モノやサービスを提供する企業にとって最も守らなければならないものは、情報(ノウハウ)です。大切な社員を守ると同時に、長年培ってきたノウハウを守らなければなりません。インターネットが普及し、世界中の情報が取得できる便利な世の中になりましたが、それは逆に世界中から御社の情報を搾取する脅威にもさらされているのです。弊社の強みは日米欧に渡る情報セキュリティーの対策状況についての知識を多く保有しており、皆さまの情報を守るお手伝いをいたします。

現状の情報セキュリティレベル確認と評価

インターネットが普及し、世界中から御社の大切な情報を搾取しようとする脅威が増大しています。大切な情報を守るために、まずは自社の対応状況を知ること、そしてどのような対策が必要になるかを把握する必要があります。私達は、主に米国連邦政府や航空宇宙&防衛業界に、契約的に遵守を求められている情報セキュリティ対策に特化して研究を重ねています。その背景から、航空宇宙&防衛産業に携わっている事業者様あるいはこれから参入しようと考えている中小企業様などで、セキュリティ対策方針に迷っておられる事業者様にご参考にしていただきたく、自己診断から始めて国際的な基準を満たせるようになるまでの段階的アプローチをご提案しています。また、私達はやみくもに対策を行うのではなく、ビジネス推進において必要とされる要件に絞って、最少限の費用で十分な対策となることをサポートいたします。特に、以下の各規準をクリアする最初のステップアップとなることを目標としています。

  • 防衛省情報セキュリティ基準(「保護すべき情報」の扱いに関する通達)
  • 米国DFARS 252.204-7012/NIST SP 800-171CUIの扱いに関する規則)
  • 米国CMMC(レベル1、レベル3)(今後適用されるFCI、CUIに関する認証)

 私達は、わが国の航空宇宙&防衛業界の事業者様が、必要以上に過大な懸念によりビジネス機会を避けたり、失うことが無いようにミニマムな投資で十分な結果を得る手助けをすることを目指しています。あわせて、わが国のサプライチェーン全体としてもセキュリティレベルを底上げし、国際的な信頼を獲得できることを目指しています。

サービス内容

CMMCコンサルティング

米国防総省はNIST SP 800-171管理策を展開して3レベル評価を加えた新しい認定制度の仕組みとしてCMMCCybersecurity Maturity Model Certification)を適用することを宣言しました。2024年10月にはVer. 2.0が公表され、2025年11月から適用が開始される予定です。レベル2以上に対し第三者評価認定機関(C3PAO)を認定し、客観的なレベル評価が行えるようにしています。米国防総省およびその契約業者と取引を行う際にCUIを扱う場合、CMMCの要求されるレベルをクリアしていることが必須となります。弊社では米国のC3PAOと協力しながらCMMC認定を受けるためのコンサルティングサービスを提供しております。

CMMCコンサルティング

NISTコンサルティング

米国の情報セキュリティに関する最新の動向を、現在までの規格類の制定の流れ、規格の概要、最近の規格制定の状況の観点からまとめました。規格の改定の内容からも興味深い方向性も見えてきます。FISMA2014、FIPS-199から、NIST SP800シリーズの関連規格等について全般を整理します。米国では、2010年の大統領令EO 13556 : Executive Order 13556 Controlled Unclassified Information)に基づき、NISTはSP 800-171を制定しました。DoDは、いち早くその適用を業界に求めるDFARS(252.204-7012)を発行し、2017.12.31までにサプライチェーンに関わる全ての組織に対して遵守することを求めています。NIST SP 800-171は、SP 800-53,SP 800-63をベースに構成されており、ISMS (ISO/IEC 27001)とも対比される内容/構成となっており、情報システム自体への制約と、情報を扱う上での組織態勢やルールを適切に制定することが必要です。最新の規格動向を踏まえ、NIST SP 800シリーズへの準拠を目指す組織に対する実践的な支援サービスを提供しております。

