な民間企業はSP800-171への準拠は不可欠になる可能性が極めて高い状況にあります。 

さらに、米国では防衛産業に対してサプライチェーン全般についてSP800-171への準拠を2017年12月末までに求める連邦政府調達基準が発行されました。そして、2018年中に他の産業界においてもSP800-171への準拠に向けたスケジュールが明示される方向で各業界の協議が進んでおります。つまり、米国市場でビジネスをする日本企業は、SP800-171に準拠していなければ製品供給やIoTでの接続が許されないという事態に陥る可能性が極めて高くなっております。 

また、EUも既に2016年7月に国際標準で定められたサイバーセキュリティの技術の採用を2018年5月10日までに実施することを義務付ける法律が施行されており、どの技術が国際標準技術になるか?という観点を持って将来を見越してシステム改革を実施しておけるかどうかが、EU市場での生き残りを左右する状況となっています。

NISTアセスメントの提供する価値

デロイトでは、サイバーセキュリティについて攻撃面・防御面ともに深い知見を持つメンバやNISTレビューボードメンバで構成されたNISTアセスメントチームが、NISTに密な繋がりがありSP800-53を引用する形で作成されたクラウドサービス調達基準である、FedRAMPの3PAO(第三者評価機関)でもあるデロイトUSとも連携して、アセスメントのためのツール開発から、分析作業などにあたります。 

単なる「基準対応作業」に留まらない、サイバーセキュリティについての概念レベルの変革から技術的・非技術的な要件を加味した統合的な変革を細部に渡ってご支援することで、根本的なサイバーリスクの低減を実現します。加えて、ITベンダーやIT部門の特定個人の力量に依存したセキュリティ体制から脱却し、近年重要になりつつある投資家に対するサイバーセキュリティに対する取り組みの十分性と、被害が生じた場合の責任についても、経営努力の妥当性を説明することが可能となります。

プロフェッショナル

安井 望/Nozomu Yasui

安井 望/Nozomu Yasui

デロイト トーマツ コンサルティング 執行役員

戦略策定からシステム改革を含むオペレーション改革まで、企業のトランスフォーメーション実現に関する支援に多数従事。 現在日本におけるDeloitte Digitalを含むテクノロジープラクティス全体の責任者を務め、最新テクノロジーを企業戦略の策定やトランスフォーメーションにどう活用していくかについて、ビジネスとシステム両面の統合を前提とするコンサルティングを展開している。 テクノロジーと経営に関する... さらに見る