NIS-BeによるCUI対策サポートサービス

NIS-BEでは、CUIの対応を求められた事業者の皆様をサポートするサービスを用意しています。
CUI3

① コンサルティング

まずは、米国の求めていることを正しく知ることです。そして、必要十分で最小限の対応策を実施することです。そのためのお手伝いをNIS-Beがご提供します。
我々は、サイバーセキュリティ対策は一部の進んだ事業者だけがやれば良いわけではないと考えています。全ての事業者のために、コスト最小の最適なアドバイスをご用意しています。

② Exostarクラウドの提供

米国要求に応えられるクラウドと認証基盤は、マネージドサービスと呼ばれ、ある程度限定されています。我々はそのうちでも、我が国の事業者にとって最適なサービスをご紹介します。
Exostarのコミュニケーションサービスは、米国の航空・防衛業界での使用実績も長く、NISTに準拠していると政府・業界から認められているサービスです。特に、データ共有やコラボレーション機能であるForumPass Defenseは、マイクロソフトのSharePointをベースとしており、使い勝手についても世界標準となっているものです。

CUI3-2

なお、現在ではDRM(デジタルデータ保護機能)が追加され、ダウンロードしたデータについても暗号化され、ネットワークを通じたアクセス権限確認がなされない限り開けないという環境を提供します。

DRM (デジタルデータ保護機能 : Digital Rights Management Protection)
デジタルデータ保護機能では、ドキュメント毎に暗号化するきめ細かなセキュリティを設定できます。Microsoft WordやExcelのようなドキュメントを手元のアプリケーションで復元するには、多要素認証によりユーザ認証が成功した場合にのみ解読可能となります。Exostarの情報共有ソリューションにおけるユーザの権限に基づき、閲覧、印刷等の機能を動的に設定します。

ユーザ認証についてもNIST SP800-63(*3) に基づく認証レベルによるユーザ管理となっており、OTP(ワンタイムパスワード)または電子証明書による多要素認証・シングルサインオンを実現しています。
また、現在同社のデータセンターを日本国内にも設置する準備が進んでおり、国内事業者独自のCUIまたはその他の情報を管理するサイトを国内法によって守られるデータセンターに置くことも出来るようになります。(2018年末計画)

③ サイバーインシデント報告と電子証明書

サイバーインシデント発生時の対応要領等をアドバイスするとともに、報告時に必要となる電子証明書の取得等をお手伝いします。

④ サプライヤガイドラインとベンダー管理支援

CUIを預かった事業者がそれを下請けに提供する場合は、そのサプライヤ各社のCUI管理に責任を持つことになります。サプライヤを含めたCUI管理方針の策定やCUI管理ガイドラインの作成をサポートいたします。このCUI管理のポリシーを策定し、関係者に周知する組織をNIS-Beでは「PMA:Policy Management Authority」と呼んでいます。
また、サプライヤ各社に対する現状把握や対応策へのサポートを支援するために、CUIに関する情報提供とサポートを行うための情報共有サイトを公開します。ベンダー各社のNIST SP800-171への対応能力を自己採点できる機能も用意します。



参考文献

(*3) NIST Special Publication 800-63
Digital Identity Guidelines (NIST 2017)
「電子認証に関するガイドライン」