Five Eyes＋ドイツ＋オランダ OTにおけるAIの安全な統合に関する原則 (2025.12.03)

こんにちは、丸山満彦です、

Five Eyes（米国はCISA、NCA、FBI）＋ドイツ＋オランダでOTにおけるAIの安全な統合に関する原則が公表されています。ドイツは自動車、オランダは半導体関連装置企業がありますからね...日本は入っていないけど...

原則...

Principle 1 – Understand AI	原則1 – AIの理解
1.1 Understand the Unique Risks of AI and Potential Impact to OT	1.1 AIの固有リスクとOTへの潜在的影響の理解
1.2 Understand the Secure AI System Development Lifecycle	1.2 セキュアなAIシステム開発ライフサイクルの理解
1.3 Educate Personnel on AI	1.3 従業員へのAI教育
Principle 2 – Consider AI Use in the OT Domain	原則 2 – OT 分野における AI 利用の検討
2.1 Consider the OT Business Case for AI Use	2.1 AI利用のOTビジネスケースの検討
2.2 Manage OT Data Security Risks for AI Systems	2.2 AIシステムにおけるOTデータセキュリティリスクの管理
2.3 Understanding the Role of OT Vendors in AI Integration	2.3 AI統合におけるOTベンダーの役割の理解
2.4 Evaluate Challenges in AI-OT System Integration	2.4 AI-OTシステム統合における課題の評価
Principle 3 – Establish AI Governance and Assurance Frameworks	原則3 – AIガバナンスと保証フレームワークの確立
3.1 Establish Governance Mechanisms for AI in OT	3.1 OTにおけるAIガバナンスメカニズムの確立
3.2 Integrating AI Into Existing Security and Cybersecurity Frameworks	3.2 既存のセキュリティおよびサイバーセキュリティフレームワークへのAIの統合
3.3 Conduct Thorough AI Testing and Evaluation	3.3 徹底的なAIテストと評価の実施
3.4 Navigating Regulatory and Compliance Considerations for AI in OT	3.4 OTにおけるAIの規制・コンプライアンス上の考慮事項
Principle 4 – Embed Oversight and Failsafe Practices Into AI and AI-Enabled OT Systems	原則4 – AIおよびAI対応OTシステムへの監視・フェイルセーフ手法の組み込み
4.1 Establish Monitoring and Oversight Mechanisms for AI in OT	4.1 OTにおけるAIの監視・監督メカニズムの確立
4.2 Embed Safety and Failsafe Mechanisms	4.2 安全性とフェイルセーフ機構の組み込み

歴史的につかわれているパデュー (Purdue) モデルを援用しています。IEC 62443/ISA 99は参考文献にも見られませんね...

OT分野のAIセキュリティに関する問題ではあるものの、IT分野におけるAIを利用したシステムのレジリエンスを考える上でも参考になる部分はあると思うのですよね。NIST SP800-160とAIをかけあわせたようなものも今後は必要となってくるかもしれませんね...

 

● CISA

プレスリリース

・2025.12.03 New Joint Guide Advances Secure Integration of Artificial Intelligence in Operational Technology

New Joint Guide Advances Secure Integration of Artificial Intelligence in Operational Technology	新たな共同ガイドラインが運用技術における人工知能の安全な統合を推進
Guidance empowers organizations to mitigate risks and achieve a balanced integration of AI in OT systems for OT environments that control vital public services	本ガイダンスは、重要な公共サービスを制御する運用技術環境において、組織がリスクを緩和し、運用技術システムへのAIの均衡ある統合を実現することを可能にする
WASHINGTON - The Cybersecurity and Infrastructure Security Agency and the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), in collaboration with U.S. and international government partners, published Principles for the Secure Integration of Artificial Intelligence (AI) in Operational Technology (OT) today. This joint guide provides four key principles that will help critical infrastructure OT owners and operators mitigate unique risks and achieve a balanced integration of AI into OT environments.	ワシントン発 - 米国サイバーセキュリティ・インフラセキュリティ庁（CISA）とオーストラリア信号局（ASD）傘下のオーストラリアサイバーセキュリティセンター（ACSC）は、米国及び国際的な政府機関と連携し、本日「運用技術（OT）における人工知能（AI）の安全な統合に関する原則」を発表した。この共同ガイドラインは、重要インフラのOT所有者・運用者が特有のリスクの緩和を行い、OT環境へのAI統合のバランスを図るための4つの基本原則を提示するものである。
“AI holds tremendous promise for enhancing the performance and resilience of operational technology environments – but that promise must be matched with vigilance,” said CISA Acting Director Madhu Gottumukkala. “OT systems are the backbone of our nation’s critical infrastructure, and integrating AI into these environments demands a thoughtful, risk-informed approach. This guidance equips organizations with actionable principles that AI adoption strengthens—not compromises—the safety, security, and reliability of essential services.”	「AIは運用技術環境の性能とレジリエンスを高める大きな可能性を秘めているが、その可能性には警戒心も伴わねばならない」とCISAのMadhu Gottumukkala代理局長は述べた。「OTシステムはわが国の重要インフラの基盤であり、これらの環境にAIを統合するには、リスクを認識した慎重なアプローチが求められる。本ガイドラインは、AI導入が重要サービスの安全性、セキュリティ、信頼性を損なうのではなく強化するという実践可能な原則を組織に提供するものである」
This joint guide provides key principles that will help critical infrastructure owners and operators safely and effectively integrate AI into OT systems. The four key steps are:	この共同ガイドラインは、重要インフラの所有者・運営者がAIをOTシステムに安全かつ効果的に統合するための基本原則を提供する。4つの主要ステップは以下の通りだ：
1. Understand AI: Educate personnel on AI risks, impacts, and secure development lifecycles.	1. AIの理解：AIのリスク、影響、安全な開発ライフサイクルについて要員を教育する。
2. Assess AI Use in OT: Evaluate business cases, manage OT data security risks, and address immediate and long-term integration challenges.	2. OTにおけるAI利用の評価：ビジネスケースを評価し、OTデータのデータセキュリティリスクを管理し、即時的・長期的な統合課題を解決する。
3. Establish AI Governance: Implement governance frameworks, test AI models continuously, and ensure regulatory compliance.	3. AIガバナンスの確立：ガバナンス枠組みを実施し、AIモデルを継続的にテストし、規制順守を確保する。
4. Embed Safety and Security: Maintain oversight, ensure transparency, and integrate AI into incident response plans.	4. 安全性とセキュリティの組み込み：監視を維持し、透明性を確保し、AIをインシデント対応計画に統合する。
“The integration of AI into critical infrastructure brings both opportunity and risk,” said Nick Andersen, Executive Assistant Director for Cybersecurity. “While AI can enhance the performance of OT systems that power vital public services, it also introduces new avenues for adversarial threats. That’s why CISA, in close coordination with our U.S. and international partners, is committed to providing clear, actionable guidance. We strongly encourage OT owners and operators to apply the principles in this joint guide to ensure AI is implemented safely, securely, and responsibly.”	サイバーセキュリティ担当執行副局長ニック・アンデルセンは次のように述べた。 「重要インフラへのAI統合は機会とリスクの両方をもたらす。AIは公共サービスを支えるOTシステムの性能向上に寄与する一方、新たな敵対的脅威の経路も生み出す。そのためCISAは、米国及び国際パートナーと緊密に連携し、明確で実践可能な指針の提供に取り組んでいる。OTの所有者及び運用者は、本共同ガイドの原則を適用し、AIが安全かつ確実に、責任を持って導入されるよう強く推奨する」
This joint guide focuses on machine learning (ML)- and large language model (LLM)-based AI, and AI agents. However, this guidance may also be applied to systems augmented with traditional statistical modeling and other logic-based automation.	本共同ガイドラインは、機械学習（ML）および大規模言語モデル（LLM）ベースのAI、ならびにAIエージェントに焦点を当てている。ただし、従来の統計モデリングやその他の論理ベースの自動化で強化されたシステムにも適用可能である。
In addition to ASD’s ACSC, this joint guide was developed in collaboration with the	本共同ガイドラインは、ASD傘下のACSCに加え、以下の機関との協力により策定された。
National Security Agency’s Artificial Intelligence Security Center (NSA AISC)	国家安全保障局（NSA）人工知能セキュリティセンター（AISC）
Federal Bureau of Investigation (FBI)	連邦捜査局（FBI）
Canadian Centre for Cyber Security (Cyber Centre)	カナダサイバーセキュリティセンター（Cyber Centre）
German Federal Office for Information Security (BSI)	ドイツ連邦情報セキュリティ庁（BSI）
Netherlands National Cyber Security Centre (NCSC-NL)	オランダ国家サイバーセキュリティセンター（NCSC-NL）
New Zealand National Cyber Security Centre (NCSC-NZ)	ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）
United Kingdom National Cyber Security Centre (NCSC-UK)	英国国家サイバーセキュリティセンター（NCSC-UK）
For more information on related resources, visit CISA’s Artificial Intelligence and Industrial Control Systems webpages.	関連リソースの詳細については、CISAの「人工知能」と「産業制御システム」ウェブページを参照のこと。

