News

「ガイドラインチェック」機能の­対象として、「米国防総省 CMMC」および「NIST SP 800-171」の2つのガイドラインを新たに追加しました。

■ガイドラインチェック機能とは

国内外の各種セキュリティガイドラインの項目に紐づくSecure SketCHの設問と対策状況を表示する機能です。
Secure SketCHに答えるだけで各種ガイドラインの遵守状況をチェックでき、ステークホルダーから報告を求められた際などすぐに回答できるようになります。

■ガイドライン追加背景

昨今、企業のサプライチェーンを狙ったサイバー攻撃が増加しており、実際に被害が発生した事例も明らかになっています。このため、サプライチェーン上に存在するすべての関連企業や業務委託先にとって必要な、セキュリティ対策への関心や検討意欲が高まっています。

このような背景から、このたび、サプライチェーンのセキュリティ対策に対応している「米国防総省 CMMC」および「NIST SP 800-171」を、新たに追加しました。これにより、Secure SketCHの設問に回答するだけで、米国政府がサプライチェーン内の請負業者に対して求めるセキュリティ要件について、自社の準拠状況を自動的に算出・表示することが可能になります。

○米国防総省 CMMCとは
米国防総省（DoD：United States Department of Defense）が発行する、サイバーセキュリティ成熟度モデル認証（Cybersecurity Maturity Model Certification）のフレームワークで、主にDoDが請負業者に調達する際の要件として認証取得を促すものです。2020年1月にv1.0が公開されました。

○NIST SP 800-171とは
米国国立標準技術研究所（NIST：National Institute of Standards and Technology）が発行する「連邦政府外のシステムと組織における管理された非格付け情報の保護」と題されたガイドラインです。連邦政府が取り扱う「一般情報（Unclassified）」のうち、一部を「保護すべき情報（CUI：Controlled Unclassified Information）」として管理することを目的に、2015年6月に発行されました。

具体的な要件は、ガバナンス体制の確立、管理体制の構築、システムへのセキュリティ対策の導入と運用、監査の実施など多岐にわたり、DoDは全世界の取引先に対してNIST SP800-171への準拠を求めています。日本の防衛省も、2019年5月にNIST SP800-171相当のセキュリティ要求事項を調達基準に盛り込みました。

■ご利用いただけるガイドライン

現在ご利用いただけるガイドラインは次の通りです。

• ・経済産業省：サイバーセキュリティ経営ガイドライン Ver 2.0
  ・NIST：Cyber Security Framework ver.1.1
  ・CIS：CIS Controls V7.1
  ・経済産業省：情報セキュリティ管理基準（平成28年改正版）
  ・米国防総省：CMMC
  ・NIST：SP800-171

機能の詳細については、資料をご覧ください。
⇒資料ダウンロード（無料）

Secure SketCHは今後も皆様の要望を受けて機能のアップデートをし続けてまいります。