お知らせ
モノやサービスを提供する企業にとって最も守らなければならないものは、情報(ノウハウ)です。
大切な社員を守ると同時に、長年培ってきたノウハウを守らなければなりません。
インターネットが普及し、世界中の情報が取得できる便利な世の中になりましたが、それは逆に世界中から御社の情報を搾取する脅威にもさらされているのです。
弊社の強みは日米欧に渡る情報セキュリティーの対策状況についての知識を多く保有しており、皆さまの情報を守るお手伝いをいたします。
現状の情報セキュリティレベル確認と評価
インターネットが普及し、世界中から御社の大切な情報を搾取しようとする脅威が増大しています。
大切な情報を守るために、まずは自社の対応状況を知ること、そしてどのような対策が必要になるかを把握する必要があります。
私達は、主に米国連邦政府や航空宇宙&防衛業界に、契約的に遵守を求められている情報セキュリティ対策に特化して研究を重ねています。
その背景から、航空宇宙&防衛産業に携わっている事業者様あるいはこれから参入しようと考えている中小企業様などで、セキュリティ対策方針に迷っておられる事業者様にご参考にしていただきたく、自己診断から始めて国際的な基準を満たせるようになるまでの段階的アプローチをご提案しています。
また、私達はやみくもに対策を行うのではなく、ビジネス推進において必要とされる要件に絞って、最少限の費用で十分な対策となることをサポートいたします。
特に、以下の各規準をクリアする最初のステップアップとなることを目標としています。
- 防衛省情報セキュリティ基準(「保護すべき情報」の扱いに関する通達)
- 米国DFARS 252.204-7012/NIST SP 800-171(CUIの扱いに関する規則)
- 米国CMMC(レベル1、レベル3)(今後適用されるFCI、CUIに関する認証)
私達は、わが国の航空宇宙&防衛業界の事業者様が、必要以上に過大な懸念によりビジネス機会を避けたり、失うことが無いようにミニマムな投資で十分な結果を得る手助けをすることを目指しています。
あわせて、わが国のサプライチェーン全体としてもセキュリティレベルを底上げし、国際的な信頼を獲得できることを目指しています。
情報セキュリティ整備状況診断
弊社が提供している「情報セキュリティ整備状況診断」は、IPA(情報処理推進機構)が中小企業向けに策定した情報セキュリティ対策ガイドライン(25項目)と、米国国防総省が検討中のCMMC(サイバーセキュリティ成熟度モデル認証)のレベル1(国防総省の契約情報を扱う場合に必要な要件)に選定されているベーシックな予防策(17項目)に対して、遵守/対応状況を自己診断できます。
設問は、両基準の要件をマージして分かり易い設問として私達で35項目にまとめなおしたものです。
特に航空宇宙&防衛産業に携わる事業者様は、この2つの基準にどの程度適合しており、何が不足しているか自己診断できます。
下記ボタンよりセルフチェックを行ってください。
このツールでは、入力された情報は保存しておりませんので、ご安心してお試しください。
なお、情報を保存しないため、再使用する際は初めから入力をしなおすことになります。
1回のご利用で最後まで入力し、自己診断レポートの出力まで完了させてください。
以降、弊社のコンサルタントにご相談される場合は、この自己診断レポートをお送りいただけると状況の確認がスムーズです。
セルフアセスメントの自己診断レポートをご覧になって、私達のサポートが必要な方は、お問い合わせからご連絡ください。
海外を含めた動向
弊社では、以下の分野に特に注目した情報収集・共有を行っています。
米国におけるNISTの情報セキュリティ
米国の、情報セキュリティに関する最新の動向を、現在までの規格類の制定の流れ、規格の概要、最近の規格制定の状況の観点からまとめました。規格の改定の内容からも興味深い方向性も見えてきます。FISMA2014、FIPS-199から、NIST SP800シリーズの関連規格等について全般を整理します。
米国連邦政府調達のサイバーセキュリティ要件=CUI
米国では、2010年の大統領令(EO 13556 : Executive Order 13556 Controlled Unclassified Information)に基づき、NISTはSP 800-171を制定しました。DoDは、いち早くその適用を業界に求めるDFARS(252.204-7012)を発行し、2017.12.31までにサプライチェーンに関わる全ての組織に対して遵守することを求めています。
NIST SP 800-171は、SP 800-53,SP 800-63をベースに構成されており、ISMS (ISO/IEC 27001)とも対比される内容/構成となっており、情報システム自体への制約と、情報を扱う上での組織態勢やルールを適切に制定することが必要です。弊社は、すでに米国でNIST準拠のクラウドサービスとして認定されているExostar社のForumPass Defenseを紹介いたします。
【ビデオ】「米国の情報セキュリティに関する動向」(2020.9.30 NIS-Beセミナー 録画)
【参考】 米国 NIST SP 800-171 による連邦政府調達基準への対応について
【参考】米国国防総省のCMMC(サイバーセキュリティ成熟度モデル認証)について
サイバーセキュリティ成熟度モデル認証"CMMC"の枠組み
米国防総省はNIST SP 800-171管理策を展開して5レベル評価を加えた新しい認定制度の仕組みとしてCMMC(Cybersecurity Maturity Model Certification)を適用することを宣言しました。
