国内初、グローバル水準のセキュリティ管理策で企業各社がセキュアなAWSクラウドインフラを利用可能に/SHIFT独自の「NIST SP800-(171/172)管理策実装サービス」を提供開始
AWSの支援のもと、米国政府が採用するセキュリティ統制を国内で実現
この取り組みにおいてSHIFTは、米国防総省(以下 DoD)が定めるNIST SP800-(171/172)/NIST SP800-53 Moderate levelのセキュリティ管理策要件を分解し、「NIST SP800-(171/172)管理策実装サービス」を立ち上げ企業各社に提供します。
これにより、国内の企業がグローバル水準のセキュアなAWSクラウドを利用して、NIST SP800-(171/172)/NIST SP800-53 Moderate levelへの対応を進めることが可能となります。
SHIFTは、さまざまな製品、サービス、事業運営にグローバル水準のセキュリティ統制への準拠が求められると予測される国内企業各社に対して、他国におくれを取らないセキュアなクラウド環境の整備を支援することで、日本国内のセキュリティレベルの向上に貢献していきます。
■本取り組みに関する背景
デジタル技術の発展と活用の進展は、ビジネスの分野はもちろん人々の生活にさまざまな変化をもたらし、現代社会は大きな恩恵を受けています。その一方で、サイバー攻撃などによる多大なセキュリティリスクにも直面しており、多くの国々が政府をあげて、これまで以上の万全なセキュリティ体制の構築や仕組みの醸成に追われています。
DoDは、2016年10月にDoDと取引を行うすべての企業や団体に対して、NIST SP800-171に準拠したソフトウェアシステムの利用を定め、「保全が必要な情報(Controlled Unclassified Information、以下 CUI)」を取り扱う際に企業が遵守すべきセキュリティ基準を設けました。これにより、米国政府と関わる多くの主要国政府がこの決定に追従する流れをとり、日本政府もまた、防衛調達における新情報セキュリティ基準策定の検討に着手、2019年には防衛調達に関する新情報セキュリティ基準を発表するなど(※3)、今後は国内でも政府関連事業に関わらず、グローバル市場への展開を視野に入れた事業を展開する企業、またそれらと取引するすべての企業にはグローバル水準に合わせたセキュリティ統制が求められることとなります。
しかし、国内では米国などの先端セキュリティ統制に対応した取り組みへの実績は未だ少なく、対応できる技術力や知識、知見を有する技術者の数も非常に少ないのが現状です。SHIFTでは、これらの状況を見越し、さまざまな業界の先端セキュリティに関わるプロジェクトに長年従事し、上述の技術、知見に特出したエンジニアを複数採用しており、これまでも金融機関や医療、流通、製造業界などに対するセキュリティ支援やコンサルティングなどを数多く手掛けてきました。これら数多くの有識者の存在や業務実績を活かし、このたびのテンプレートを整備しました。
本取り組みの推進を主幹した、セキュリティサービス部の森はこの度の成果と展望について以下のように述べています。
<主幹部門長 コメント> 株式会社SHIFT サービス&テクノロジー本部 技術統括部 セキュリティサービス部 |
■SHIFTが提供する「NIST SP800-(171/172)管理策実装サービス」について
<名称>
・NIST SP800-(171/172)管理策実装サービス
<対象>
・NIST CSF(Cyber Security Flamework)のSP800を検討されているお客様
・サプライチェーンリスク対策をご検討中のお客様
・防衛装備品の取り扱いなど、日米の防衛省に関わるビジネスを行っているお客様
<サービス内容>
・NIST SP800 53Moderateの管理策にもとづいた各種ご支援
(ご支援の一例)
・ハイエンドセキュリティ環境実装のための方針策定
・各種ドキュメントの整備や体制構築、運営業務支援
・AWS環境の構築とチューニング作業 など
■取り組み体制について
この度、SHIFTが立ち上げる「NIST SP800-(171/172)管理策実装サービス」により、DoDの調達基準であり、米国で実績のあるセキュリティ管理策NIST SP800-(171/172)およびNIST SP800-53 Moderate levelに沿ったセキュアなシステム環境を構築することが可能となります。
NIST SP800-(171/172)で用いる管理策はNIST SP800-53のサブセットであるため、今回は最新のNIST SP800-53 Moderate levelを用いて確認を行いました。米国では現在、SP800-(171/172)からCMMC認証制度へと移行が進行中ですが、CMMCはSP800-171、SP800-172、英国Cyber Essentialsなど、さらに拡充が図られるもので、いまだ試行段階です。
※1,2 「NIST SP800-(171/172)」「NIST SP800-53」:
米国国立標準技術研究所(NIST)が発行する認定、指針の一つ
※3(参考):
防衛装備庁における情報セキュリティ基準の改正に係る取組(防衛装備庁 技術シンポジウム2019)
https://www.mod.go.jp/atla/research/ats2019/doc/maeno.pdf
■本サービスに関するお問い合わせ
SHIFTサービスサイトの【お問い合わせ|株式会社SHIFT( https://service.shiftinc.jp/contact/ )】
よりご連絡ください。
■株式会社SHIFTについて
SHIFTは、ソフトウェアの品質保証・テストを軸として開発工程全般を支援するサービスを多岐にわたり提供しています。「無駄をなくしたスマートな社会の実現」を目指し、金融機関などのエンタープライズ領域におけるミッションクリティカルな基幹システムから、ECサイト、スマートフォン向けのアプリ・ゲーム検証まで幅広い分野のお客様に対するトータル品質保証サービスを手掛けています。
・名称:株式会社SHIFT
・代表:代表取締役社長 丹下 大
・住所:東京都港区麻布台2-4-5 メソニック39MTビル
・事業内容:ソフトウェアのテスト・品質保証
・コーポレートサイト https://www.shiftinc.jp/
・サービスサイト https://service.shiftinc.jp/
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像