経済産業省 第1回 サイバーインフラ事業者に求められる役割等の検討会 (2024.09.24)

こんにちは、丸山満彦です。

経済産業省の「サイバーインフラ事業者に求められる役割等の検討会」の第1回会議の資料等が公開されていますね...

サイバーインフラ事業者というのは誰か？ということですが、

1. 開発者：システム・サービス開発に従事する事業者・人員
2. 供給者：顧客に、システム・サービスを提供する事業者・人員
3. 運用者：顧客に、システム・サービス運用を提供する事業者・人員

を想定しているようです。

で、対象は、ソフトウェアで

ソフトウェアには、

1. ソフトウェア製品（クラウドサービスを含む）
2. IT/OTシステムまたはICTサービスを構成する構成ソフトウェア（専用に開発するソフトウェアのほか、パッケージソフトウェア、ソフトウェアライブラリ、オープンソースソフトウェアなどのソフトウェア製品も含む）
3. OT/IoT機器などのハードウェア製品組込みソフトウェア（ファームウェアも含む）

となっています。

論理的にはPCのOSも含むことになるのでしょうね...そして、IaaSも...

日本でサービスを展開している海外事業者も対象となるという想定ですよね...

でも、まぁ、ガイドラインですし、海外事業者があまり気にしないというのは想定内？

 

このWGでは、基準をつくって、普及させるための自己適合宣言といったことも考えているようですね。

気になるのは、要求事項をどのように決めるのかということですね。。。

実施してもらう要求事項について、WG側で実行の難易度を想定して決めるような進め方になっています？が、もしそうだとするとそれは良くないですね。

・WGは社会的に実施が必要と考える要求事項を考える。

・事業者側でリスク便益分析をした上で実施すべき要求事項を決める。（実行の難易度は事業者側で決める）

とすべきですね。こういう進め方は政府で統一してすべきですね。リスクアセスメントはあくまでも事業者が実施する。

WGの委員の方も経済産業省の方もちょっと考えてほしいところです...

 

自己適合宣言は、普及のための施策としてありと思います。その際に、経済産業省等の公式ウェブで自己適合宣言をしている企業の名前を公表すべきだと思います。そのほうが、利用者側も確認しやすい！

そして、その企業の自己適合宣言に誤り等があると自己が判断した場合は、取り下げることもありと思います。取り下げには、その記録も合わせて公表すべきですね。

これも制度をする上で重要なポイントと思います。

 

● 経済産業省 - 産業サイバーセキュリティ研究会 - WG1（制度・技術・標準化） - WG1（分野横断SWG） - サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース

・2024.09.24 第1回 サイバーインフラ事業者に求められる役割等の検討会 

・・資料1　議事次第・配布資料一覧

・・資料2　委員名簿

・・資料3　本検討会の議事運営について

・・資料4　サイバーインフラ事業者に求められる役割等の検討の方向性

・・参考資料　サイバーインフラ事業者に求められる役割等に関するガイドライン素案（委員限り）

 

---

 

何をしようとしているのかは、