経済産業省「産業サイバーセキュリティ研究会」が「政策の方向性」と「産業界へのメッセージ」を発出（2025.05.23）: まるちゃんの情報セキュリティ気まぐれ日記

サイバー攻撃の高度化、複雑化
欧米を中心に重要インフラ事業者等における対策の強化に関する制度整備
「セキュア・バイ・デザイン」の概念に基づく、セイバーセキュリティ対策を考慮した製品の開発・提供が問われる
サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる」（国家安全保障戦略（2022年12月16日閣議決定）といった政府全体の目標に貢献していくための産業界におけるサイバーセキュリティ対策の強化に資する政策対応

で...

政策の方向性...

（1）サプライチェーン全体での対策強化

サプライチェーンにおける重要性を踏まえた上で満たすべき各企業の対策を提示し、その対策状況を可視化する仕組みの具体化（2026年度中の制度開始）

半導体関連産業において求められるセキュリティ対策の具体化（2025年秋頃にガイドラインを公表し、経済産業省の投資促進関係施策の要件等に紐付け）

関係省庁と連携した耐量子計算機暗号への対応の検討

中小企業等向けの支援の一層の強化（「サイバーセキュリティお助け隊サービス」の拡充等に向けた見直し等）　等

（2）セキュア・バイ・デザインの実践

IoTセキュリティ適合性評価制度（JC-STAR）の政府調達要件化、通信機器とネットワークカメラについての高度な基準の策定、外国制度との相互承認に向けた調整の加速化

ソフトウェアのセキュリティ確保に向けた関連ガイドラインの成案化（2025年度中）及び自己適合宣言の枠組み構築等

（3）政府全体でのサイバーセキュリティ対応体制の強化

IPAにおけるサイバー情報集約・情勢分析能力の強化（経済安全保障の実現に向けた政府機関の取組への貢献等）

（4）サイバーセキュリティ供給能力の強化

2025年3月に策定した「サイバーセキュリティ産業振興戦略」の推進（政府機関等による有望なセキュリティ製品・サービスの活用機会の提供等）

耐量子計算機暗号についても対応の検討をはじめるということで、今年度中に国としてのロードマップを示すのでしょうかね...

受発注関係におけるサプライチェーン（クラウドサービスを除く）のセキュリティ強化のための★３、★４の制度も今年度中に社会的な合意に持っていく必要がありますね（私は関わっているので、イメージはついていますが...）

半導体産業のセキュリティガイドラインは業界内部の合意が遅れているんですかね（理想論は難しくないので、実態を意識した現実的なものにするところで苦労があるのでしょうかね...）

JC-STARの普及と国際連携は、相手国があることで、規準も全く同じではないこともあり、実務と論理の折り合いの付け方がポイントですかね...

中小企業対策は日本だけでなく世界的な課題ですが、★３、★４の話と、情報処理安全確保支援士の活用がポイントとなってくるはずですね。今は社会的に必要なセキュリティ対策費用を払っていない状態（社会的には最適なリスクの状態ではない）で社会が成り立っているという状況をどのように効果的に是正していくかということだと思います。（車社会でいうと、安全ではない安価な車にのっていて、多くの人が亡くなり、社会的な損失が大きい状況から、多少高価になるが安全な車にのって、死亡事故が減少し、社会的な損失が少なくなるという状況に変えるということ。）私もこの課題には関わっているので、うまく前進させたいと思っています。

今は経済的インセンティブ、ソフトロー的な対応をしていますが、効果がでずに、社会的な影響が大きくなるようであれば、法的な規制の強化というのも必要となるかもしれません（広く全体にというよりも、社会的な影響が大きく、法整備をすればその効果が高く出る部分に限定することになると思いますが...）

セキュア・バイ・デザインは、これから新たに作り出すものは、基本はセキュア・バイ・デザインを原則としていく文化を作る必要があるでしょうね。。。（これも、中小企業対策と同様で、社会的に必要なコストが払われていないという問題です。）

ただ、簡単ではないなというのはSBOMの問題ですかね...標準化の問題がありますからね...

