デロイト トーマツ、「NIST SP800-171」に準拠した高度なサイバーセキュリティを確保したサービス提供体制を構築

NIST SP800-171は、サイバー脅威から米国政府機関の機密情報（CI）を守るためのガイドラインであるNIST SP800-53からセキュリティの要件を抽出する形で、重要情報（CUI）を扱う民間企業向けにNISTが定めたセキュリティ基準を示すガイドラインです。米国の国防総省は、取引先企業に対して、そのサプライチェーンに連なるサプライヤー等も含めた「NIST SP800-171」準拠の義務化を進めています。日本においても、NIST SP800-171は、政府調達における調達基準として求められるセキュリティ要件の参照基準になり始めており、これらの動向を踏まえて、今後、日本国内でも多くの企業がNIST SP800-171に対応していくことが想定されます。NIST SP800-171は、アクセス制御等の技術的要件77項目と監査や訓練・インシデント対応等の非技術要件33項目の計 110項目で構成されている広範な内容となっており、多数あるセキュリティフレームワークの中で要求レベルが高いとされているもののひとつです。

デロイト トーマツ グループは、従来から情報セキュリティマネジメント規格ISO27001の認証を取得していますが、複雑化・深刻化するサイバーリスクに対応して、クライアントに対するサービス提供においてより一層高度なセキュリティの確保を実現する目的で、特に安全保障等に関連する重要性・機密性の高い日本国の中央官庁案件での情報管理において、NIST SP800-171水準のセキュリティ対策を進めました。これによって、グループ共通のシステム基盤のNIST SP800-171への準拠を2021年中に達成する見込みとなり、企業・団体等に対しても、特に機密な情報を取り扱う社会的重要性が高いプロジェクトについては、原則としてNIST SP800-171に準拠した体制での対応が可能となります。

なお、デロイト トーマツ グループは、クライアントに対する、NISTサイバーセキュリティフレームワークを活用したセキュリティ水準の高度化に向けたNIST対応コンサルティングサービスも提供しています。同サービスでは、サイバーセキュリティにおいてビジネス視点からオペレーション視点に至るまで一気通貫で深い知見を有する戦略コンサルタント等で構成されたNISTアセスメントチームが、NIST SP800-53の技術仕様で策定された米国政府のクラウドサービス調達基準であるFedRAMPの第三者評価機関でもあるデロイトUSとも連携した総合的コンサルティングを提供します。

これまでのサービス提供実績に、今回発表した自社におけるアセスメント対応の知見・経験を加え、よりクライアント視点に立ったサービスを展開し、クライアントの根本的なサイバーリスクの低減を実現していきます。