経済産業省 第8回「産業サイバーセキュリティ研究会」

こんにちは、丸山満彦です。

経済産業省で第8回「産業サイバーセキュリティ研究会」が開催されましたね...

・政策のフォローアップ状況とともに、

・新たなサイバーセキュリティ政策の方向性を提示し

・「産業界へのメッセージ」を発出

していますね...

 

● 経済産業省

・2024.04.05 第8回「産業サイバーセキュリティ研究会」を開催しました

---

＜新たなサイバーセキュリティ政策の方向性＞

(1)サイバーセキュリティ対策の実効性強化

• 規模や業種等サプライチェーンの実態に応じて企業の適切なセキュリティ対策レベルを評価し可視化する仕組みを検討していく。
• 一定のセキュリティ基準を満たすIoT製品を認証する制度や、ソフトウェア部品構成表（SBOM）について、政府調達等の要件化に向けて関係省庁との議論を進めるとともに、安全なソフトウェアの自己適合宣言の仕組みを検討する。
• 中小企業向け補助的施策の一層の強化を図るため、セキュリティ人材の活用促進やサイバーセキュリティお助け隊サービスの拡充・普及等に取り組む。

(2)サイバーセキュリティ市場の拡大に向けたエコシステム構築

• 我が国にとって重要な領域を中心に高品質な国産セキュリティ製品・サービスの供給が強化される状況を目指し、今年度中に、我が国サイバーセキュリティ産業の振興に向けた強化策のパッケージを提示する。
• サイバーセキュリティ人材の確保・育成に向けて、ユーザー企業における情報処理安全確保支援士（登録セキスペ）の活用促進や制度の見直しなどを検討していく。登録セキスペの登録人数（2024年4月現在、約2.3万人）として、2030年までに5万人を目指す。

(3)官民の状況把握力・対処能力向上

• 産業界と様々なチャネルを有する独立行政法人情報処理推進機構（IPA）におけるサイバー情報の集約・分析機能を更に強化し、国家の安全保障・経済安全保障の確保に貢献していく。

＜「産業界へのメッセージ」＞

• 急速に普及しつつある生成AIをはじめとするデジタル化の進展や世界的な地政学リスクの高まり、サイバー攻撃の深刻化・巧妙化などにより、サイバーリスクは高まっている。このようなサイバー攻撃が、国民生活、社会経済活動及び安全保障環境に重大な影響を及ぼす可能性も大きくなっている。また、米欧等においても産業界におけるサイバーセキュリティ対策強化に向けた制度整備の動きなどが活発化しており、我が国においても一層の対策強化が求められる状況。
• こうした状況を踏まえ、まずは、経済産業省として、デジタル時代の社会インフラを守るとの観点から、NISC等関係省庁との連携の下、これまでの施策の一層の普及・啓発などに取り組みながら、政府調達等への要件化を通じたサイバーセキュリティ対策の実効性強化や、サイバーセキュリティ供給力の強化、官民の状況把握力・対処能力向上に向けた新たな取組も進める。今後も産業界からの御意見を聴くなど、官民の協力関係を維持・発展させつつ、不断に取組を見直していく。
• 各企業・団体においては、こうした状況も踏まえ、各種ガイドラインや随時の「注意喚起」に沿った対応を前提として、組織幹部のリーダーシップの下、必要な人材の育成や確保・体制の構築を進めながら、以下の対応をお願いしたい。

1. サイバーセキュリティに対する投資を、中長期的な企業価値向上に向けた取組の一環として位置付ける（DX、BCP、サステナビリティ等に紐付ける。）。その上で、その関連性について、投資家を含む利害関係者から理解を得るための活動（対話・情報開示等）を積極的に行う。
2. 自組織のシステム運用に係るリスク管理についてITサービス等提供事業者との役割分担を明確化するとともに、「セキュア・バイ・デザイン」（ ※1）や「セキュア・バイ・デフォルト」（※2）の製品の購入を優先するなど、ITサービス等提供事業者に対してセキュリティ慣行を求める。併せて、委託元として自組織で判断や調整を行わなければならない事項を把握するとともに、ITサービス等提供事業者に委託した業務の結果の品質を自社で評価できる体制を整備する。
3. サプライチェーン全体での対策強化に向けた意識を徹底する（ASM（※3）の活用や、 サプライチェーンに参加する中小企業等への共助（取引先からの要請対応への負担配慮や脆弱性診断などの支援等））。中小企業においては、「サイバーセキュリティお助け隊サービス」などの支援パッケージの活用も検討する。
4. 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参照し、有事（サイバー攻撃の被害に遭った場合等）には、適時の専門組織への相談及び所管省庁等への報告等を行う。

• ITサービス等提供事業者においては、自らの製品・サービスのセキュリティ対策に責任を持ち、「セキュア・バイ・デザイン」や「セキュア・バイ・デフォルト」の考え方に沿った一層の対応（ 「顧客だけにセキュリティの責任を負わせない」等の基本原則の遵守、SBOMの採用、メモリに安全なプログラミング言語の採用等）をお願いしたい。
• セキュリティベンダや調査ベンダ、情報共有活動のハブ組織等のサイバー被害組織を直接支援する専門組織においては、「サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書」に沿って、専門組織間で必要な情報を共有することの意義等について被害組織と共通の認識を醸成する努力をお願いしたい。

※1 「セキュア・バイ・デザイン」：IT 製品（特にソフトウェア）が、設計段階から安全性を確保されていること。前提となるサイバー脅威の特定、リスク評価が不可欠。
※2 「セキュア・バイ・デフォルト」：ユーザー（顧客）が、追加コストや手間をかけることなく、購入後すぐに IT 製品（特にソフトウェア）を安全に利用できること。
※3 ASM（Attack Surface Management）：組織の外部（インターネット）からアクセス可能なIT資産（=攻撃面）を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセスをいう。

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.03.29 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2024.03.16 経済産業省 サイバーセキュリティお助け隊サービスの新たな類型（2類）の創設に係るサービス基準の改定版の公開

・2024.03.16 経済産業省 クレジットカード・セキュリティガイドライン 5.0版 (2024.03.15)

・2024.03.16 経済産業省 「攻撃技術情報の取扱い・活用手引き」及び「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」

・2023.11.27 経済産業省 産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書

・2023.08.08 経済産業省 「経済安全保障」を切り口とした産業政策の検討体制を強化します

・2023.08.07 経済産業省 第32回 産業構造審議会総会

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引

・2023.07.29 経済産業省 令和４年度委託調査報告書（サイバーセキュリティ関係） 2023.07.29現在

・2023.07.04 経済産業省 警察庁 サイバー攻撃によるクレジットカード番号等の漏えい事案に関する対策の推進に関する覚書の締結 (2023.06.30)

・2023.06.11 経済産業省 「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」(2023.05.29)

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2023.05.01 経済産業省 「システム監査基準」及び「システム管理基準」の改訂 (2023.04.26)

・2023.04.26 経済産業省 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版 (2022.04.20)

・2023.04.02 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver1.1

 

・2023.03.26 経済産業省 サイバーセキュリティ経営ガイドラインVer 3.0

・2023.03.16 経済産業省 クレジットカード・セキュリティガイドライン【4.0版】　

・2023.03.09 総務省 経済産業省 警察庁、内閣官房 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表

・2023.02.20 経済産業省 クレジットカード決済システムのセキュリティ対策強化検討会報告書 (2023.02.02)

...