公式資料だけではわかりづらい「NIST SP800-171」のポイントを徹底解説
近年、海外拠点を起点とするサイバー攻撃が増加しており、グローバル企業やクラウド事業者を含むサプライチェーン全体のサイバーセキュリティ強化が急務となっています。特に基幹産業関連の組織には、従来のサイバーセキュリティ対策に加え、経済安全保障の観点からも高度な対策が求められています。この要求に応えるのが「NIST SP800-171」です。
「NIST SP800-171」は、米国で導入されているサプライチェーン全体の重要情報保護フレームワークです。米国政府との取引がある組織、日本企業も含め、この基準への準拠が求められています。さらに、日本の防衛省もこれを参考にしたセキュリティ基準を策定し、2023年から取引先企業への適用を開始しました。
本書は、組織のCIO、CISO、IT部門、リスク・危機管理部門の責任者および実務担当者を対象に、「NIST SP800-171」の実践手法とノウハウを解説しています。基礎編では「171」の概要とポイントを詳細に解説し、実践編では段階的な導入方法を説明しています。
チーム演習を想定した実践方法で具体的に解説
本書ではNISTの公式文書やIPAなどの基本資料だけでは理解が難しい部分を平易に解説し、チームによる具体的な演習方法を紹介しています。チーム作りや予算の考え方、ギャップ分析や評価シート例など具体的な手法を紹介しており、実際の導入プロセスをサポートします。また2024年5月に改訂された「Rev.3」の内容にも対応しています。
本書は、組織のセキュリティ強化に向けた実践的なガイドとして、「NIST SP800-171」の理解と導入を体系的に習得できます。今後のさらなるセキュリティ強化に取り組む企業や組織にとって、貴重な参考資料となるでしょう。
また本書の内容の一部を記事で無料公開しております。こちらもぜひ御覧ください。
読者対象
・セキュリティ統括部門に配属されたばかりで、すぐにでも基礎知識を習得したい方
・管理系部門には長くいるが、セキュリティ知識を改めて体系的に習得したい方
・CIO、CISO、リスク・危機管理責任者、セキュリティ実務担当者など、サイバーセキュリティの強化の方法を求められる方
目次
【基礎編】
- 第1章 サプライチェーンセキュリティが重要視される理由
- 第2章 サプライチェーンセキュリティに有効な「171」
- 第3章 NIST SP800-171の概要とポイント
- 第4章 「171」のポイント
- 第5章 「171」の具体的な進め方
【実践編】
- 第6章 プロローグ
- 第7章 CUIを決定し、セキュリティ範囲を定める
- 第8章 ギャップ分析に取り組む〈事前準備〉
- 第9章 ギャップ分析に取り組む〈AsIsとToBeの可視化〉
- 第10章 予算を申請する
- 第11章 対策を実装して運用サイクルをまわす
- 第12章 総仕上げ サプライチェーンは強化されたか
- 第13章 エピローグ
