SP800-171の準拠に関するアドバイザリー・内部監査
豊富な実績を持つ専門家がサポートします。
背景
サイバーセキュリティに関して企業が直面する課題
内閣サイバーセキュリティセンター(NISC)が2023年7月に公表した「政府機関等のサイバーセキュリティ対策のための統一基準群(以下、統一基準)」の改訂ポイントの一つに「情報セキュリティに関するサプライチェーン対策の強化」が掲げられており、その具体策として米国立標準技術研究所(NIST)が公開した「NIST SP800-171(以下、SP800-171」を参考に、委託先(民間企業)に担保させるべき情報セキュリティ対策を規定し対応を求めています。
また、既に2022年に防衛装備庁から「SP800-171」をベースとした「防衛産業サイバーセキュリティ基準」が公表されており、防衛省における装備品等及び役務の調達に係る企業は当該基準の準拠が求められています。
これらの基準は、政府の調達に係る一次受企業だけではなくサプライチェーンに関わる企業も影響を受けることから、政府と直接取引がなくても、納入企業から該当するセキュリティ基準への準拠を求められる可能性があります。
段階的な施行が進められている「経済安全保障推進法」においても重要領域に関係する多くの民間企業に対して安全性・信頼性の確保が求められており、各企業に対しサイバーセキュリティにおけるサプライチェーン対策はより強く求められていくことが予想されます。
サイバーセキュリティ対策は全社的な取組が必要であり、一定の期間を設けて計画的に対応していくことが必要です。Front-IA(フロンティア)は、セキュリティ監査において豊富な実績を有する内部監査人/当局出身者による業務提供を通じて、これらの課題に対するソリューションを提供します。
着眼点
サイバーセキュリティ対策の有効性評価
政府が求める上 記の基準やガイドラインを踏まえ、企業の業態・規模に応じて求められるセキュリティ管理態勢の有効性を評価します。
あわせて、コンティンジェンシープランの整備状況、研修・訓練結果などを通じて、セキュリティ対策の実効性を評価します。(サイバーセキュリティにおいては、攻撃を受けた際に被害を極小化し迅速な復旧をおこなう「サイバーレジリエンス」が特に重要です。)
「SP800-171」は「機密情報以外」の保護を対象とした基準ですが、企業の特性・重要度に応じて機密情報の保護を対象とした「SP800-53」をベースとした評価を行うことも可能です。
サイバーセキュリティの社内リテラシー向上
全社でセキュリティ対策を推進するため、社員がセキュリティリスクを確実に認識し、対策を周知するための社内研修の実施します。
サービス
セキュリティ管理態勢に特化した内部監査ソリューション
-
セキュリティ管理態勢に特化した内部監査ソリューションを提供します
-
内部監査/セキュリティ監査のアドバイザリー
-
内部監査/セキュリティ監査のアウトソーシング
-
内部監査/セキュリティ監査のコソーシング
-
当局対応支援
-
その他(1,2線の管理態勢の強化等)
Front-IAの特徴
経験豊富な専門家
セキュリティ監査で豊富な経験を持つ専門家が多数在籍しており、クライアントのニーズに応じた最適なソリューションを提供します。
デジタル/クラウドに強い
デジタル技術とクラウド環境に精通した監査人が、最新のテクノロジーを駆使して内部監査を実施します。これにより、効率的かつ効果的な監査プロセスを実現し、リスクの早期発見と対応を可能にします。
Front-IA(株式会社フロンティア)| 執行役員
IT Audit Lead, ISMAP Lead
section title
sub section title
text
sub section title
text
sub section title
text