2020年1月にはVer. 1.0が公表されました。2020年11月には一部適用が開始される見通しです。CMMCはAIAのNAS 9933にならって、各要求項目を5段階のレベルおよびプロセスに分けて評価するしくみとしました。また、第三者評価認定機関(C3PAO)を認定し、客観的なレベル評価が行えるようにしています。
CMMCはあくまで米国防総省としての取り組みであり、その他の連邦政府各機関が取り組んでいるものではありません。また、米国防総省においても、これが正式に発効するのは、調達規則であるDFARS 252.204-7012の改訂が行われた後となります。
米国 NIST SP 800-63 による認証規格を紹介し、我が国にも対応する認証基盤構築を推進
欧米の航空宇宙・防衛業界における機密度の高い情報の扱いについては、ISOなどの国際規格より、米国政府が策定するNISTが制定するNIST SP 800-63に従うことが合理的かつ即効性のあるソリューションであると考えています。
「認証」は、昨今のサイバーセキュリティの課題であり、その入口となるものです。情報を取扱う入口を的確に押さえて初めてシステムによる対策が有効になってきます。
技術的にはPKI電子認証を核として、NIST SP 800-63規格をベースとする体系をわが国に自律的に構築し、諸外国と対等な認証信頼関係を確立することです。
LSAP航空機ソフトウェア部品のセキュリティ基盤構築の支援
航空機の部品はIT技術の進化に伴い、ソフトウェアを持つシステム部品に変わりつつあります。米国FAAでは、ハードウェアの認証をRTCA DO-254により規定していますが、ソフトウェア(システム)部品についてはDO-178が適用されます。
DO-178は製造時における規約ですが、運航会社やMRO整備会社ではそのソフトウェアをアップデートする作業を、現場で行う必要があります。欧米
脅威に対する備え
弊社サイトは、最先端のサイバーセキュリティ技術に対抗する対策を紹介するものではありません。
もろもろの脅威がある中、ビジネスとして妥当なレベルの対策はどんなものか追及しています。
基本的には、どの業界より検討が進んでいるのは航空宇宙&防衛業界における「米国のNIST SP 800-171」であったり、「防衛省の情報セキュリティ基準」などの要件をクリアする必要があります。
それでも、要件を読んでも技術用語が多くて良くわからないとか、本質的にどこまで対策しておけばよいのか、微妙な加減が読み取れないのが普通です。
弊社では、長年の調査や経験から、要件の意味するところを解説したり、最低限必要なレベルに達するためのお手伝いをいたします。
また、昨今はサプライチェーン全体で対応すべきことも多く、1社で単独で対策しても意味がないことなどもありますので、プライム企業の対応を含めてサプライチェーン全体でどうすれば良いか、皆様とご一緒に検討させていただきます。
特に、昨今の高度なサイバー攻撃に耐えるシステムを各社が独自に運用・保守することは却ってリスクがあり、コストも嵩むことが理解されてきています。
代わって、それなりにレベルの高いセキュリティ対策を実施している「クラウドサービス」を活用することが、安全でコストも少ないだろうと言われています。
また、「対象データは暗号化」することを基本とし、利用者識別を強力に行う「認証基盤」を備えることが背景の条件として必要なものであると認識されています。
以下、契約の元請けとなるプライム企業(一般的には大企業が多い)が考えるべき対策と、プライム企業から部分的に委託を受ける下請け企業/サプライチェーン(多くは中小企業が該当)に分けて、弊社からの提案対策を示します。
プライム企業(大企業など)
米国連邦政府/米軍などや防衛省と直接契約し、プロジェクトの主体となるプライム企業(主契約企業)は、サプライチェーンを含む全契約事業者のサイバーセキュリティ対策の責任を持つことになります。一企業として要件を満たすだけでなく、重要データを展開する必要のある下請け企業全ての対応体制を構築することが必要です。
その際、サプライチェーン全体のセキュリティポリシーを策定し、具体策を立案・実行するチームを「ポリシー管理組織(PMA:Policy Management Authority)」と言います。サプライチェーンを巻き込んだ単位でポリシー管理を行うことが必要です。そして、プライム/TIER1企業はサプライヤ各社の遵守を指導、状況把握し、インシデント時に適切な対応を行えるようにする必要があります。
弊社では、PMAを結成するにあたって御社の体制作りをサポートいたします。また、サプライヤ各社への遵守・徹底や支援ツールなどのご提供も可能です。
なお、サプライヤ各社も複数のプロジェクトを対応しており、それぞれ矛盾する対応策を指示されても混乱が深まるだけであり、それぞれのポリシーの整合も良く吟味することが重要です。以下に、ポリシー策定のイメージを示します。
対策のポイントとしては、
- 複数の事業者がデータの共有を行いつつ、昨今の高度なサイバー攻撃に耐えるシステムを各社が独自に運用・保守することは却ってリスクがあり、コストも嵩むことが理解されてきています。代わって、それなりにレベルの高いセキュリティ対策を実施している「クラウドサービス」を活用することが、安全でコストも少ないだろうと言われています。
- 「対象データは暗号化」することを基本とし、利用者識別を強力に行う「認証基盤」を備えることが背景の条件として必要なものであると認識されています。以下に、サプライチェーン全体に対する理想の対策イメージを示します。
サプライチェーン(中小企業など)
サイバーセキュリティのリスクや実際に起こった事案について多数報道されていますが、私達はいったい何を対策しておけば「十分」といえるのでしょうか?
