NRIセキュア、防衛産業向けにサイバーセキュリティ基準の準拠性を評価するコンサルティングサービスを提供

　NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は24日、防衛産業に関わる企業に対して、サプライチェーン全体のセキュリティレベル向上を支援する「防衛産業サイバーセキュリティ基準の準拠性評価サービス」を提供開始した。

　防衛装備庁の「装備品等及び役務の調達における情報セキュリティの確保に関する特約条項」は、旧基準に米国の「NIST SP800-171」の要求管理策を取り込む形で2022年4月に整備され、2023年4月から防衛関連の調達契約を対象に適用が開始されている。

　調達契約を結ぶ企業に対しては、システム換装などを考慮して、新基準への準拠までに最長5年間の猶予期間が設けられているが、要求される管理策が旧基準より広範かつ厳格になっており、計画的に対応を進める必要がある。また、防衛省や防衛装備庁と直接契約を結ぶ企業だけではなく、その企業のサプライチェーンネットワークに含まれる委託先企業に対しても、新基準への準拠が求められている。

米国のNIST SP800-171と、日本の新旧の防衛産業サイバーセキュリティ基準の違い

　防衛産業サイバーセキュリティ基準の準拠性評価サービスでは、防衛産業を含む、さまざまな企業のセキュリティに関するルール策定や対策状況評価において、NRIセキュアのコンサルタントが、ヒアリングを通じて各社固有の状況を把握した上で、新基準の準拠に必要な対策を導出する。

　NRIセキュアが、NIST SP800-171への準拠を支援するサービスを通じて培った知見に基づき、対象企業の対策状況を評価する。旧基準やISO27001に既に準拠している企業に対しては、個社の現状に合わせてヒアリング項目を絞ることで、担当者の対応負荷を下げられる。

　評価結果から「必要な対策一覧」を導き出し、対応の優先順位付けを行った上で、簡易的なロードマップを作成。さらに、新たに作成すべきポリシーなどの文書や、既存文書に取り入れるべき要素を整理し、準拠に向けて何を実施すべきかを明確化するとともに、具体的な改善策を提示する。

　さらに、サプライチェーン全体のセキュリティマネジメントのために、装備品の開発工程の各フェーズにおけるセキュリティリスクを低減する、さまざまなソリューションの提供にも対応する。

　NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していくとしている。