NRIセキュアテクノロジーズ(以下、NRIセキュア)は、防衛産業に関わる企業に対して、サプライチェーン全体のセキュリティレベル向上を支援するために、防衛産業サイバーセキュリティ基準の準拠性評価サービスの提供を開始した。
防衛装備庁の「装備品等および役務の調達における情報セキュリティの確保に関する特約条項(通称「防衛産業サイバーセキュリティ基準」、以下新基準)は、旧基準に米国の「NIST SP800-171」の要求管理策を取り込む形で2022年4月に整備され、2023年4月より、防衛関連の調達契約を対象に適用が開始されている。
調達契約を結ぶ企業に対しては、システム換装などを考慮して新基準への準拠までに最長5年間の猶予期間が設けられているものの、要求される管理策が旧基準より広範かつ厳格になっており、計画的に対応を進める必要があるという。
また、防衛省や防衛装備庁と直接契約を結ぶ企業だけではなく、その企業のサプライチェーンネットワークに含まれる委託先企業に対しても新基準への準拠が求められている。
そこでNRIセキュアは、本サービスの提供を通して企業の新基準への準拠を支援し、サプライチェーン全体のセキュリティレベル向上を目指すとしている。
今回発表されたサービスの主な特長としては、NIST SP800-171への準拠を支援するサービスを通じて培った知見に基づき、対象企業の対策状況を評価。旧基準やISO27001へ既に準拠している企業に対しては、個社の現状に合わせてヒアリング項目を絞ることで、担当者の対応負荷を下げることができるとしている。
また、評価結果から「必要な対策一覧」を導き出し、対応の優先順位付けを行ったうえで簡易的なロードマップを作成。さらに、新たに作成すべきポリシー等の文書や既存文書に取り入れるべき要素を整理し、準拠に向けて何を実施すべきかを明確化するとともに、具体的な改善策を提示するとしている。
【関連記事】
・サプライチェーン全体のBCP強化が課題か NRIがBCMに関する調査結果を発表
・NRIセキュア、「CRI Profile」を活用したサイバーセキュリティアセスメントサービスを開始
・NRI、クラウド型軽量勘定系サービス「NRI BaaS/CORE」を開発へ 24年夏頃の提供目指す
