• お問い合わせ
  • 03-5402-8541
    (受付時間9:00~18:00)

NISTNIST対応コンサルティング

案内

NISTセキュリティ準拠とは?

NISTサイバーセキュリティフレームワークは、アメリカ国立標準技術研究所(NIST)により策定されたフレームワークです。NISTサイバーセキュリティフレームワークは、重要インフラシステムの複雑化と持続性の向上を巧みに利用し、国家の安全保障、経済及び市民の安全と健康を脅かすリスクへの対処を強化・改善することを目的として策定されました。
そのため、セキュリティ対策がNISTセキュリティ準拠していない企業は、入札基準に十分に満たしていないリスクを持っている可能性があります。

NISTが定義するサイバーセキュリティ対策のアプローチ

ISO27001(ISMS)とNISTセキュリティ準拠の違い

ISO27001と NIST SP800-171との大きな違いは「セキュリティ対策をする範囲」です。ISO27001はサイバー攻撃の「予防」に重点を置き、「特定・防御」の内容が厚くなっている一方、NIST SP800-171は「特定・防御・検知・対応・復旧」の対象としています。特にISO27001にはない「不正侵入した後の検知・対応・復旧」に重点を置いています。つまり、NISTで求められるのはシステムの多層防御など「サイバー攻撃後のセキュリティ対策」のため、ISO27001よりも、多く対応するプロセスが要求されています。

ISO27001とNISTの違い

日本への影響

米国政府の方針を受け、日本においても防衛調達のNIST SP 800-171と同レベルの仕組みの導入を開始するとしています。
※防衛装備庁が来年度から始める新たな調達基準の考え方 H30.9.14を参照

メイソンのNISTセキュリティ準拠サービス

メイソンは、サイバーセキュリティにおいてビジネスリスク~システム運用までワンストップでコンサルティングするためのNIST対応チームを用意しております。チームメンバーは、NIST対応のコンサルティング経験に加えて、ISO27001認証取得のコンサルティングにも豊富な経験を有しております。
これらの知見を生かして、貴社向けにカスタマイズしたNISTセキュリティ準拠コンサルティングサービスを提供いたします。

NISTセキュリティ準拠のアプローチ

1. 重要な情報資産の特定
  • 対象となる重要情報資産の洗い出し・特定
  • 重要情報資産のライフサイクルの確認
  • 重要な資産の管理台帳作成
2. リスクアセスメント
  • NISTセキュリティ準拠のチェックリスト
  • ビジネス影響、リスク評価・分析
  • リスク評価基準の文書化
3. NISTセキュリティ準拠の内部監査
  • 全部門のセキュリティ対策自己点検
  • 内部監査員研修の実施
  • 内部監査実施
4. 是正計画の策定・実行
  • 是正計画作成
  • 是正処置実施
5. 経過観察
  • セキュリティ運用状況の確認

NISTの構成

NISTは、「コア(Core)」「ティア(Tier)」「プロファイル(Profile)」 という3つの要素で構成されています。3要素を活用することで、企業や組織はサイバーセキュリティ対策状況の「現状」と「目標」のギャップ分析がしやすくなります。

No 構成要素 定義
1 コア 一定の分類で定められたサイバーセキュリティ対策の一覧
2 ティア 対策状況を数値化するための成熟度評価基準(4段階)
3 プロファイル 組織のサイバーセキュリティ対策の「AsIs (現在)」と「ToBe (目標)」

コアの構成とは?

NIST CSF のコアでは、業種・業態を問わない、共通となるサイバーセキュリティ対策を示しています。
SF のコアは、5つの機能・23のカテゴリーで構成される。カテゴリー毎に、サブカテゴリーが用意されており、サブカテゴリーの合計は108項目になります。
コアの5つの機能は、NIST CSF の象徴的な項目であるため、多くの方がご存知かと思います。

「特定(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」の5つ

機能 識別子 カテゴリー
特定 ID.AM 資産蓄理
ID.BE ピジネス環境
ID.GV ガパナンス
ID.RA リスクアセスメント
ID.RM リスクアセスメント管理戦略
ID.SC サブライチェーンマネジメント
防御 PR.AC アクセス制御
PR.AT 意識向上とトレーニング
PR.DS データセキュリティ
PR.IP 情報を保謹するためのプロセスおよび手順
PR.MA 保守
PR.PT 保護技術
検知 DE.AE 異常とイベント
DE.CM セキュリティの継続的なモニタリング
DE.DP 検知プロセス
対応 RS.RP 対応計画の作成
RS.CO コミュニケーション
RS.AN 分析
RS.MI 低減
RS.IM 改善
復旧 RC.RP 復旧計画の作成
RC.IM 改羞
RC.CO コミュニケーション

NIST CSF を使う目的は、サイバーセキュリティ対策のレベルを維持・強化・改善していくことにあります。その実現には、測定の尺度を現在の状態(AsIs)と目指す目標の状態(ToBe)で合わせておくことが大事です。

当社はお客様のご要望にそったサービスをご提供させて頂いております。まずはお電話下さい。

メイソンコンサルタントグループ株式会社

〒105-0012
東京都港区芝大門1-12-16
住友芝大門ビル2号館8階

Access Map

当社はISO9001,ISO27001を取得しております。

メイソンは、中小企業の情報セキュリティ対策ガイドラインに基づき、セキュリティ対策に取り組んでいます。