弊社では、特にセキュリティ要件の厳しい航空宇宙&防衛産業に関わっている中小企業の皆様に、業界の現状やこれからの動向を理解いただくとともに、取るべき対策の第一歩として基本的な対策を実践的にお使いいただくプランをご提供します。また、やみくもに対策を行うのではなく、ビジネス推進において必要とされる要件に絞って、最少限の費用で十分な対策となることをサポートいたします。特に、以下の各規準をクリアする最初のステップアップとなることを目標としています。
- 防衛省情報セキュリティ基準(「保護すべき情報」の扱いに関する通達)
- 米国DFARS 252.204-7012/NIST SP 800-171(CUIの扱いに関する規則)
- 米国CMMC(レベル1、レベル3)(今後適用されるFCI、CUIに関する認証)
私達は、わが国の航空宇宙&防衛業界の事業者様が、必要以上に過大な懸念によりビジネス機会を避けたり、失うことが無いようにミニマムな投資で十分な結果を得る手助けをすることを目指しています。あわせて、わが国のサプライチェーン全体としてもセキュリティレベルを底上げし、国際的な信頼を獲得できることを目指しています。
エヴァ・エッセンシャルズ
弊社では、大企業でも中小企業でも、プライム会社でも下請け会社でも、どんな組織も基本的に遵守すべきではないかと考えるレベルの管理策を「エヴァ・エッセンシャルズ」として独自に取りまとめました。
39項目ありますが、これを達成すれば「CMMC Level 1(米)」、「UK Cyber Essentials(EU)」、「IPA・情報セキュリティ自社診断(日)」のそれぞれが求めているエッセンシャルなレベルの管理策を満たすことが出来ます。
これら、システム技術的な対策の他、運用ルールもある程度共通化することが必要となります。弊社では、中小企業も最小限守るべき事項で、日米政府の要件を満たし、コスト的にもミニマムとなる管理策の案を「エヴァ・エッセンシャルズ」として作ってみました。
是非、説明をご覧いただき、ご活用ください。
エヴァアビエーションの情報セキュリティサービス
No | サービス項目 | 概要 |
1 | 講演会&ワークショップ | 年2回程度の講演および相談対応などのワークショップへの参加 ・防衛省情報セキュリティ要件対応 ・米国航空宇宙産業の規制解説など |
2 | エヴァエッセンシャルズ 自己診断&アドバイス | IPA自社診断や米CMMS L1などへの対応を含む基本的にすべての事業者が遵守すべき対応策について、セルフアセスメント(VMS)および専門家のアドバイス(1~2時間程度のWeb会議など) |
3 | 情報セキュリティ管理規程 航空宇宙防衛用ひな形 | 防衛省セキュリティ基準や米CMMC L3に対応できる管理規程の雛形を提供。VMS診断状況とあわせて各社への適用プロセスについてのコンサルティング |
4 | NIST対応個別コンサルティング | 多くの企業が採用しているISMS準拠の既存情報管理規定を元に、NIST SP 800-171準拠にして米CMMCL3対応するためのコンサルティング |
5 | 米国&防衛省情報セキュリティ動向紹介有料会員サイト(NIS-be) | 防衛基盤整備協会(BSK)と運営する情報共有サイトの個人会員(1年間)として各種情報を収集、メルマガ(毎月1回発行) |
6 | サイバー対策の基本教育 従業員意識向上e-learning | 従業員個人個人のセキュリティ意識を高めるためのe-learningコース |
7 | メール暗号化セキュリティ S/MIME用電子証明書利用 | 米ボーイング社がサプライヤに使用を義務づけているメール暗号化セキュリティ用の電子証明書利用 |
その他、外部サービスのご紹介も可能です。
- 重要データの暗号化共有管理クラウドサービス(Fort#Foum-J 富士通)
- PCセキュリティみまもりパック/駆け付け支援サービス/サイバー保険(PFU)
お問い合わせ・コンサルタント相談
情報セキュリティ・認証に関するご質問、コンサルタントのご相談は、下記フォームよりご連絡ください。