NISTコンサルティング

情報セキュリティ整備状況診断

弊社が提供している「情報セキュリティ整備状況診断」は、IPA(情報処理推進機構)が中小企業向けに策定した情報セキュリティ対策ガイドライン(25項目)と、米国国防総省が検討中のCMMC(サイバーセキュリティ成熟度モデル認証)のレベル1(国防総省の契約情報を扱う場合に必要な要件)に選定されているベーシックな予防策(17項目)に対して、遵守/対応状況を自己診断できます。設問は、両基準の要件をマージして分かり易い設問として私達で35項目にまとめなおしたものです。特に航空宇宙&防衛産業に携わる事業者様は、この2つの基準にどの程度適合しており、何が不足しているか自己診断できます。下記ボタンよりセルフチェックを行ってください。

このツールでは、入力された情報は保存しておりませんので、ご安心してお試しください。なお、情報を保存しないため、再使用する際は初めから入力をしなおすことになります。1回のご利用で最後まで入力し、自己診断レポートの出力まで完了させてください。以降、弊社のコンサルタントにご相談される場合は、この自己診断レポートをお送りいただけると状況の確認がスムーズです。セルフアセスメントの自己診断レポートをご覧になって、私達のサポートが必要な方は、お問い合わせからご連絡ください。

セルフアセスメント

会員制情報サービスNIS-Be

NIS-Beは、2018年1月1日から米国防総省によるNIST SP 800-171遵守適用開始に伴い、我が国においてその趣旨が適正・正確に理解され、過不足ない対応策が業界全体として取れるようになることを目的として、設立したものです。運営は株式会社エヴァアビエーション防衛基盤整備協会の2者で行っています。会員制サイトは米国の情報セキュリティガイドラインNIST SP 800-171を中心に関連する各種最新情報を提供するサービスで、以下の様な方に有効なサービスとなります。

  1. NISTガイドラインへの対応を要求されている方
  2. ガイドラインの更新動向等を把握する必要のある方
  3. ガイドラインへの対応要領にお悩みの方
会員制情報サービスNIS-Be

電子証明書Carillon

弊社では、米ボーイング社のサプライヤ間で広く使用されているCarillon(カリヨン)社製の電子証明書を正規代理店として販売しています。Carillonは、米国連邦政府の認証基盤(FBCA)との相互認証にも対応する、非常に高い信頼性を持つ認証局です。

電子証明書Carillon

その他

以下のようなサービスも取り扱っております。詳細につきましてはこちらからお問い合わせください。

  • サイバーセキュリティEラーニング
  • 講演会・ワークショップ
  • 重要データの暗号化共有管理クラウドサービス(Fort#Foum-J 富士通)
  • PCセキュリティみまもりパック/駆け付け支援サービス/サイバー保険(PFU)

脅威に対する備え

弊社サイトは、最先端のサイバーセキュリティ技術に対抗する対策を紹介するものではありません。

もろもろの脅威がある中、ビジネスとして妥当なレベルの対策はどんなものか追及しています。

基本的には、どの業界より検討が進んでいるのは航空宇宙&防衛業界における「米国のNIST SP 800-171であったり、「防衛省の情報セキュリティ基準」などの要件をクリアする必要があります。

 それでも、要件を読んでも技術用語が多くて良くわからないとか、本質的にどこまで対策しておけばよいのか、微妙な加減が読み取れないのが普通です。

弊社では、長年の調査や経験から、要件の意味するところを解説したり、最低限必要なレベルに達するためのお手伝いをいたします。

また、昨今はサプライチェーン全体で対応すべきことも多く、1社で単独で対策しても意味がないことなどもありますので、プライム企業の対応を含めてサプライチェーン全体でどうすれば良いか、皆様とご一緒に検討させていただきます。

