防衛産業サイバーセキュリティ基準適合のための体制構築支援及びその後の体制維持のための運用支援コンサルティング
概要

※「防衛産業サイバーセキュリティ基準」とは、情報セキュリティ特約条項の別紙として呼び出される、「新版品等及び役務の調達における情報セキュリティ基準」をいう。

1 概要

防衛省との契約において保護すべき情報※が含まれる場合は、情報セキュリティ特約条項が付加され、契約した企業の皆様はこの特約条項の定めるところに従い保護すべき情報を適正に取り扱わなければなりません。具体的には、特約条項別紙に定める防衛産業サイバーセキュリティ基準に規定された管理策の実装が義務付けられます。

防衛産業サイバーセキュリティ基準は、米国国防省が国防産業に実装を義務付けているNIST SP800-171を参考にして令和4年3月に旧情報セキュリティ基準を全面改正して作られたものです。求められる管理策は、従前から規定されていたサイバー攻撃を事前に防止する対策だけではなく、侵入を予期して早期に発見、その後の対処までの対策を網羅的に規定しているため、要求の範囲が広くかつその対策が細部にまで及んでおります。

この新しく規定された要求事項に適合し、防衛省の求める情報セキュリティを確保することが、契約企業の皆様、特に中小企業の皆様にとっては大きな課題となっています。

※:防衛省が規定する取扱上の注意を要する文書等及び注意電子計算機情報で、秘密文書等とは異なり「注意」「部内限り」に相当するもの

キャラクター
2 体制構築支援及び運用支援コンサルティングの概要

防衛基盤整備協会は、防衛産業サイバーセキュリティ基準の検討段階から防衛装備庁が主催する官民検討会メンバーの一員として参加し、基準改正の背景から個々の管理策設定に至るまでの経緯等を熟知しています。また基準作成の参考となったNIST SP800-171のコンサル実績もあります。これらにより修得した知識等を基に令和4年の基準制定当初からコンサルティング事業を開始しており、既に50社以上の企業の皆様の新しい防衛省の基準に適合するための体制構築支援を実施してきました。

(1)コンサルティングのプロセス
体制構築支援

(新規に防衛産業サイバーセキュリティ基準に適合する場合)

Step1:「基礎体制構築支援」

①現状調査

②規則等の作成

  • 情報セキュリティ基本方針
  • 情報セキュリティ規則
  • 情報セキュリティ実施手順
    (保護システムを構築しない場合は不要)

③取扱施設等の設置

④保護システムの構築

Step2:「実務体制構築支援」

①規則等の教育

②各種計画作成要領・報告要領

  • 教育、監査計画等の作成
  • 防衛省への報告要領、提出資料等の提示
Step3:「運用体制確立支援」

①セキュリティ監査要領の確立

②運用体制の確立

  • 記録、簿冊等の記入要領の助言、確認
  • 事故等発生時の報告体制の助言、確認
  • 保護システムの設定状況の確認
Step4:「認定証の交付」
認定証
運用支援

(体制構築後の業務支援が必要な場合)

【教育の実施】

○取扱者に対する教育

  • 情報セキュリティの重要性及び意義
  • 「need to knowの原則」の確実な履行
  • 公私における慎重な行動
  • 情報セキュリティ基本方針等の確実な履行
  • 悪意あるコードへの感染、内部不正、情セキ事故等対処手順
  • 情セキ事故等への対処に必要な事項
  • 取扱者の役割と責任に応じて必要な技術的及び専門的事項

○職責等に関する教育

  • 総括者、管理者、保護システム管理者等に対する職責等に関する教育
【セキュリティ監査支援】

○セキュリティ監査チェックリストの作成

○セキュリティ監査結果及び是正状況の確認

【脆弱性情報の配布】

○専門的な外部機関が発信する脆弱性情報収集の支援

  • JPCERT、IPA等が発する脆弱性情報の定期的な配布
【その他】

○防衛省の規則等改正状況等の情報提供

(2)基本料金及びコンサル期間
体制構築支援
  • 料金:100~290万円(税抜)
  • 期間:概ね6か月
運用支援
  • 料金:40~60万円(税抜)
  • 期間:1年間

料金は、保護システムの構築区分(スタンドアロン、イントラネット、DSG利用等)により異なります。
※旅費等:1回あたり1万円以上の旅費は、実費を請求させていただきます。

3 コンサルティング体制

◆ 経験豊富なスタッフによる支援チームを編成

◆ 支援チームスタッフの資格・経験等

資格
  • CISSP(セキュリティプロフェッショナル認定資格)
  • 情報処理安全確保支援士
  • ISMS審査員補又は監査人補以上の資格
経験
  • 情報セキュリティ監査実務経験3年以上
  • 情報セキュリティ教育実務経験3年以上
  • ※経験豊富な防衛省OB(自衛官)が担当します。
4 実績
年度 体制構築支援 運用支援 備考
令和2年度 11件 17件 旧情セキ基準
令和3年度 5件 23件 旧情セキ基準
令和4年度 13件 25件 新旧情セキ基準
令和5年度 12件 25件 新情セキ基準
令和6年度 38件 19件 新情セキ基準
お問い合わせ
キャラクター

(公財)防衛基盤整備協会

第2事業部 業務第1課

課長 上野
担当者 五十嵐、加納、朝田、遠藤、間野

〒160-0003 東京都新宿区四谷本塩町 15-9(ラボ東京ビル7階)

Tel: 03-3358-8704 Fax: 03-3358-8735

E-Mail: infor-secu@bsk-z.or.jp

お申し込みはこちら