FAQs

このサイトについて (12)
2018年1月1日から米国防総省によるNIST SP800-171遵守適用が開始されました。我が国においてNIST SP800-171の趣旨が適正・正確に理解され、業界全体として過不足ない対応策を取ることができるようになることがこのサイトの目的です。

NIS Beは (株)EvaAviation と(公益財団法人)防衛基盤整備協会(BSK)が共催する米国の国立標準技術研究所(NIST)の情報セキュリティ要件 NIST SP 800-171に関連する各種情報を提供するサイトで、 Eva Aviationがその運営責任を負っています。

航空関連の物流・サプライチェーンや修理・整備に関する情報システムに関する経験・ノウハウと航空業界の先進的で世界標準のコンセプトを取り入れたソリューションの提供を行う会社です。また、情報セキュリティ分野における国際規格の動向情報や関連技術・ビジネスを提供なども行います。

防衛基盤の強化発展に貢献するために、防衛思想の普及に関する事業並びに防衛装備品等の生産及び調達等に関する事業並びに防衛施設の建設に関する事業、情報セキュリティ及び国際規格等の認証に関する事業を行い、我が国の平和と安全の確保に寄与することを目的とした公益財団法人です。

米国商務省の研究機関です。技術革新や産業競争力強化を目的に技術の標準化を研究・推進しています。

米国連邦政府外のシステムと組織において、「Top Secret/Secret/ConfidentialなどのいわゆるClassifiedカテゴリーには属さないが(秘匿性を持って)管理されるべき情報(CUI)」の保護についての基準。政府調達に際してのセキュリティ技術、セキュリティ対策を広く網羅しています。

実際に規格に対応して規則等を作りたいと考えている方、規格の動向に興味を持っておられる方等を対象にしています。

ユーザー様からのファイル等データのアップロードは想定していません。

アップロードが可能な場合、会社によってはセキュリティのために監視・禁止するところが多くあります。そういった事情を鑑みアップロードを出来るようにはしておりません。なお、ご質問やコメントなどは、お問合せページで受け付けております。

米国の規格NIST SP 800-171関連の規格に関する制定動向、最新規格の翻訳版、関連する日本国内の動向に関する情報等、およびNIST SP 800-171の適合対応に関する情報等を提供します。会員サイトの概要説明はこちら。

本サイトのIDはマイクロソフトアカウントと紐づいたメールアドレスを利用することを基本としております。登録いただいたメールアドレスが、マイクロソフトアカウントと紐づいていない場合、初回アクセス時に自動的にマイクロソフトアカウントの取得を行います。なお、Microsoft Office365のユーザアカウントでも本サイトは利用可能です。

公益財団法人 防衛基盤整備協会のホームページをご参照ください。
ホームページ:https://ssl.bsk-z.or.jp/
e-メール:infor-secu@bsk-z.or.jp
電話番号:03-3358-8735

年会費は会員が企業である場合年間15万円、個人である場合7.5万円となります。企業の場合は3人までのアクセスを認めています。会員は関連規格の無償配布を受けることができます。また、米国等の動向の最新情報を入手できます

ビジネスとサービス (9)

航空関連の物流・サプライチェーンや修理・整備に関する情報システムに関する経験・ノウハウと航空業界の先進的で世界標準のコンセプトを取り入れたソリューションの提供を行う会社です。また、情報セキュリティ分野における国際規格の動向情報や関連技術・ビジネスを提供なども行います。

本サイトのIDはマイクロソフトアカウントと紐づいたメールアドレスを利用することを基本としております。登録いただいたメールアドレスが、マイクロソフトアカウントと紐づいていない場合、初回アクセス時に自動的にマイクロソフトアカウントの取得を行います。なお、Microsoft Office365のユーザアカウントでも本サイトは利用可能です。

公益財団法人 防衛基盤整備協会のホームページをご参照ください。
ホームページ:https://ssl.bsk-z.or.jp/
e-メール:infor-secu@bsk-z.or.jp
電話番号:03-3358-8735

EvaAviationでは、航空&防衛分野の情報セキュリティを主に扱っていますが、本内容はライフサイエンス分野をはじめ多方面に拡がっています。従って、分野を限らずご相談いただければよいと考えます。

EvaAviationでは、航空&防衛分野の情報セキュリティを主に扱っていますが、本内容はライフサイエンス分野をはじめ多方面に拡がっています。従って、分野を限らずご相談いただければよいと考えます。

弊社で扱う範囲は基本的にNIST SP 800-171で扱っているCUIレベルの範囲がベースになるものと考えます。日本国内で言えば、機密性レベルⅡまでのものになります

現在のところ、Eva Aviation社単独で解析等を行うことはありません

T.B.D.