特に、昨今の高度なサイバー攻撃に耐えるシステムを各社が独自に運用・保守することは却ってリスクがあり、コストも嵩むことが理解されてきています。

代わって、それなりにレベルの高いセキュリティ対策を実施している「クラウドサービス」を活用することが、安全でコストも少ないだろうと言われています。

 また、「対象データは暗号化」することを基本とし、利用者識別を強力に行う「認証基盤」を備えることが背景の条件として必要なものであると認識されています。

以下、契約の元請けとなるプライム企業(一般的には大企業が多い)が考えるべき対策と、プライム企業から部分的に委託を受ける下請け企業/サプライチェーン(多くは中小企業が該当)に分けて、弊社からの提案対策を示します。

プライム企業(大企業など)

米国連邦政府/米軍などや防衛省と直接契約し、プロジェクトの主体となるプライム企業(主契約企業)は、サプライチェーンを含む全契約事業者のサイバーセキュリティ対策の責任を持つことになります。一企業として要件を満たすだけでなく、重要データを展開する必要のある下請け企業全ての対応体制を構築することが必要です。

 その際、サプライチェーン全体のセキュリティポリシーを策定し、具体策を立案・実行するチームを「ポリシー管理組織(PMA:Policy Management Authority)」と言います。サプライチェーンを巻き込んだ単位でポリシー管理を行うことが必要です。そして、プライム/TIER1企業はサプライヤ各社の遵守を指導、状況把握し、インシデント時に適切な対応を行えるようにする必要があります。

 弊社では、PMAを結成するにあたって御社の体制作りをサポートいたします。また、サプライヤ各社への遵守・徹底や支援ツールなどのご提供も可能です。

 なお、サプライヤ各社も複数のプロジェクトを対応しており、それぞれ矛盾する対応策を指示されても混乱が深まるだけであり、それぞれのポリシーの整合も良く吟味することが重要です。以下に、ポリシー策定のイメージを示します。

 対策のポイントとしては、

  • 複数の事業者がデータの共有を行いつつ、昨今の高度なサイバー攻撃に耐えるシステムを各社が独自に運用・保守することは却ってリスクがあり、コストも嵩むことが理解されてきています。代わって、それなりにレベルの高いセキュリティ対策を実施している「クラウドサービス」を活用することが、安全でコストも少ないだろうと言われています。
  • 「対象データは暗号化」することを基本とし、利用者識別を強力に行う「認証基盤」を備えることが背景の条件として必要なものであると認識されています。以下に、サプライチェーン全体に対する理想の対策イメージを示します。

サプライチェーン(中小企業など)

 サイバーセキュリティのリスクや実際に起こった事案について多数報道されていますが、私達はいったい何を対策しておけば「十分」といえるのでしょうか?

 弊社では、特にセキュリティ要件の厳しい航空宇宙&防衛産業に関わっている中小企業の皆様に、業界の現状やこれからの動向を理解いただくとともに、取るべき対策の第一歩として基本的な対策を実践的にお使いいただくプランをご提供します。また、やみくもに対策を行うのではなく、ビジネス推進において必要とされる要件に絞って、最少限の費用で十分な対策となることをサポートいたします。特に、以下の各規準をクリアする最初のステップアップとなることを目標としています。

  • 防衛省情報セキュリティ基準(「保護すべき情報」の扱いに関する通達)
  • 米国DFARS 252.204-7012/NIST SP 800-171(CUIの扱いに関する規則)
  • 米国CMMC(レベル1、レベル3)(今後適用されるFCI、CUIに関する認証)

 私達は、わが国の航空宇宙&防衛業界の事業者様が、必要以上に過大な懸念によりビジネス機会を避けたり、失うことが無いようにミニマムな投資で十分な結果を得る手助けをすることを目指しています。あわせて、わが国のサプライチェーン全体としてもセキュリティレベルを底上げし、国際的な信頼を獲得できることを目指しています。

お問い合わせ・コンサルタント相談

情報セキュリティ・認証に関するご質問、コンサルタントのご相談は、下記よりご連絡ください。

お問い合わせ