 

・2025.12.03 Principles for the Secure Integration of Artificial Intelligence in Operational Technology

Principles for the Secure Integration of Artificial Intelligence in Operational Technology	運用技術における人工知能の安全な統合に関する原則
Artificial intelligence (AI) has the potential to increase efficiency and productivity, enhance decision-making, cut costs and improve customer experience, but introducing AI in operational technology (OT) environments can introduce risks that require careful management to support the safety, security, and reliability of OT systems.	人工知能（AI）は効率性と生産性の向上、意思決定の強化、コスト削減、顧客体験の改善をもたらす可能性を秘めている。しかし運用技術（OT）環境にAIを導入する際には、OTシステムの安全性、セキュリティ、信頼性を支えるために慎重な管理を必要とするリスクが生じる。
CISA and the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), in collaboration with federal and international partners, co-authored this joint cybersecurity guidance for critical infrastructure owners and operators integrating AI into their OT systems. This guidance outlines four key principles owners and operators can follow to realize the benefits of integrating AI into OT systems while reducing risk. It focuses on machine learning, large language model-based AI, and AI agents because of the complex security considerations and challenges they pose, but the guidance also applies to systems augmented with traditional statistical modeling and logic-based automation. The authoring agencies encourage critical infrastructure owners and operators to review and follow this guidance to achieve a more balanced approach to integrating AI into their OT environments and to continuously monitor, validate, and refine their AI models.	CISAとオーストラリア信号局（ASD）傘下のオーストラリアサイバーセキュリティセンター（ACSC）は、連邦および国際的なパートナーと連携し、OTシステムにAIを統合する重要インフラの所有者・運営者向けに、この共同サイバーセキュリティガイダンスを共同作成した。本ガイダンスは、OTシステムへのAI統合によるメリットを実現しつつリスクを低減するために、所有者・運営者が従うべき4つの主要原則を概説する。本ガイダンスは、複雑なセキュリティ上の考慮事項と課題を伴う機械学習、大規模言語モデルベースのAI、AIエージェントに焦点を当てているが、従来の統計モデリングや論理ベースの自動化で強化されたシステムにも適用される。作成機関は、重要インフラの所有者および運営者が本ガイダンスを確認し遵守することで、OT環境へのAI統合においてよりバランスの取れたアプローチを実現し、AIモデルを継続的に監視、妥当性確認、改善することを推奨する。

 

原則...

・[PDF]

・[DOCX][PDF] 仮訳

 

 

 

 

 

 

IPA ★3（レベル3）セキュリティ要件・適合基準案へのパブリック・コメント募集 （2025.11.27）

こんにちは、丸山満彦です。

IPAが、「★3（レベル3）セキュリティ要件・適合基準案（通信機器）と（ネットワークカメラ）」へのパブリック・コメントが募集されていますね...

ケアレスミスがいくつかあるようですが、それは修正されるとして、他の制度や文書等で求められているセキュリティ要件との関係性も本当はよく確認しないと間違っている場合もあるかもですね...

あと、関係性についても、どのような関係性なのか、定義をしておく必要があるように思いますね。。。

今回の適合基準の要件を緑色、比較する基準の要件をグレーとすると

Bの場合は、比較する基準の要件を満たしていれば、今回の適合基準の要件に自動的に適合するわけですが、AやCの場合は、そうとは限らない。

そして、関係性の深さもA1、B1、C1とA2、B2、C2の場合では異なる...せめてBなのかBでないかの区別はあっても良いかもですね...

