SP800-171の準拠に関するアドバイザリー・内部監査
豊富な実績を持つ専門家がサポートします。
Background|背景
サイバーセキュリティに関して企業が直面する課題
内閣サイバーセキュリティセンター(NISC)が2023年7月に公表した「政府機関等のサイバーセキュリティ対策のための統一基準群(以下、統一基準)」の改訂ポイントの一つに「情報セキュリティに関するサプライチェーン対策の強化」が掲げられており、その具体策として米国立標準技術研究所(NIST)が公開した「NIST SP800-171(以下、SP800-171」を参考に、委託先(民間企業)に担保させるべき情報セキュリティ対策を規定し対応を求めています。
また、既に2022年に防衛装備庁から「SP800-171」をベースとした「防衛産業サイバーセキュリティ基準」が公表されており、防衛省における装備品等及び役務の調達に係る企業は当該基準の準拠が求められています。
これらの基準は、政府の調達に係る一次受企業だけではなくサプライチェーンに関わる企業も影響を受けることから、政府と直接取引がなくても、納入企業から該当するセキュリティ基準への準拠を求められる可能性があります。
段階的な施行が進められている「経済安全保障推進法」においても重要領域に関係する多くの民間企業に対して安全性・信頼性の確保が求められており、各企業に対しサイバーセキュリティにおけるサプライチェーン対策はより強く求められていくことが予想されます。
サイバーセキュリティ対策は全社的な取組が必要であり、一定の期間を設けて計画的に対応していくことが必要です。Front-IA(フロンティア)は、セキュリティ監査において豊富な実績を有する内部監査人/当局出身者による業務提供を通じて、これらの課題に対するソリューションを提供します。
Point of View|着眼点
本社経営陣に保証を提供する
サイバーセキュリティ対策の有効性評価
政府が求める上記の基準やガイドラインを踏まえ、企業の業態・規模に応じて求められるセキュリティ管理態勢の有効性を評価します。
あわせて、コンティンジェンシープランの整備状況、研修・訓練結果などを通じて、セキュリティ対策の実効性を評価します。(サイバーセキュリティにおいては、攻撃を受けた際に被害を極小化し迅速な復旧をおこなう「サイバーレジリエンス」が特に重要です。)
「SP800-171」は「機密情報以外」の保護を対象とした基準ですが、企業の特性・重要度に応じて機密情報の保護を対象とした「SP800-53」をベースとした評価を行うことも可能です。
サイバーセキュリティの社内リテラシー向上
全社でセキュリティ対策を推進するため、社員がセキュリティリスクを確実に認識し、対策を周知するための社内研修の実施します。
Professionals|Front-IAの専門性
豊富な経験を有する専門家が在籍
Front-IAには、システム監査及びセキュリティ監査に精通した専門家が在籍しています。
-
内部監査/システム監査専門家(CIA, CISA)
-
金融当局での主任検査官経験者(CIA)
Service|サービス
セキュリティ管理態勢に特化した内部監査ソリューションを提供します
-
セキュリティ管理態勢に特化した内部監査ソリューションを提供します
-
内部監査/セキュリティ監査のアドバイザリー
-
内部監査/セキュリティ監査のアウトソーシング
-
内部監査/セキュリティ監査のコソーシング
-
当局対応支援
-
その他(1,2線の管理態勢の強化等)
Contact
お問い合わせはこちらから