経産省・新着情報

2024年4月5日

経済産業省は、4月5日(金曜日)に、第8回産業サイバーセキュリティ研究会を開催し、AI等のデジタル技術の進展や近年の地政学リスクの高まり、米欧等における制度整備の動向等を踏まえた新たなサイバーセキュリティ政策の方向性を提示するとともに、「産業界へのメッセージ」を発出しました。

1.背景・趣旨

経済産業省では、産業界が目指すべきサイバーセキュリティの方向性について、産業界を代表する経営者やインターネット時代を切り開いてきた有識者等から構成されるメンバーに、大所高所から議論いただくべく、2017年12月に「産業サイバーセキュリティ研究会」(座長:村井純慶応大学教授)を設置し、以降7回にわたり会合を開催してきました。これまで、本研究会では、我が国の産業界が直面するサイバーセキュリティの課題や、関連政策を推進していくためのアクションプランの策定等について議論が行われてきました。経済産業省では、関係省庁とも連携しつつ、本研究会で提示したアクションプラン等に基づき様々な取組を進めてきました。

昨今、急速に普及しつつある生成AIをはじめとするデジタル技術の発展や世界的な地政学リスクの高まり、サイバー攻撃の深刻化・巧妙化などにより、サイバーリスクが高まっています。また、米欧等においても産業界におけるサイバーセキュリティ対策強化に向けた制度整備の動きなどが活発化するとともに、設計段階から安全性を確保する、セキュア・バイ・デザインという概念が国際的に支持を集めるなど、自社が提供する製品のサイバーセキュリティ対策が求められるようになっています。こうした動向を踏まえながら、「『自由、公正かつ安全なサイバー空間』の確保」(サイバーセキュリティ戦略(令和3年9月28日閣議決定))や 「サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる」(国家安全保障戦略(令和4年12月16日閣議決定)といった政府全体の目標に貢献していくための産業界におけるサイバーセキュリティ対策の強化に資する政策対応の在り方について議論いただくべく、この度、第8回産業サイバーセキュリティ研究会を開催しました。

2.第8回産業サイバーセキュリティ研究会の開催概要

2024年4月5日(金曜日)に開催した第8回会合では、上月副大臣も出席し、本研究会で打ち出してきた様々な取組を含むこれまでの施策の進捗についてフォローアップを行った上で、新たなサイバーセキュリティ政策の方向性を提示するとともに、「産業界へのメッセージ」を発出しました。

<新たなサイバーセキュリティ政策の方向性>

(1)サイバーセキュリティ対策の実効性強化

  • 規模や業種等サプライチェーンの実態に応じて企業の適切なセキュリティ対策レベルを評価し可視化する仕組みを検討していく。
  • 一定のセキュリティ基準を満たすIoT製品を認証する制度や、ソフトウェア部品構成表(SBOM)について、政府調達等の要件化に向けて関係省庁との議論を進めるとともに、安全なソフトウェアの自己適合宣言の仕組みを検討する。
  • 中小企業向け補助的施策の一層の強化を図るため、セキュリティ人材の活用促進やサイバーセキュリティお助け隊サービスの拡充・普及等に取り組む。

(2)サイバーセキュリティ市場の拡大に向けたエコシステム構築

  • 我が国にとって重要な領域を中心に高品質な国産セキュリティ製品・サービスの供給が強化される状況を目指し、今年度中に、我が国サイバーセキュリティ産業の振興に向けた強化策のパッケージを提示する。
  • サイバーセキュリティ人材の確保・育成に向けて、ユーザー企業における情報処理安全確保支援士(登録セキスペ)の活用促進や制度の見直しなどを検討していく。登録セキスペの登録人数(2024年4月現在、約2.3万人)として、2030年までに5万人を目指す。

(3)官民の状況把握力・対処能力向上

  • 産業界と様々なチャネルを有する独立行政法人情報処理推進機構(IPA)におけるサイバー情報の集約・分析機能を更に強化し、国家の安全保障・経済安全保障の確保に貢献していく。