 

 

● IPA

・2025.11.27 ★3（レベル3）セキュリティ要件・適合基準案へのパブリック・コメント募集

 

通信機器

・[PDF] ★3セキュリティ要件・適合基準案（通信機器）

・[PDF] ★3適合基準案_ガイダンス文書あり（通信機器）

 

ネットワークカメラ

・[PDF] ★3セキュリティ要件・適合基準案（ネットワークカメラ）

・[PDF] ★適合基準案_ガイダンス文書あり（ネットワークカメラ）

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.11.30 中国 サイバースペース管理局 意見募集「サイバーセキュリティラベル管理弁法」(2025.11.21)

 

 

 

---

２つの適合基準案が比較しやすいようにしてみました...

↓↓↓↓↓↓

 

 

Continue reading "IPA ★3（レベル3）セキュリティ要件・適合基準案へのパブリック・コメント募集　（2025.11.27）"

中国 国家サイバースペース管理局 意見募集「サイバーセキュリティラベル管理弁法」(2025.11.21)

こんにちは、丸山満彦です。

中国のIoT機器のセキュリティ認証制度についての意見募集がおこなわれていますね...JC-STARの中国版ですね...

星（等級）は3段階。ラベルには、等級と生産者名、製品型番、有効期間の記載だけでなく、QRコードをスキャンすると検査報告書や詳細なセキュリティ情報が見られるようにするようです...

星３は第三者機関のペネトレーションテストが必要のようです...

ドイツ、日本、米国、中国で似たような制度になっているので、国際標準にしてしまえばよいのにね...なんて...

 

● 国家互联网信息办公室（国家サイバースペース管理局）

・2025.09.16 国家互联网信息办公室关于公开征求《网络安全标识管理办法》（征求意见稿）意见的通知

 

