検索防衛省情報セキュリティ基準適合のための体制構築支援及び運用支援コンサルティング
防衛省情報セキュリティ基準適合のための体制構築支援及び運用支援コンサルティング
1 概要
防衛省との契約において保護すべき情報※1が含まれる場合は、情報セキュリティ特約条項が付加され、契約した企業の皆様はこの特約条項の定めるところに従い保護すべき情報を適正に取り扱わなければなりません。具体的には、特約条項別紙に定める防衛省情報セキュリティ基準※2に規定された管理策を実装することで必要な保護措置をとることになります。
防衛省情報セキュリティ基準は、米国国防省が国防産業に実装を義務付けているNIST SP800-171を参考にして令和4年3月に旧情報セキュリティ基準を全面改正して作られたものです。求められる管理策は、従前から規定されていたサイバー攻撃を事前に防止する対策だけではなく、侵入を予期して早期に発見、その後の対処までの対策を網羅的に規定しているため、要求が広範かつその対策が細部にまで及んでおります。
この新しく規定された要求事項に適合し、防衛省の求める情報セキュリティを確保することが、契約企業の皆様、特に中小企業の皆様にとっては大きな課題となっています。
※1:防衛省が規定する取扱上の注意を要する文書等及び注意電子計算機情報で、秘密文書等とは異なり「注意」「部内限り」に相当するもの
※2:情報セキュリティ特約条項の別紙として呼び出される「装備品等及び役務の調達における情報セキュリティ基準」
2 体制構築支援及び運用支援コンサルティングの概要
防衛基盤整備協会は、新しい防衛省情報セキュリティ基準の検討段階から官民検討会メンバーの一員として参加し、基準改正の背景から個々の管理策設定に至るまでの経緯等を熟知しています。また防衛省基準作成の参考となったNIST SP800-171のコンサル実績もあります。これらにより修得した知識等を基に令和4年の防衛省基準制定当初からコンサルティング事業を開始しており、既に50社以上の企業の皆様の新しい防衛省基準に適合するための体制構築支援を実施してきました。
(1)コンサルティングのプロセス
◆ 体制構築支援
(新規に情報セキュリティ基準に適合する場合)
Step1:「基礎体制構築支援」
①現状調査
②規則等の作成
③取扱施設等の設置
④保護システムの構築
Step2:「実務体制構築支援」
①規則等の教育
②各種計画作成要領・報告要領
Step3:「運用体制確立支援」
①セキュリティ監査要領の確立
②運用体制の確立
Step4:「認定証の交付」
◆ 運用支援
(体制構築後の業務支援が必要な場合)
【教育の実施】
〇取扱者に対する教育
〇職責等に関する教育
【セキュリティ監査支援】
〇セキュリティ監査チェックリストの作成
〇セキュリティ監査結果及び是正状況の確認
【脆弱性情報の配布】
〇専門的な外部機関が発信する脆弱性情報収集の支援
【その他】
〇防衛省の規則等改正状況等の情報提供
(2)基本料金及びコンサル期間
◆ 体制構築支援
◆ 運用支援
料金は、保護システムの構築区分(スタンドアロン、イントラネット、DSG利用等)により異なります。
※旅費等:1回あたり1万円以上の旅費は、実費を請求させていただきます。
3 コンサルティング体制
◆ 経験豊富なスタッフによる支援チームを編成
◆ 支援チームスタッフの資格・経験等
- (セキュリティ プロフェッショナル認定資格)
4 実績
| 年度 | 体制構築支援 | 運用支援 | 備考 |
|---|---|---|---|
| 令和2年度 | 11件 | 17件 | 旧情セキ基準 |
| 令和3年度 | 5件 | 23件 | 旧情セキ基準 |
| 令和4年度 | 13件 | 25件 | 新旧情セキ基準 |
| 令和5年度 | 12件 | 25件 | 新情セキ基準 |
| 令和6年度 | 38件 | 19件 | 新情セキ基準 |
(公財)防衛基盤整備協会
第2事業部 業務第1課
課長 上野
担当者 五十嵐、加納、朝田、遠藤、間野
〒160-0003 東京都新宿区四谷本塩町 15-9 (ラボ東京ビル7階)
Tel: 03-3358-8704 Fax:03-3358-8735
E-Mail : infor-secu@bsk-z.or.jp