<「産業界へのメッセージ」>

  • 急速に普及しつつある生成AIをはじめとするデジタル化の進展や世界的な地政学リスクの高まり、サイバー攻撃の深刻化・巧妙化などにより、サイバーリスクは高まっている。このようなサイバー攻撃が、国民生活、社会経済活動及び安全保障環境に重大な影響を及ぼす可能性も大きくなっている。また、米欧等においても産業界におけるサイバーセキュリティ対策強化に向けた制度整備の動きなどが活発化しており、我が国においても一層の対策強化が求められる状況。
  • こうした状況を踏まえ、まずは、経済産業省として、デジタル時代の社会インフラを守るとの観点から、NISC等関係省庁との連携の下、これまでの施策の一層の普及・啓発などに取り組みながら、政府調達等への要件化を通じたサイバーセキュリティ対策の実効性強化や、サイバーセキュリティ供給力の強化、官民の状況把握力・対処能力向上に向けた新たな取組も進める。今後も産業界からの御意見を聴くなど、官民の協力関係を維持・発展させつつ、不断に取組を見直していく。
  • 各企業・団体においては、こうした状況も踏まえ、各種ガイドラインや随時の「注意喚起」に沿った対応を前提として、組織幹部のリーダーシップの下、必要な人材の育成や確保・体制の構築を進めながら、以下の対応をお願いしたい。
  1. サイバーセキュリティに対する投資を、中長期的な企業価値向上に向けた取組の一環として位置付ける(DX、BCP、サステナビリティ等に紐付ける。)。その上で、その関連性について、投資家を含む利害関係者から理解を得るための活動(対話・情報開示等)を積極的に行う。
  2. 自組織のシステム運用に係るリスク管理についてITサービス等提供事業者との役割分担を明確化するとともに、「セキュア・バイ・デザイン」( ※1)や「セキュア・バイ・デフォルト」(※2)の製品の購入を優先するなど、ITサービス等提供事業者に対してセキュリティ慣行を求める。併せて、委託元として自組織で判断や調整を行わなければならない事項を把握するとともに、ITサービス等提供事業者に委託した業務の結果の品質を自社で評価できる体制を整備する。
  3. サプライチェーン全体での対策強化に向けた意識を徹底する(ASM(※3)の活用や、 サプライチェーンに参加する中小企業等への共助(取引先からの要請対応への負担配慮や脆弱性診断などの支援等))。中小企業においては、「サイバーセキュリティお助け隊サービス」などの支援パッケージの活用も検討する。
  4. 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参照し、有事(サイバー攻撃の被害に遭った場合等)には、適時の専門組織への相談及び所管省庁等への報告等を行う。
  • ITサービス等提供事業者においては、自らの製品・サービスのセキュリティ対策に責任を持ち、「セキュア・バイ・デザイン」や「セキュア・バイ・デフォルト」の考え方に沿った一層の対応( 「顧客だけにセキュリティの責任を負わせない」等の基本原則の遵守、SBOMの採用、メモリに安全なプログラミング言語の採用等)をお願いしたい。
  • セキュリティベンダや調査ベンダ、情報共有活動のハブ組織等のサイバー被害組織を直接支援する専門組織においては、「サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書」に沿って、専門組織間で必要な情報を共有することの意義等について被害組織と共通の認識を醸成する努力をお願いしたい。
※1 「セキュア・バイ・デザイン」:IT 製品(特にソフトウェア)が、設計段階から安全性を確保されていること。前提となるサイバー脅威の特定、リスク評価が不可欠。
※2 「セキュア・バイ・デフォルト」:ユーザー(顧客)が、追加コストや手間をかけることなく、購入後すぐに IT 製品(特にソフトウェア)を安全に利用できること。
※3 ASM(Attack Surface Management):組織の外部(インターネット)からアクセス可能なIT資産(=攻撃面)を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセスをいう。

関連資料

関連リンク

担当

商務情報政策局サイバーセキュリティ課長 武尾
担当者: 村瀬、黒澤 
電話:03-3501-1511(内線 3964)
メール:bzl-cyber-madoguchi★meti.go.jp
※[★]を[@]に置き換えてください。

発信元サイトへ