​​国家互联网信息办公室关于公开征求《网络安全标识管理办法》（征求意见稿）意见的通知	国家サイバースペース管理局による「サイバーセキュリティラベル管理弁法」（意見募集稿）の意見募集に関する通知
为提升产品的网络安全能力，加强消费者权益保护，维护网络安全和公共利益，根据《中华人民共和国网络安全法》等法律法规，国家互联网信息办公室、工业和信息化部起草了《网络安全标识管理办法》（征求意见稿）和《实施网络安全标识的产品目录（第一批）》（征求意见稿），现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见：	製品のサイバーセキュリティ能力を向上させ、消費者権益保護を強化し、サイバーセキュリティと公共の利益を維持するため、「中華人民共和国サイバーセキュリティ法」等の法律・法規に基づき、国家サイバースペース管理局及び工業情報化部は「サイバーセキュリティラベル管理弁法」（意見募集稿）及び「サイバーセキュリティラベルを実施する製品目録（第一陣）」（意見募集稿）を起草した。ここに社会一般から意見を公募する。以下の方法により意見を提出できる：
1.通过电子邮件方式发送至：wajscy@cac.gov.cn。	1. 電子メールで送付：wajscy@cac.gov.cn。
2.通过信函方式将意见寄至：北京市海淀区阜成路15号国家互联网信息办公室网络安全协调局，邮编100048，并在信封上注明“网络安全标识管理办法征求意见”。	2.書面で送付：北京市海淀区阜成路15号 国家サイバースペース管理局 サイバーセキュリティ調整局（郵便番号100048）。封筒に「サイバーセキュリティセキュリティラベル管理弁法に関する意見募集」と明記すること。
意见反馈截止时间为2025年12月6日。	意見提出期限は2025年12月6日である。
附件：1.网络安全标识管理办法（征求意见稿）	添付資料：1.サイバーセキュリティセキュリティラベル管理弁法 （意見募集稿）
2.实施网络安全标识的产品目录（第一批）（征求意见稿）	2.サイバーセキュリティラベル実施製品目録（第一陣）（意見募集稿）
国家互联网信息办公室	国家サイバースペース管理局
2025年11月21日	2025年11月21日
网络安全标识管理办法	サイバーセキュリティラベル管理弁法
（征求意见稿）	（意見募集稿）
第一章 总则	第一章 総則
第一条 为提升产品的网络安全能力，加强消费者权益保护，维护网络安全和公共利益，根据《中华人民共和国网络安全法》等法律法规，制定本办法。	第一条 製品のサイバーセキュリティ能力向上、消費者権益保護の強化、サイバーセキュリティ及び公共利益の維持を図るため、「中華人民共和国サイバーセキュリティ法」等の法律法規に基づき、本弁法を制定する。
第二条 本办法所称网络安全标识，是指能够反映产品本身网络安全能力水平的信息标识。	第二条 本管理弁法における「サイバーセキュリティラベル」とは、製品自体のサイバーセキュリティ能力水準を反映できる情報ラベルを指す。
具有互联网联网功能的产品适用于本办法，具体产品实施目录管理。	インターネット接続機能を有する製品は本管理弁法の適用対象とし、具体的な製品はリスト管理を実施する。
第三条 网络安全标识管理工作坚持统筹发展和安全，产品生产者按照自愿原则参与。	第三条 サイバーセキュリティラベル管理業務は、発展と安全の統合的推進を堅持し、製品生産者は自発的原則に基づき参加する。
鼓励产品生产者依据本办法提升产品网络安全能力，标注网络安全标识。	製品生産者が本管理弁法に基づき製品のサイバーセキュリティ能力を向上させ、サイバーセキュリティラベルを付与することを奨励する。
鼓励消费者优先选用标注网络安全标识的产品。	消費者がサイバーセキュリティラベルが付与された製品を優先的に選択することを奨励する。
第四条 国家互联网信息办公室、工业和信息化部负责网络安全标识管理工作，分批制定公布《实施网络安全标识的产品目录》，明确每类产品的具体实施规则和依据的国家标准或技术文件，授权中国电子技术标准化研究院（以下简称“备案机构”）承担网络安全标识备案、信息发布、违规行为处置等工作。	第四条 国家サイバースペース管理局及び工業情報化部は、サイバーセキュリティラベルの管理業務を担当する。段階的に『サイバーセキュリティラベルを実施する製品目録』を制定・公布し、各製品カテゴリーの具体的な実施規則及び根拠となる国家標準または技術標準を明確化する。中国電子技術標準化研究院（以下「登録機関」という）に対し、サイバーセキュリティラベルの登録、情報公開、違反行為の処理等の業務を委託する。
第二章 标识实施	第二章 セキュリティラベルの実施
第五条 网络安全标识对应的网络安全能力由低到高依次为基础级、增强级、领先级，相应的标识等级分别用一星、二星、三星表示。基础级要求产品应当满足相关国家标准的基本安全要求，如不存在弱口令或通用默认口令、建立漏洞管理机制并动态修复漏洞、保持软件更新等；增强级要求产品网络安全能力达到国内先进水平；领先级要求产品网络安全能力达到国际先进水平，同时还应通过渗透性测试方法，检测抵御高级别网络攻击的能力。	第五条 サイバーセキュリティセキュリティラベルに対応するサイバーセキュリティ能力は、低から高へ順に基礎級、強化級、先進級であり、対応するラベル等級はそれぞれ一星、二星、三星で表示する。基礎級は製品が関連国家標準の基本的安全要求を満たすことを求める。例えば、脆弱なパスワードや汎用デフォルトパスワードが存在しないこと、脆弱性管理メカニズムを確立し動的に脆弱性を修復すること、ソフトウェア更新を維持することなどである。強化級は製品のサイバーセキュリティ能力が国内先進レベルに達することを求める。最上位レベルでは、製品のサイバーセキュリティ能力が国際的に先進的な水準に達していること、さらにペネトレーションテスト手法による高度なサイバー攻撃への耐性検証を経ていることが求められる。
每类产品的标识等级具体安全要求，在实施规则中确定。安全要求应当和现行国家标准、国际标准做好衔接，充分借鉴吸收其它实施网络安全标识制度国家和地区的相关经验。	各製品カテゴリーの認証等級における具体的な安全要件は、実施規則で定める。安全要件は現行の国家標準・国際標準と整合性を保ち、サイバーセキュリティ認証制度を実施する他国・地域の関連経験を十分に参考にするものとする。
第六条 网络安全标识（英文名称为China Cybersecurity Label）应当包括以下基本内容：	第六条 サイバーセキュリティラベル（英語名称：China Cybersecurity Label）には以下の基本情報を含めるものとする：
（一）产品生产者名称；	（一）製品製造者の名称；
（二）产品规格型号；	（二）製品仕様・型番；
（三）网络安全能力等级；	（三）サイバーセキュリティ能力等級；
（四）网络安全标识有效期；	（四）サイバーセキュリティラベルの有効期限；
（五）检测实验室名称；	（五）検査機関の名称；
（六）依据的国家标准或技术文件编号；	（六）根拠となる国家標準または技術文書の番号；
（七）备案信息码，通过扫码可以获取检测报告、关键指标、产品生产者符合性声明等信息。	（七）登録情報コード（スキャンにより検査報告書、主要指標、製品製造者の適合性宣言等の情報を取得可能）。
网络安全标识基本样式如下：	サイバーセキュリティラベルの基本様式は以下の通りである：
每类产品标识的具体样式应当在对应的实施规则中明确，可根据产品实际形态在上述基本样式基础上适当调整。	各製品カテゴリーのラベルの具体的な様式は、対応する実施規則で明確に定め、製品の実際の形態に応じて上記基本様式を適宜調整することができる。
第七条 需要标注网络安全标识的产品，产品生产者应当依据实施规则相关要求开展网络安全能力检测，确定网络安全能力等级，并取得检测报告。	第七条 サイバーセキュリティラベルの表示が必要な製品について、製品製造者は実施規則の関連要求に基づきサイバーセキュリティ能力検査を実施し、サイバーセキュリティ能力等級を確定し、検査報告書を取得しなければならない。
（一）需要标注一星级、二星级的产品，产品生产者可以利用自有检测实验室或者委托依法取得资质认定的第三方检测机构开展检测；	（一）星1つ・星2つの表示が必要な製品については、製品製造者は自社検査室を利用するか、法的に資格認定を受けた第三者検査機関に委託して検査を実施できる。
（二）需要标注三星级的产品，产品生产者在满足有关检测要求基础上，还应当委托符合条件的第三方检测机构开展渗透性测试。	（二）星3つの表示が必要な製品については、製品製造者は関連検査要件を満たすことに加え、条件を満たす第三者検査機関にペネトレーションテストを委託しなければならない。
第八条 备案机构建设网络安全标识备案管理平台，产品生产者备案网络安全标识通过平台线上办理。	第八条　登録機関はサイバーセキュリティラベル登録管理プラットフォームを構築し、製品製造者は同プラットフォームを通じてオンラインでサイバーセキュリティラベルの登録手続きを行う。
