国家サイバー統括室 「サイバーインフラ事業者に求められる役割等に関するガイドライン(案)」に関する意見募集
こんにちは、丸山満彦です。
国家サイバー統括室から「サイバーインフラ事業者に求められる役割等に関するガイドライン(案)」に関する意見募集が行われていますね...
● 国家サイバー統括室
・2025.10.30 「サイバーインフラ事業者に求められる役割等に関するガイドライン(案)」に関する意見募集について
サイバーインフラ事業者というのをあらたに定義していますね...
サイバーインフラ事業者とは、サイバーセキュリティ基本法において、サイバー関連事業者(インターネットその他の高度情報通信ネットワ
ークの整備、情報通信技術の活用又はサイバーセキュリティに関する事業を行う者)等の責務が規定されている事業者のうち、政府機
関等及び重要インフラ事業者を始め広く社会で活用される情報・通信システム、ソフトウェア製品及び ICT サービスを開発し提供する事
業者並びに当該情報・通信システム等のソフトウェアのライフサイクルとサプライチェーンに関わる事業者をいう
ちなみに、サイバーセキュリティ基本法におけるサイバー関連事業者の定義...
第七条 サイバー関連事業者(インターネットその他の高度情報通信ネットワークの整備、情報通信技術の活用又はサイバーセキュリティに関する事業を行う者をいう。以下同じ。)その他の事業者は、基本理念にのっとり、その事業活動に関し、自主的かつ積極的にサイバーセキュリティの確保に努めるとともに、国又は地方公共団体が実施するサイバーセキュリティに関する施策に協力するよう努めるものとする。
2 情報システム若しくはその一部を構成する電子計算機若しくはプログラム、情報通信ネットワーク又は電磁的記録媒体(以下この項において「情報システム等」という。)の供給者は、サイバーセキュリティに対する脅威により自らが供給した情報システム等に被害が生ずることを防ぐため、情報システム等の利用者がその安全性及び信頼性の確保のために講ずる措置に配慮した設計及び開発、適切な維持管理に必要な情報の継続的な提供その他の情報システム等の利用者がサイバーセキュリティの確保のために講ずる措置を支援する取組を行うよう努めるものとする。
で、このガイドライン(案)の策定目的は、次のようになっているようです...
サイバーインフラ事業者に求められる役割等について整理・解説することにより、これら事業者によるレジリエンスの向上、及びサイバーセキュリティの根本的確保を促進することを目的とするものである。
ということは、参考資料ということですかね...それ以上でもない...でも、遵守していないままに事故になったら、「どうして守らなかった?」と言われるのですかね... 裁判でも「政府がガイドラインをつくっているのになぜ守らなかった?」ということになるのでしょうかね...
もし、実質的に強制が働くとなると、ガイドラインの無秩序な乱立はさけたいですよね...例えば、NISTのCSFやJISQ27002等を参考に社内規定を作っている組織は確認が必要となりますよね...おそらく、新しいガイドライン(案)の個別要求の95%以上はできているように思うんですよね...でも、チェックする手間が増える...
最近、ガイドラインのようなものが増えるのを見ていると、
・政府(ときには有識者委員)の勉強?のためにつくっているのではないか?
という気がする場合もありますよね...
米国はCSFをベースに組織の戦略、リスク許容度、リソース等を踏まえて優先順位づけを行いプロファイルをつくるという方法を推奨していますがそういう考え方がよいのだろうと思います。日本は元になるものがないので乱立するのですかね...
このままでは日本のためによくないかもしれませんね...
それぞれのガイドラインはそれぞれ知恵を絞って良いものを作ろうとしているし、良いものができているのだろうと思います。しかし、良いもの故に乱立すると事業者側の負担が増える...
安全保障の問題やランサムウェアによる被害の拡大でサイバーセキュリティ業界が活況になっているのはよいのですが、歴史的な経緯も踏まえた連続的な政策をしていかないと、事業者に皺寄せがいく...そんな感じがします...
今回のガイドライン(案)でいえば、諸外国の関連ガイドライン等を参照しているので、その関連ガイドライン等とのマッピングはつけているのでそれはとても良いと思います。でも、標準的なJISQ 27002とのマッピングがあるとさらに良い思います。
サイバーセキュリティの司令塔として作ったはずの国家サイバー統括室ですので、ガイドライン等の統一感をつくる旗振りをもっとしていってよいと思います。司令塔なので目線を上げていきましょうね...
あっ、英語版も作成していて意見対象となっていますね。。。これは非常によいことだと思います。
参考の概要資料
意見募集のガイドライン(案)
・[PDF] サイバーインフラ事業者に求められる役割等に関するガイドライン(案)【日本語】【English】
目次...
1. 総論
1.1. 背景と目的
1.2. ガイドライン(案)の位置付け
1.3. 適用対象
1.4. 役割分担の考え方
1.5. 代表的なユースケース例
2. サイバーインフラ事業者と顧客の責務と役割分担
2.1. 責務と役割分担の考え方
2.2. 責務
3. 責務を果たすための要求事項
3.1. 要求事項の全体像
3.2. 要求事項
(1) セキュアな設計・開発・供給・運用
(2) ライフサイクル管理、透明性の確保
(3) 残続する脆弱性の速やかな対処
(4) 人材・プロセス・技術の整備
(5) サイバーインフラ事業者・ステークホルダー間の関係強化
(6) 顧客によるリスク管理とセキュアなソフトウェアの調達・運用
4. 要求事項の利活用
4.1. 要求事項の要求パッケージ化
4.2. 役割分担に応じた要求事項の適用に関する注意点
5. 参考情報
5.1. 要求事項チェックリスト
5.2. セキュリティインシデントと要求事項との対応関係例
5.3. システムライフサイクルにおける脅威と要求事項の対応関係
5.4. 要求事項に対する取組例
(1) セキュアな設計・開発・供給・運用
(2) ライフサイクル管理、透明性の確保
(3) 残続する脆弱性の速やかな対処
(4) 人材・プロセス・技術の整備
(5) サイバーインフラ事業者・ステークホルダー間の関係強化
(6) 顧客によるリスク管理とセキュアなソフトウェアの調達・運用
5.5. 統一基準群と本ガイドライン(案)との関係
5.6. 重要インフラのサイバーセキュリティに係る安全基準等策定指針と本ガイドライン(案)との関係
5.7. サイバー対処能力強化法と本ガイドライン(案)との関係
5.8. 参照情報
(1) 参照情報のリスト
(2) 他の標準・ガイドライン等との関係
(3) NIST SP800-218 との対応関係
(4) NSA Software Supply Chain Guidance の 3 文書との対応関係
(5) CISA Secure-by-Design- Shifting the Balance of Cybersecurity Risk との対応関係 .
(6) EU Cyber Resilience Act. ANNEX I/II との対応関係
(7) その他の文書との対応関係
5.9. 用語
6. 本ガイドライン(案)の検討体制
« 欧州議会 AI法とEUデジタル立法フレームワークの相互作用 (2025.10.30) | Main | 国家サイバー統括室 サイバーセキュリティ戦略(案)サイバーセキュリティ推進専門家会議第2回会合 »
Comments