{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
NIST SP800-171準拠に向けたアセスメント・対応支援
米国立標準研究所(NIST)によって定められたセキュリティガイドライン「NIST SP800-171」は、さまざまな国において準拠することが求められつつあります。このガイドラインに準拠するにあたっては、セキュリティをビジネスリスクの1つとして捉え、計画を立て、対応することが重要です。そして現状と同ガイドラインの要求事項との差を明確にし、リスクを可視化した上で対応方針や対応計画を策定し、実行することが求められます。PwCではNIST SP800-171準拠のアセスメントから対応方針・対応計画の策定、実行までを一貫して支援します。
NIST SP800-171とは
NIST SP800-171は米国立標準研究所によってセキュリティ基準が定められたガイドラインです。サプライチェーンを通じての情報漏洩を防ぐことを目的に、委託先に求めるセキュリティ対策がまとめられています。
国際標準化するNIST SP800-171
2016年、米国において米国防衛省と取引をする全ての企業は、NIST SP800-171に準拠したITシステムを整備することが義務付けられました。NIST SP800-171への準拠は、米国政府だけの取り組みにとどまらず、他の主要国も追随し始めています。
日本国内においても影響が拡大
日本の防衛省も2019年に、調達基準をNIST SP800-171と同等にすることを決定しました。また政府は2023年、中央省庁や独立行政法人の業務委託先となる企業に対し、今後NIST SP800-171に沿ったセキュリティ対策を義務付ける方針であることを明らかにしました。今後、日本の重要インフラ産業や他産業での調達要件として、NIST SP800-171への準拠が標準となる可能性があります。
準拠対象となる情報資産の定義・アセスメント準備
NIST SP800-171は、CUI(Controlled Unclassified Information)を扱う組織・業務・システムに対して、セキュリティ要件を満たすことを求めています。しかしながら、CUIについては各民間企業で定義する必要があり、またCUI自体の考え方が難しく、CI(Classified Information)との違いが分かりづらいことから、NIST SP800-171への準拠対応を複雑にしています。そのため、米国立公文書記録管理局が管理している「CUIレジストリ情報」などを参考に、保護すべき情報を定義し、アセスメント対象となる会社を選定することが重要となります。
アセスメント結果を踏まえた施策定義と計画立案
PwCでは、クライアントの現時点での対策状況と、NIST SP800-171のセキュリティ要件を比較することでその差を明確にし、リスクを可視化します。また、アセスメントの結果を基に、対応方針や各施策の優先度を整理し、実施に向けたスケジュールを策定します。
対応方針の具体化、準拠に向けた対応支援
計画を立案するだけでなく、NIST SP800-171の準拠に向けた実行支援も提供可能で、対応方針に基づいてルールの策定や体制の構築、技術施策の具体化をサポートします。
また、対応計画に沿って各関連部門(調達、人事など)への展開や、次年度の対応計画立案、予算の策定なども支援します。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