备案时应当提交以下材料的电子版：	登録時には以下の資料の電子版を提出しなければならない：
（一）网络安全标识备案表；	（一）サイバーセキュリティラベル登録申請書；
（二）网络安全能力等级检测报告；	（二）サイバーセキュリティ能力等級検査報告書；
（三）依据实施规则设计的本产品网络安全标识样式；	（三）実施規則に基づき設計した当該製品のサイバーセキュリティラベルデザイン；
（四）产品生产者符合性声明；	（四）製品製造者の適合性宣言書；
（五）产品生产者营业执照；	（五）製品製造者の営業許可証；
（六）自有检测实验室的相关检测能力证明材料，或者第三方检测机构相关资质认定证书；	（六）自社検査実験室の関連検査能力証明資料、または第三者検査機関の関連資格認定証明書；
（七）由代理人提交备案材料的，还应当提交产品生产者的委托代理文件等。	（七）代理人が届出書類を提出する場合、製品製造者の委任状等を追加提出すること。
产品生产者及代理人应当对上述材料的真实性、准确性、完整性负责。	製品製造者及び代理人は、上記書類の真実性、正確性、完全性について責任を負う。
第九条 备案机构应当自收到完整备案材料之日起10个工作日内，对材料的真实性、准确性、完整性进行形式审查，完成备案工作并公告产品相关备案信息。	第九条 届出機関は、完全な届出書類を受領した日から10営業日以内に、書類の真実性、正確性、完全性について形式審査を行い、届出手続きを完了し製品関連届出情報を公示する。
备案完成后，产品生产者可以按照实施规则要求印制、使用和展示网络安全标识。	登録完了後、製品製造者は実施規則の要求に基づき、サイバーセキュリティラベルを印刷、使用及び表示することができる。
第十条 网络安全标识有效期在相关产品实施规则中明确。备案完成的产品，关键技术参数等发生变更可能影响产品网络安全能力的，或者标识超过有效期的，应当重新备案。	第十条 サイバーセキュリティラベルの有効期間は、関連製品の実施規則で明確に定める。登録完了した製品において、主要技術パラメータ等の変更が製品のサイバーセキュリティ能力に影響を及ぼす可能性がある場合、またはラベルの有効期間が経過した場合は、改めて登録しなければならない。
第十一条 任何组织和个人不得伪造、冒用网络安全标识或者利用网络安全标识进行虚假宣传。	第十一条 いかなる組織及び個人も、サイバーセキュリティラベルを偽造、不正使用したり、サイバーセキュリティラベルを利用して虚偽の宣伝を行ってはならない。
第十二条 备案机构应当建立健全网络安全标识备案工作规范，客观、公正开展网络安全标识备案相关工作。	第十二条　登録機関は、サイバーセキュリティセキュリティラベル登録業務規範を整備し、客観的かつ公正にサイバーセキュリティセキュリティラベル登録関連業務を実施しなければならない。
产品生产者自有检测实验室或者第三方检测机构应当严格按照有关标准开展检测，保证检测结果客观公正、真实准确，不得伪造检测结果或者出具虚假检测报告。	製品製造者の自社検査室または第三者検査機関は、関連標準に厳格に従い検査を実施し、検査結果の客観性・公正性・真実性・正確性を保証しなければならない。検査結果を偽造したり虚偽の検査報告書を発行してはならない。
备案机构和检测机构不得泄露在工作中知悉的国家秘密、商业秘密。	登録機関及び検査機関は、業務上知り得た国家機密・営業秘密を漏洩してはならない。
第三章 监督管理	第三章 監督管理
第十三条 国家互联网信息办公室、工业和信息化部负责组织对网络安全标识备案、使用情况进行监督检查，发现有违反本办法规定行为的，按照有关规定及时处理。	第十三条 国家サイバースペース管理局及び工業情報化部は、サイバーセキュリティラベルの登録及び使用状況に対する監督検査を組織する責任を負い、本弁法の規定に違反する行為を発見した場合は、関連規定に基づき速やかに処理する。
地方网信部门、通信管理局负责组织对本区域内网络安全标识使用进行监督检查，发现有违反本办法规定行为的，及时通知备案机构。	地方のネット情報部門及び通信管理局は、管轄区域内のサイバーセキュリティラベルの使用状況に対する監督検査を組織する責任を負い、本弁法の規定に違反する行為を発見した場合は、速やかに登録機関に通知する。
第十四条 发现以下情况，备案机构应当撤销备案并及时公告：	第十四条 以下の状況が発見された場合、登録機関は登録を取り消し、速やかに公告しなければならない：
（一）备案材料弄虚作假的；	（一）登録資料に虚偽の記載がある場合
（二）网络安全标识与实际网络安全能力不相符的；	（二）サイバーセキュリティラベルが実際のサイバーセキュリティ能力と一致しない場合
（三）使用的网络安全标识不符合有关样式、规格等标注规定的；	（三）使用されているサイバーセキュリティラベルが関連する様式、規格等の表示規定に適合しない場合
（四）产品生产者终止对备案产品开展技术支持服务的；	（四）製品製造者が登録製品に対する技術サポートサービスの提供を終了した場合
（五）其他应当撤销标识的违规行为。	（五）その他セキュリティラベルを取り消すべき違反行為がある場合
第十五条 产品生产者伪造、冒用网络安全标识或者利用网络安全标识进行虚假宣传的，备案机构应当撤销相关产品的网络安全标识备案，对产品生产者违规行为予以公告，自公告之日起一年内不再受理其产品备案。	第十五条　製品製造者がサイバーセキュリティラベルを偽造・不正使用し、またはラベルを利用した虚偽宣伝を行った場合、登録機関は当該製品のサイバーセキュリティラベル登録を取り消し、製品製造者の違反行為を公告する。公告日から一年間、当該製品の登録申請を受け付けない。
第十六条 产品生产者自有检测实验室或者第三方检测机构伪造检测结果或者出具虚假检测报告的，备案机构应当撤销相关产品的网络安全标识备案，对检测机构违规行为予以公告，自公告之日起一年内不再采信其检测结果。	第十六条　製品製造者が自社検査室または第三者検査機関において検査結果を偽造し、または虚偽の検査報告書を発行した場合、登録機関は当該製品のサイバーセキュリティセキュリティラベル登録を取り消し、検査機関の違反行為を公告する。公告の日から一年間は、その検査結果を採択しない。
第十七条 任何组织和个人发现违反本办法规定的行为，可以向地方网信部门、通信管理局举报。地方网信部门、通信管理局应当及时调查处理，并为举报人保密，调查过程中备案机构应当予以配合。	第十七条　本弁法に違反する行為を発見した組織及び個人は、地方ネット情報部門または通信管理局に通報することができる。地方ネット情報部門及び通信管理局は速やかに調査処理を行い、通報者の秘密を守るものとする。調査過程において、登録機関は協力しなければならない。
第十八条 网络安全能力检测过程中发现或者获知产品安全漏洞的，应当按照《网络产品安全漏洞管理规定》有关要求进行报告、修补和发布。	第十八条　サイバーセキュリティ能力検査の過程で製品のセキュリティ脆弱性を発見または認知した場合、『サイバー製品セキュリティ脆弱性管理規定』の関連要求に基づき、報告、修正及び公表を行わなければならない。
第四章 附则	第四章 附則
第十九条 本办法所称网络安全能力，是指产品生产者通过采取必要技术和管理措施，使网络产品本身具备防范攻击、侵入、干扰、破坏和非法使用，保障产品稳定可靠运行和网络数据完整性、保密性、可用性的能力。	第十九条 本弁法において「サイバーセキュリティ能力」とは、製品製造者が必要な技術的・管理的措置を講じることで、サイバー製品自体が攻撃・侵入・妨害・破壊・不正使用を防止し、製品の安定確実な稼働及びサイバーデータの完全性・機密性・可用性を保障する能力を指す。
第二十条 网络关键设备和网络安全专用产品依据国家互联网信息办公室、工业和信息化部、公安部、财政部、国家认证认可监督管理委员会《关于调整网络安全专用产品安全管理有关事项的公告》（2023年第1号）开展安全管理，不列入《实施网络安全标识的产品目录》。	第二十条 サイバー重要設備及びサイバーセキュリティ専用製品は、国家サイバースペース管理局、工業情報化部、公安部、財政部、国家認証認可監督管理委員会による「サイバーセキュリティ専用製品の安全管理に関する事項の調整についての公告」（2023年第1号）に基づき安全管理を実施し、「サイバーセキュリティラベルを実施する製品目録」には含まれない。
第二十一条 本办法自2026年 月 日起施行。	第二十一条　本弁法は2026年　月　日から施行する。
实施网络安全标识的产品目录（第一批）	サイバーセキュリティラベルを実施する製品目録（第一陣）
（征求意见稿）	（意見募集稿）
序号	番号
CSL 0001-2025	CSL 0001-2025
产品名称	製品名
消费类网联摄像头	消費者向けネットワーク接続カメラ
适用范围	適用範囲
适用于由消费者购买、使用，为个人和家庭提供音视频信息采集和处理服务的、具有互联网联网功能的独立摄像头。不适用于公共安全领域的摄像头。	消費者が購入・使用する、個人や家庭向けに音声・映像情報の収集・処理サービスを提供する、インターネット接続機能を備えた独立型カメラに適用する。公共安全分野のカメラには適用しない。

