NRIセキュアテクノロジーズ株式会社（以下「NRIセキュア」）は、企業による情報セキュリティ対策の実行を支援するプラットフォーム「Secure SketCH（セキュア スケッチ）」において、有償の「PREMIUMプラン」で提供している「ガイドラインチェック機能」の対象として、新たに2つのガイドラインを追加し、本日提供を開始します。

「Secure SketCH」は、企業の情報セキュリティ担当者がWeb上で約80の設問に回答することで、自社におけるセキュリティ対策の状況を定量的に可視化し、必要な対策の把握と推進に役立てることができるプラットフォーム型のサービスです。本年9月24日現在、無償プランも含め1,700以上¹の企業等に利用されており、そのうち有償プランの利用組織数は300を超え²、組織の規模や業種を問わず利用されています。

2019年4月より提供している「ガイドラインチェック機能」は、自社のセキュリティ対策状況が国内外の各種セキュリティガイドラインにどの程度準拠しているかを分析し、その準拠状況を確認するための機能です。業種を問わない最大公約数の評価項目となるように、主要なガイドラインを幅広く参照しており、これまで、「NIST Cybersecurity Framework Version 1.1」³、「経済産業省 サイバーセキュリティ経営ガイドライン Ver 2.0」⁴および「経済産業省 情報セキュリティ管理基準（平成28年改正版）」⁵、「CIS Controls V7.1」⁶に対応してきました。

昨今、企業のサプライチェーンを狙ったサイバー攻撃が増加しており、実際に被害が発生した事例も明らかになっています。このため、サプライチェーン上に存在するすべての関連企業や業務委託先にとって必要な、セキュリティ対策への関心や検討意欲が高まっています。

このような背景から、このたび、サプライチェーンのセキュリティ対策に対応している「米国防総省 CMMC」⁷および「NIST SP 800-171」⁸を、新たに追加しました。これにより、Secure SketCHの設問に回答するだけで、米国政府がサプライチェーン内の請負業者に対して求めるセキュリティ要件について、自社の準拠状況を自動的に算出・表示することが可能になります（表示イメージは、文末の「ご参考」を参照ください）。

Secure SketCHの詳細については、次のWebサイトをご参照ください。

https://www.secure-sketch.com/

NRIセキュアは今後も、Secure SketCHの機能強化・品質維持向上に努め、グローバルな規模で安全・安心な情報システム環境と社会の実現に貢献していきます。

• ¹  

  無償の「FREEプラン」と、有償の「STANDARDプラン」「PREMIUMプラン」「GROUPSプラン」の利用組織数の合計です。

• ²  

  有償の「STANDARDプラン」「PREMIUMプラン」「GROUPSプラン」の利用組織数の合計です。

• ³  

  NIST Cybersecurity Framework Version 1.1：
  米国国立標準技術研究所（NIST：National Institute of Standards and Technology）が発行する「重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版」を指します。ビジネスと組織の両方のニーズに基づいた、費用対効果の高いサイバーセキュリティリスク対策・管理について記されています。重要インフラ向けに作成されたものですが、あらゆる業界で利用可能で、日本語訳が情報処理推進機構（IPA）より、次のWebサイトで公開されています。https://www.ipa.go.jp/files/000071204.pdf

• ⁴  

  経済産業省 サイバーセキュリティ経営ガイドライン Ver 2.0：
  経済産業省がIPAとともに策定したガイドラインです。サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」と、企業の最高情報セキュリティ責任者（CISO）などの担当幹部に経営者が指示すべき「重要10項目」をまとめています。

• ⁵  

  経済産業省 情報セキュリティ管理基準（平成28年改正版）：
  同じく経済産業省が策定したガイドラインです。情報セキュリティマネジメントシステム（ISMS）に関する国際規格「ISO/IEC 27001」と整合が取られた、情報セキュリティマネジメント体制を構築し、適切な管理策を整備・運用するための実践的な規範です。

• ⁶  

  CIS Controls V7.1：
  米国の産官学から成る非営利団体The Center for Internet Security（CIS）が管理するフレームワークです。サイバーセキュリティに関する技術分野に焦点を当て、現在発生しているサイバー攻撃や近い将来に発生が予測される攻撃の傾向を踏まえ、多岐にわたる対策の中から、自社（組織）が実施すべき対策と、その優先順位を導くためのアプローチを提示しています。なお、NRIセキュアは、V3以降、日本語への翻訳を担当しています。日本語版は次のWebサイトからご覧いただけます。https://learn.cisecurity.org/control-download

• ⁷  

  米国防総省 CMMC：
  米国防総省（DoD：United States Department of Defense）が発行する、サイバーセキュリティ成熟度モデル認証（Cybersecurity Maturity Model Certification）のフレームワークで、主にDoDが請負業者に調達する際の要件として認証取得を促すものです。2020年1月にv1.0が公開されました。

• ⁸  

  NIST SP 800-171：
  米国国立標準技術研究所（NIST：National Institute of Standards and Technology）が発行する「連邦政府外のシステムと組織における管理された非格付け情報の保護」と題されたガイドラインです。連邦政府が取り扱う「一般情報（Unclassified）」のうち、一部を「保護すべき情報（CUI：Controlled Unclassified Information）」として管理することを目的に、2015年6月に発行されました。具体的な要件は、ガバナンス体制の確立、管理体制の構築、システムへのセキュリティ対策の導入と運用、監査の実施など多岐にわたり、DoDは全世界の取引先に対してNIST SP800-171への準拠を求めています。日本の防衛省も、2019年5月にNIST SP800-171相当のセキュリティ要求事項を調達基準に盛り込みました。

ご参考

「ガイドラインチェック機能」の画面