サイバーセキュリティ供給能力は、私も「サイバーセキュリティ産業振興戦略」に関わっていますが、これは中長期的な問題とはなるのですが、そのためには短期でも刻んで成果を出していく必要があると思っています。問題は、サイバーセキュリティ人材が不足していて開発につながる人が少ないという問題と、たとえそのような人がいたとしても、その技術を使ってうまく企業を立ち上げ、成長し、企業として成長するのか？、そしてそのような企業が次々と現れるようにできるのか？といった、人材育成、スタートアップ育成、産業化といった複数の問題があることですかね。..

もう少し、問題の解像度を上げて、課題を個別具体的にして、改善の方向を目指さないといけないと思いますが、サイバーセッキュリティの文脈だけでなく、産業育成の部門との協力が必要なパーツですね...

あっ、

IPAにおけるサイバー情報集約・情勢分析能力の強化（経済安全保障の実現に向けた政府機関の取組への貢献等）

って、これ、政府や関係団体との役割、整理等を踏まえてということですよね...

次に産業界へのメッセージ...

足下のサイバーセキュリティを取り巻く環境に鑑みれば、我が国においても一層の対策強化が求められる状況。我が国全体のサイバーセキュリティ対策水準強化の観点から各主体にも以下の対応をお願いしたい。

サイバーセキュリティを実践する各企業・団体（経営層）

「サイバーセキュリティ経営ガイドライン」に沿った対応をお願いしつつ、特に、(1)セキュア・バイ・デザインの実践（JC-STARラベル取得済み製品の優先購入等）、(2)中小企業向け施策の積極活用、(3)価値創造経営の一環としてのサイバーセキュリティ投資の位置付けを強化していただきたい。

サイバーセキュリティを実践する各企業・団体（実務層）

(1)セキュア・バイ・デザイン等の実践（JC-STARのラベル取得済み製品の優先購入、外部委託時も自組織で判断できる人材の確保）、(2)サプライチェーン全体での対策強化に向けた対応（ASM（Attack Surface Management）等の活用等）、(3) 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参照したサイバー被害時の適時の相談、報告等をお願いしたい。

ITサービス・製品提供事業者

セキュア・バイ・デザインの実践の観点から、「サイバーインフラ事業者に求められる役割等に関するガイドライン（案）」への準拠や、JC-STARのラベル取得等をお願いしたい。

自組織も「サイバーセキュリティを実践する企業」として、サイバーセキュリティ対策に取り組むことをお願いしたい。

被害組織を直接支援する専門組織

「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の成果物である「攻撃技術情報の取扱い・活用手引き」「秘密保持契約に盛り込むべきモデル条文案」を活用して、攻撃技術情報の共有について被害組織と合意することに努めつつ、専門組織間で必要な情報を積極的に共有することをお願いしたい。

攻撃技術情報の共有等、産官学での情報共有が重要となりますが、政府が企業にお願いするのも重要ですが、政府も積極的に、対策を講じるために「タイムリー」に情報を提供していくことが重要ですね。

すぐにできることといえば、政府が集めている事故情報等について、迅速な分析を通じて、早期に警戒情報を出せるようにするといったことがあるでしょうね...（白書は記録としては重要ですが、白書がでるころは思い出話になっていることも多いので...）このあたりは、米国のNSA、FBI、CISAの取り組みが参考になるかもですね...

余談ですが、セキュリティ対策は投資か費用かということが、時々話題になりますが、私が10年以上前に政府の委員会で発言した記憶があるのですが、

投資と費用というのは会計的にはコンセンサスが得られていて、支出の効果が1年以上に及ぶと思われるものは投資と考える。それ未満は費用。投資であれば、資産に計上し、効果が及ぶと思われる期間に応じて減価償却等をして費用化していく。

なので、セキュリティ対策が投資か費用か、、、という問いではなく、

「長期的な企業の価値向上に資するようにセキュリティ対策を（投資として）行ってください。」というのが本来、言いたいことなんじゃないですかね。。。

セキュリティ対策の支出が投資か費用かという問題ではなく、投資となるように支出してください。ということなのだろうと思います。会計の知識があれば、悩まないような話のような気がします...

さて、「政府に対するメッセージ」は...

あれっ、ない？ (^^;; ...

2025.05.27 05:20 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in IoT, in 暗号 / 電子署名 / ブロックチェーン, in 安全保障 | Permalink
Tweet

まるちゃんの情報セキュリティ気まぐれ日記

サイト内検索

Archives

Categories

Recent Posts

Recent Comments

Recent Trackbacks

連載 (ITmedia)

ウェブページ

2025.05.27