 

 

---

● まるちゃんの情報セキュリティ気まぐれ日記

 

 

中国...

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

・2025.11.30 中国 サイバースペース管理局 意見募集「サイバーセキュリティラベル管理弁法」(2025.11.21)

 

日本

・2025.11.07 経済産業省 JC-STARと英国PSTI法の相互承認に関する覚書に署名 (2025.11.06)

・2025.05.30 IPA セキュリティ要件適合評価及びラベリング制度（JC-STAR）適合製品の公開　（2025.05.21）

・2025.05.27 経済産業省 「産業サイバーセキュリティ研究会」が「政策の方向性」と「産業界へのメッセージ」を発出（2025.05.23）

・2025.02.06 Five Eyes + チェコ、日本、韓国、オランダ　エッジ・デバイスの安全に関する報告書...

・2024.10.01 IPA セキュリティ要件適合評価及びラベリング制度（JC-STAR）のページを開設

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

EU

・2024.10.12 欧州理事会 サイバーレジリエンス法を採択 (2024.10.10)

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 （固定時間制認証制度）

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国...

・2025.06.14 米国 大統領令14306 国家のサイバーセキュリティを強化するための厳選された取り組みを維持し、大統領令13694と大統領令14144を改正する (2025.06.06)

・2025.05.16 米国 NIST IR 8259 Rev.1（初期公開ドラフト）IoT製品製造者のための基礎的サイバーセキュリティ活動の5年振りの改訂関係...IR 8572も...（2025.05.13）

・2025.01.10 米国 ホワイトハウス サイバートラストマークを開始...

・2024.12.28 米国 NIST IR 8498 スマートインバーターのサイバーセキュリティ：住宅および小規模商業用ソーラーエネルギーシステムのためのガイドライン(2024.12.20)

・2024.09.14 米国 NIST IR 8425A 一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件 (2024.09.10)

・2024.09.13 米国 FCC IoTのためのサイバーセキュリティ・ラベリングFAQと管理者の申請プロセス (2024.09.10) 

・2024.08.02 米国 FCC IoTのためのサイバーセキュリティ・ラベリング最終規則

・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム（サイバートラストマーク）の規則を採択 (2024.03.14)

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー ：消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー ：消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー（ドラフト）：消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト（Ver.2）を公開していますね。。。

 

英国...

・2025.11.07 経済産業省 JC-STARと英国PSTI法の相互承認に関する覚書に署名 (2025.11.06)

・2025.06.24 英国 ICO 意見募集 消費者向けIoT製品およびサービスに関するガイダンス (2025.06.16)

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ（PSTI）法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ（PSTI）法案 at 2021.11.24

 

 

英国 英国版NIS2？ サイバーセキュリティ・レジリエンス（ネットワークと情報システム）法案：ファクトシート (2025.11.12)

こんにちは、丸山満彦です。

英国が、2025.11.12にサイバーセキュリティ・レジリエンス（ネットワークと情報システム）法案を議会に提出したようです。英国版NIS規制ですかね...

詳細に条文は読んでいないのですが、基本的にはEUが2023年にNIS2指令を制定したことより、英国も旧NISを引き継ぐ形で法制化をしようとしているようです。なので、概ねEUのNIS2指令と同じような内容となっています。（例えば、物理的なインシデントも含む点、規制対象事業者の範囲、インシデント報告（24時間＋72時間））。ただし、当然に英国独自色も当然出てくると思います...

 

ということで...

法案...