基礎知識(情報セキュリティABC)【全て】 (7)

情報セキュリティで保持されるべき3要素のこと

最小権限の原則は、ユーザーアカウントに対して、そのユーザーにとって必要な権限だけを与えることを意味します この原則は、普通のユーザーアカウントで作業しているパーソナルコンピュータのユーザーにも当てはまります つまり、事態が完全に特権を要求する場合に限って管理者権限を与えられ、パスワードで保護されたアカウント(すなわちスーパーユーザー)にログインします

残留(残存)リスクとは、あるリスクに対して組織が何らかの対応をした結果、残るリスクの大きさのことです。ちなみに、2009年に国際標準規格として発行された「ISO Guide 73」(リスクマネジメント-用語)では、「リスク対応後に残るリスク」と定義されています

米国で開発された連邦政府の政策と安全な情報システム(コンピュータやネットワーク)を支援するための規格。NIST SP 800-37及び NIST SP 800-53の二つのガイドラインが中核をなします (なお当該規格はIPAのHPに日本語版の翻訳が掲載されています)

リスク軽減とは、評価され、想定されるリスクを軽減することであり、DoDの171対応で求められるPOAMもリスク軽減を実現するための一つの手法です

>用語説明 A (7)

通常は技術的又は費用上の理由によって,一定の危機を許容するための,管理上の決定

利用制限, アクセス管理

サイバーセキュリティにおいては、事象のログと監視による事象の管理と発生事象に対する説明責任に関するポリシーと手続のこと

認証:情報へのアクセスに際し、提示されたクレデンシャル(パスワード、指紋や顔などの生体情報、デジタル証明書等)の真正性と本人性を確認すること

情報に対する適時かつ信頼できるアクセス、およ びその使用を確実にすること。

啓発と教育

情報セキュリティで保持されるべき3要素のこと

>用語説明 C (5)

情報セキュリティで保持されるべき3要素のこと

機密性(保持)、秘密性

構成管理

CUI(管理対象非機密情報)は2010年11月の大統領令( Executive Order 13556 (*1) )により、これまで「Confidential, Secret, Top Secret」などClassified Informationとして扱ってきた高度に重要な情報には属さない、Unclassified Informationに対して、その中でもしっかり管理すべき重要情報を定義し、体系的規準の策定が指示されました。

このページの説明をご覧ください。

>用語説明 I (4)

情報セキュリティで保持されるべき3要素のこと

本人認証

セキュリティを脅かす様々な事象(インシデント)に対して、検知、記録、報告、被害の極小化、サービスの復旧、原因究明などを行うこと

完全性 不適切な情報変更や破壊の防止であり、情報の否認防止と真正性の保証が含まれる

>用語説明 J (1)
>用語説明 L (1)

最小権限の原則は、ユーザーアカウントに対して、そのユーザーにとって必要な権限だけを与えることを意味します この原則は、普通のユーザーアカウントで作業しているパーソナルコンピュータのユーザーにも当てはまります つまり、事態が完全に特権を要求する場合に限って管理者権限を与えられ、パスワードで保護されたアカウント(すなわちスーパーユーザー)にログインします

>用語説明 M (2)

維持整備、維持管理、保全

保護対象となる(対象とすべきかどうか未決定なものを含む)情報の記録媒体(デジタルであるか非デジタルであるかを問わず)および当該媒体に記録された保護対象情報に対する権限の無いアクセスから保護するための一連の措置

>用語説明 N (1)

否認防止:本人が確かに行った行為について、後に否認することができないようにすること

>用語説明 P (2)

保護対象にアクセスする可能性のある人に対するセキュリティ面からの(スクリーニング、教育研修、手続規定、調査、管理者の責任等)様々な措置

保護対象(施設、人、物、情報等)の盗取、漏洩、滅失、毀損、妨害行為等を防ぐための一連の物理的保護措置

>用語説明 R (5)

残留(残存)リスクとは、あるリスクに対して組織が何らかの対応をした結果、残るリスクの大きさのことです。ちなみに、2009年に国際標準規格として発行された「ISO Guide 73」(リスクマネジメント-用語)では、「リスク対応後に残るリスク」と定義されています

対象環境全般におけるリスクの特定(事前抽出、認識、記録)、分析(特性、レベル)、評価(対策措置、コスト、等)を通じて発生を未然に除去・軽減する一連のプロセス

米国で開発された連邦政府の政策と安全な情報システム(コンピュータやネットワーク)を支援するための規格。NIST SP 800-37及び NIST SP 800-53の二つのガイドラインが中核をなします (なお当該規格はIPAのHPに日本語版の翻訳が掲載されています)

リスク軽減とは、評価され、想定されるリスクを軽減することであり、DoDの171対応で求められるPOAMもリスク軽減を実現するための一つの手法です

>用語説明 S (6)

組織のセキュリティ体制の評価:セキュリティ対策の実施状況を調査し、脆弱性やリスクを特定し、対策を検討する一連のプロセス

セキュリティ意識向上トレーニングは、コンピューターセキュリティについて従業員を教育するためのプロセスのことを言う。組織のさまざまな情報資産の保護に関する組織のメンバーのトレーニングで構成されています 政府規制を遵守する必要がある組織では、通常、全員のトレーニングが通常1年に1〜2回必要です。多くの中小企業(中小企業)は、規制遵守のために行うのではなく情報漏洩を防ぐために従業員を訓練します

従業員による誤謬や不正を未然に防止することを目的として、業務における執行者と承認者の権限・職責を分離し明確に定めること、またはそうしたルールを定めることで、従業員をモニタリング(監視)し、不正を未然に防止するような組織設計を行うことを言います

サービスを提供事業者とその利用者の間で結ばれるサービスのレベル(定義、範囲、内容、達成目標等)に関する合意サービス水準、サービス品質保証などと訳される。これは、サービスを提供する事業者が契約者に対して、どの程度まで品質を保証できるかを明示したものです

システムおよび通信環境の保護措置

システムおよび情報の完全性を担保するための一連の措置

Load More