NRIセキュア、「サイバーセキュリティ経営ガイドライン」の対応支援サービスを提供開始

この記事は約5分で読めます。
NRIセキュアテクノロジーズ株式会社(以下「NRIセキュア」)は、企業のサイバーセキュリティ経営推進を支援するため、「サイバーセキュリティ経営ガイドライン対応支援サービス(以下「本サービス」)」を、本日から提供します。
■サイバーセキュリティ経営の概況
サイバー攻撃の巧妙化・アタックサーフェス(攻撃対象領域)の広範化に伴い、企業のセキュリティリスクがますます高まっています。サイバーセキュリティを経営課題と認識し、リスクマネジメントの一環として対策を推進する取り組みが、業種を問わず必要とされています。

経済産業省と独立行政法人情報処理推進機構(IPA)は、「サイバーセキュリティ経営ガイドライン」のVer1.0を2015年に、Ver2.0を2017年に発行し、各社の経営層がリーダーシップを発揮してサイバーセキュリティ対策を推進することを求めてきました。2023年3月に発行されたVer3.0では、経営者の責務やサイバーセキュリティ対策に関する項目が強化され、経営層のサイバーセキュリティへの関与と、サプライチェーン全体での対策推進がより一層求められています[i]。

図:「サイバーセキュリティ経営ガイドライン」改訂後の3原則

出所)経済産業省、IPA「サイバーセキュリティ経営ガイドライン Ver3.0」をもとにNRIセキュア作成

■ 本サービスの概要
本サービスは、「サイバーセキュリティ経営ガイドライン Ver3.0」に基づき、サイバーセキュリティ対策の評価からロードマップの策定までを包括的かつ実効的に支援するものです。
本サービスは、主に以下の3つの内容から構成されます。

1. サイバーセキュリティ経営に関する経営層の意識改革を支援
サイバーセキュリティ経営の実現には経営層の意識改革が重要です。NRIセキュアのコンサルタントが第三者の立場から、サイバーセキュリティの脅威動向や事業への影響、サイバーセキュリティ経営のあるべき姿等について講和を提供し、経営層への意識づけを支援します。

2. サイバーセキュリティ対策状況の評価とロードマップの策定
サイバーセキュリティ経営ガイドラインをもとに、NRIセキュアが独自に作成した「サイバーセキュリティ経営ガイドライン評価シート」を活用して企業の対策状況を評価します。

さらに、「NIST Cybersecurity Framework(CSF)」[ii]「CIS Controls」[iii]「NIST SP800-61」[iv]等、国際的に使用されているフレームワークと、コンサルティングサービスの提供を通して培った知見を組み合わせることで、サイバーセキュリティ対策状況をより深く、的確に評価することができます。評価結果をもとに、今後必要となる対策案を提示し、中長期のロードマップ(全体スケジュール)の策定を支援します。

3. 必要なサイバーセキュリティ対策の実行支援
策定したロードマップに沿って、運用プロセスまでを考慮した、サイバーセキュリティ対策の実行を支援します。

本サービスの詳細については、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/consulting/csm-guideline

NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。

[i] 「サイバーセキュリティ経営ガイドライン Ver3.0」で改訂された内容の詳細は、NRIセキュアブログ「サイバーセキュリティ経営ガイドライン Ver3.0|6年ぶりの改訂、どこが変わった?」(https://www.nri-secure.co.jp/blog/cybersecurity-management-guidelines-3.0)を参照ください。
[ii]NIST Cybersecurity Framework(CSF):米国国立標準技術研究所(NIST:National Institute of Standards and Technology)が発行したフレームワークで、ビジネスと組織の両方のニーズに基づいた、費用対効果の高いサイバーセキュリティリスク対策・管理について記されています。
[iii] CIS Controls:サイバーセキュリティに関する技術分野に焦点を当て、現在発生しているサイバー攻撃や近い将来に発生が予測される攻撃の傾向を踏まえ、多岐にわたる対策の中から、自社(組織)が実施すべき対策と、その優先順位を導くためのアプローチを提示したフレームワークです。米国国家安全保障局(NSA)等の米国の公的機関や情報セキュリティ専門企業等が共同で研究し、米国のセキュリティ専門団体であるSANS Instituteが取りまとめたもので、現在はCIS(Center for Internet Security)が改訂・管理しています。
[iv] NIST SP800-61:NISTが発行したフレームワークで、コンピュータセキュリティインシデント対応に焦点を当て、企業や組織において平時と有事におけるインシデント対応の計画、組織、ポリシー、手順、およびリソースに関するベストプラクティスを提供しています。

タイトルとURLをコピーしました