● UK Parliament

・2025.11.12 Cyber Security and Resilience (Network and Information Systems) Bill

・[PDF] Bill

 

政府

● GOV UK

プレスリリース

・2025.11.12 Tough new laws to strengthen the UK's defences against cyber attacks on NHS, transport and energy

Tough new laws to strengthen the UK's defences against cyber attacks on NHS, transport and energy	英国のNHS、交通、エネルギー分野に対するサイバー攻撃への防御を強化する新たな厳格な法律
Proposed new laws will strengthen cyber defences for essential public services like healthcare, drinking water providers, transport and energy.	提案されている新法は、医療、飲料水プロバイダ、交通、エネルギーといった重要な公共サービスに対するサイバー防御を強化する。
・Proposed new laws will strengthen cyber defences for essential public services like healthcare, drinking water providers, transport and energy.	・提案されている新法は、医療、飲料水プロバイダ、交通、エネルギーといった重要な公共サービスに対するサイバー防御を強化する。
・UK to be better protected than ever to face down cyber criminals and state-backed actors – delivering strong foundations for the government’s Plan for Change.	・英国はサイバー犯罪者や国家支援の攻撃者に対抗するため、これまで以上に強固な防御体制を構築する。これは政府の「変革計画」を支える強固な基盤となる。
・Bolstered protections for the UK economy – with new research showing the annual cost of cyber attacks is almost £15 billion per year.	・英国経済の保護を強化する。新たな調査によれば、サイバー攻撃による年間被害額は約150億ポンドに上る。
Hospitals, energy and water supplies and transport networks will be better protected from the threat of cyber-attacks under new laws being introduced in Parliament today (12th November).	病院、エネルギー・水道供給、交通網は、本日議会に提出される新法によりサイバー攻撃の脅威からより強固に守られる (11月12日)。
Supporting the Plan for Change, the Cyber Security and Resilience Bill strengthens national security and protects growth by boosting cyber protections for the services that people and businesses rely on every day.	「変革計画」を支える「サイバーセキュリティ・レジリエンス法案」は、国民と企業が日々依存するサービスへのサイバー保護を強化することで、国家安全保障を強化し成長を守る。
In the face of increasing cyber threats, it will prevent disruption – keeping the taps running, the lights on and the UK’s transport services moving – while making sure those who supply our vital services have tougher cyber protections.	増大するサイバー脅威に対し、この法案は混乱を防止する。水道は流れ続け、照明は点灯し、英国の交通サービスは動き続ける。同時に、重要サービスを提供する事業者にはより強固なサイバー保護を義務付ける。
These proposed laws would cover certain digital and essential services including healthcare, transport, energy and water. Under the proposals:	提案されている法律は、医療、運輸、エネルギー、水道などの特定のデジタル・重要サービスを対象とする。提案内容では：
・medium and large companies providing services like IT management, IT help desk support and cyber security to private and public sector organisations like the NHS, will also be regulated for the first time. Because they hold trusted access across government, critical national infrastructure and business networks, they will need to meet clear security duties. This includes reporting significant or potentially significant cyber incidents promptly to government and their customers as well as having robust plans in place to deal with the consequences	・NHSなどの官民組織にIT管理、ITヘルプデスク支援、サイバーセキュリティなどのサービスを提供する中堅・大企業も初めて規制対象となる。政府機関、重要インフラ、企業ネットワーク全体で信頼されたアクセス権を持つため、明確なセキュリティ義務を満たす必要がある。これには重大または潜在的に重大なサイバーインシデントを政府と顧客に速やかに報告すること、および影響に対処する強固な計画を策定することが含まれる
・regulators will be given new powers to designate critical suppliers to the UK’s essential services such as those providing healthcare diagnostics to the NHS or chemicals to a water firm, where they meet the criteria. This would mean they’d have to meet minimum security requirements – shutting down gaps in supply chains criminals could exploit which could cause wider disruption	・規制当局は、NHSに医療診断を提供したり水道会社に化学物質を供給したりする事業者など、規準を満たす英国重要サービスへの重要供給者を指定する新たな権限を与えられる。これにより、サプライチェーンの脆弱性を悪用されるリスクを最小限に抑え、広範な混乱を防止する義務が生じる
・enforcement will be modernised, including tougher turnover-based penalties for serious breaches so cutting corners is no longer cheaper than doing the right thing. That’s because companies providing taxpayer services should make sure they have tough protections in place to keep their systems up and running	・執行体制は近代化され、重大な違反に対する売上高に基づく罰則が強化される。これにより、不正行為が適正な対応よりも安価になる状況はなくなる。これは、納税者向けサービスプロバイダは、システムを稼働させ続けるための強固な保護策を講じるべきだからだ。
・the Technology Secretary gets new powers to instruct regulators and the organisations they oversee, like NHS trusts and Thames Water, to take specific, proportionate steps to prevent cyber attacks where there is a threat to UK national security. This includes requiring that they beef up their monitoring or isolate high-risk systems to protect and secure essential services	・技術大臣は、英国の国家安全保障に対する脅威がある場合、NHSトラストやテムズウォーターなどの規制対象組織に対し、サイバー攻撃を防ぐための具体的かつ均衡のとれた措置を講じるよう指示する新たな権限を得る。これには、監視体制の強化や高リスクシステムの隔離を要求し、重要サービスを保護・確保することが含まれる。
These are areas which could pose huge negative implications for the British economy and public services if targeted. The Office for Budget Responsibility (OBR) estimates that a cyber-attack on critical national infrastructure could temporarily increase borrowing by over £30 billion – equivalent to 1.1% of GDP.	これらは標的とされた場合、英国経済と公共サービスに甚大な悪影響を及ぼし得る分野だ。予算責任局（OBR）の推計によれば、重要国家インフラへのサイバー攻撃は一時的に300億ポンド超（GDPの1.1％に相当）の借入増加を招く可能性がある。
New independent research published today shows the average cost of a significant cyber-attack in the UK is now over £190,000. This amounts to around £14.7 billion a year across the economy - equivalent to 0.5% of the UK’s GDP.	本日発表された新たな独立調査によると、英国における重大なサイバー攻撃の平均コストは現在19万ポンドを超えている。これは経済全体で年間約147億ポンドに相当し、英国GDPの0.5%に等しい。
Science, Innovation, and Technology Secretary Liz Kendall said:	科学・イノベーション・技術大臣リズ・ケンドールは次のように述べた：
”Cyber security is national security. This legislation will enable us to confront those who would disrupt our way of life. I’m sending them a clear message: the UK is no easy target.	「サイバーセキュリティは国家安全保障である。この法律により我々は生活様式を破壊しようとする者に対抗できる。明確なメッセージを送る：英国は容易な標的ではない。
