ニュートン・コンサルティング、セキュリティ対策基準「NIST SP800-171」に対応　～国際的なガイドラインへの準拠で高度なサイバーセキュリティを実現～

2024.01.24 09:00

この企業へ連絡する

リスクマネジメントコンサルティングを手掛けるニュートン・コンサルティング株式会社(本社：東京都千代田区、代表取締役社長：副島一也)は、米国国立標準技術研究所(National Institute of Standards and Technology 以下、NIST)が定めたセキュリティ基準を示すガイドライン「NIST SP800-171」へ2024年1月9日に準拠し、高度な情報セキュリティ体制の構築を完了しました。

1. NIST SP800-171準拠の背景

近年、国際的なサイバー攻撃の増加と高度化に伴い、その標的は無差別かつあらゆる産業に拡大しています。各組織における防御体制や情報保護対策の強化は、より高い水準を求められる状況です。

この情勢を受けて、先進的なサイバーセキュリティ対策で知られる米国では、政府機関を中心とした各組織にNISTが策定したセキュリティ要件等を基にした、より強固で高度な対策をサプライチェーンに求め始めています。日本においてもサイバーセキュリティの強化は国を挙げて取り組むべき最重要課題の一つとなっており、NIST SP800-171をベースにした「防衛産業サイバーセキュリティ基準」の公表にいたっています。サプライチェーン攻撃対策へのいわば実質的な国際標準となりつつあるのが、NIST SP800-171です。

2. NIST SP800-171とは

NIST SP800-171は、米国の国家安全保障上重要な情報のうち秘密指定のされていない情報であるCUI(Controlled Unclassified Information)を保護するために、NISTが規定した民間企業向けのガイドラインです。

NISTではサイバー脅威から米国政府機関における機密情報：CI(Classified Information)を守るためのガイドラインである「NIST SP800-53」も策定していますが、NIST SP800-171は米国政府機関の下請け企業、サプライチェーン全体を対象としているという特徴があります。

NIST SP800-171は、体制やルールおよびプロセスから技術的な対策までを、バランスよくセキュリティ要件として整理しているうえに、類似するセキュリティフレームワークの中でも要求されるレベルが高度となっています。これにより、NIST SP800-171に準拠することで、組織の総合的なセキュリティレベルの向上につながります。

3. 国内でのNIST SP800-171の重要性

日本国内でもNIST SP800-171の重要性が高まっており、防衛省は2022年4月、NIST SP800-171をベースにした調達基準「防衛産業サイバーセキュリティ基準」を公表し、2023年度の契約から適用を開始しました。また、2022年5月に可決された「経済安全保障推進法」では、サプライチェーンや基幹インフラのセキュリティ強化、特定技術の保護などが定められています。

4. ニュートン・コンサルティングの対応

ニュートン・コンサルティングは、従来から情報セキュリティマネジメント規格ISO27001:2022の認証を取得しておりましたが、より高度なセキュリティを確保することを目的として、NIST SP800-171に準拠した以下の対応を行いました。