ニュートン・コンサルティング、NIST SP800-171に準拠したセキュリティ構築を支援する新サービス

　ニュートン・コンサルティング株式会社は14日、サイバーセキュリティガイドライン「NIST SP800-171」関連サービスをリニューアルすると発表した。すでに提供している「NIST SP800-171セキュリティ監査支援サービス」に加え、新たに「NIST SP800-171セキュリティ構築支援サービス」をラインアップする。

　NIST SP800-171とは、米国国立標準技術研究所（NIST）によって発行された、機密情報以外の重要情報（Controlled Unclassified Information：CUI）を取り扱う者が実施すべきセキュリティ要件をまとめたガイドライン。米国連邦政府では、取引企業に対してNIST SP800-171への準拠を義務付けており、米国のみならずグローバルでのセキュリティ施策のスタンダードになっているという。

　また国内でも、防衛省がNIST SP800-171をベースにした調達基準「防衛産業サイバーセキュリティ基準」を公表したほか、経済安全保障推進法が成立するなど、NIST SP800-171の重要性は高まっているとのこと。

　ニュートン・コンサルティングではこうした情勢を踏まえ、新たにNIST SP800-171セキュリティ構築支援サービスを提供開始する。このサービスでは、NIST SP800-171への準拠に向けたセキュリティ環境を構築するため、準拠に向けた支援を数多く手掛けてきたコンサルタントが、その知見を生かして、ギャップ分析から対策の導入までを支援するとした。

　ギャップ分析では、CUIの定義／可視化と現状分析／評価を行い、AsIs（現状）とToBe（あるべき姿）のギャップを明確にするため、規程類や設計書等にて全体を評価するとともに、定期的に確認会を開きながら、110のセキュリティ要件のひとつひとつを詳細にレビューする。続いて、その結果に基づき、SSP（System Security Plan）とPOAM（Plan of Action and Milestone）を作成し、具体的なセキュリティ対策を実装する。

　なお米国では、NIST SP800-171をベースとしたサイバーセキュリティの成熟度モデル認定（Cybersecurity Maturity Model Certification）の認証制度「CMMC 2.0」の運用が始まっているが、そのCMMC 2.0では、取り組むべきセキュリティレベルが3段階で明確に示されており、NIST SP800-171への準拠にも活用できるとのこと。今回の新サービスでも、この3段階のレベルに基づき、NIST SP800-171への準拠に向けたセキュリティ構築を支援すると説明している。

支援ステップの例