”We all know the disruption daily cyber-attacks cause. Our new laws will make the UK more secure against those threats. It will mean fewer cancelled NHS appointments, less disruption to local services and businesses, and a faster national response when threats emerge.	日常的なサイバー攻撃が引き起こす混乱は周知の事実だ。新法により英国はこうした脅威に対してより強固になる。国民保健サービス（NHS）の予約キャンセルが減り、地域サービスや企業への支障が軽減され、脅威発生時の国家対応が迅速化されるだろう。
National Cyber Security Centre CEO Dr Richard Horne said:	国家サイバーセキュリティセンター（NCSC）のリチャード・ホーン所長は次のように述べた：
”The real-world impacts of cyber attacks have never been more evident than in recent months, and at the NCSC we continue to work round the clock to empower organisations in the face of rising threats.	「サイバー攻撃が現実世界に与える影響は、ここ数ヶ月でかつてないほど顕在化した。NCSCでは脅威の高まりに直面する組織を支援するため、24時間体制で活動を続けている。
”As a nation, we must act at pace to improve our digital defences and resilience, and the Cyber Security and Resilience Bill represents a crucial step in better protecting our most critical services.	国家として、デジタル防衛とレジリエンシーを強化するため迅速に行動しなければならない。『サイバーセキュリティ・レジリエンス法案』は、最も重要なサービスをより良く保護するための重要な一歩だ。
”Cyber security is a shared responsibility and a foundation for prosperity, and so we urge all organisations – no matter how big or small – to follow the advice and guidance available at ncsc.gov.uk and act with the urgency that the risk requires.	サイバーセキュリティは共有責任であり、繁栄の基盤である。したがって、規模の大小を問わず全ての組織に対し、ncsc.gov.ukで提供されている助言とガイダンスに従い、リスクが要求する緊急性をもって行動するよう強く促す。
National Chief Information Security Officer for Health and Care at Department of Health & Social Care, Phil Huggins said:	保健社会省の保健・医療分野担当国家最高情報セキュリティ責任者、フィル・ハギンズは次のように述べた：
The Bill represents a huge opportunity to strengthen cyber security and resilience to protect the safety of the people we care for.	本法案は、我々がケアする人々の安全を守るため、サイバーセキュリティとレジリエンスを強化する絶好の機会だ。
The reforms will make fundamental updates to our approach to addressing the greatest risks and harms, such as new powers to designate critical suppliers.	改革により、重大なリスクや危害への対応手法が根本的に更新される。例えば重要供給業者を指定する新たな権限が創設される。
Working with the healthcare sector, we can drive a step change in cyber maturity and help keep services available, protect data, and maintain trust in our systems in the face of an evolving threat landscape.	医療セクターと連携し、サイバー成熟度を飛躍的に向上させ、進化する脅威環境下でもサービスの継続性確保、データ保護、システムへの信頼維持を実現できる。
Earlier this year, the government published the Cyber Governance Code of Practice setting out clear steps organisations should take to manage digital risks and safeguard their day-to-day operations. Whilst it is for companies to ensure they have proper protections in place, the Bill targets those that will have the maximum impact on improving cyber resilience, bringing the services that retailers, hospitals, councils and others depend on into scope - raising their baseline protects thousands of businesses in the long-term.	今年初め、政府は「サイバーガバナンス実践規範」を発表し、組織がデジタルリスクを管理し日常業務を守るための明確な手順を示した。適切な保護策を講じるのは企業の責務だが、本法案はサイバーレジリエンス向上に最大の影響を与える対象を特定している。小売業者、病院、自治体などが依存するサービスを適用範囲に含めることで、長期的に数千の企業を保護する基盤を高めるのだ。
Recent cyber-attacks on managed service providers clearly make the case for updated laws. In 2024, hackers accessed the Ministry of Defence’s payroll system via a managed service provider, while other recent attacks such as the Synnovis incident in the NHS resulted in over 11,000 disrupted medical appointments and procedures and some estimates suggesting costs of £32.7 million. This brings into sharp focus the impact cyber incidents can have on the public and our essential public services.	マネージドサービス・プロバイダーに対する最近のサイバー攻撃は、法改正の必要性を明確に示している。2024年には、ハッカーがマネージドサービス・プロバイダーを経由して国防省の給与システムにアクセスした。また、NHS（国民保健サービス）におけるSynnovisインシデントのような他の最近の攻撃では、11,000件以上の医療予約や処置が混乱し、推定3,270万ポンドの損失が発生した。これにより、サイバーインシデントが国民や重要な公共サービスに与える影響が鮮明に浮き彫りとなった。
Organisations in scope will need to report more harmful cyber incidents to their regulator and the National Cyber Security Centre (NCSC) within 24 hours, with a full report within 72 hours, to ensure support can be on hand more quickly to help build a stronger national picture of cyber threats. If a data centre, or digital and managed service providers face a significant or potentially significant attack, they will have to notify customers which are likely to be impacted promptly so organisations can act fast to protect their business, people and services.	対象組織は、より深刻なサイバーインシデントを24時間以内に規制当局と国家サイバーセキュリティセンター（NCSC）に報告し、72時間以内に詳細な報告書を提出する必要がある。これにより迅速な支援が可能となり、サイバー脅威に関する国家レベルの全体像構築が促進される。データセンターやデジタルサービス・マネージドサービス・プロバイダーが重大または潜在的に重大な攻撃に直面した場合、影響を受ける可能性のある顧客に速やかに通知しなければならない。これにより組織は迅速に行動し、事業・従業員・サービスを防御できる。
Data centres keep the UK running, from patient records and payments to email services and AI development. The Bill will bring them into scope of the regulations, ensuring they meet robust cyber security standards.	データセンターは、患者記録や決済からメールサービス、AI開発に至るまで、英国の機能を支えている。本法案によりデータセンターも規制対象となり、強固なサイバーセキュリティ標準の遵守が求められる。
New safeguards will also cover organisations that manage the flow of electricity to smart appliances like electric vehicle charge points and electrical heating appliances in homes. This will reduce the risk of disruption to consumers using smart-energy appliances, and the grid, bolstering the UK’s energy security.	新たな保護措置は、電気自動車充電ポイントや家庭用電気暖房機器などのスマート家電への電力供給を管理する組織にも適用される。これにより、スマートエネルギー機器を利用する消費者や電力網への混乱リスクが軽減され、英国のエネルギー安全保障が強化される。
The Bill represents a step change in how the government protects people in an increasingly dangerous world, supporting the National Security Strategy.	本法案は、国家安全保障戦略を支えつつ、危険が増す世界における国民の保護方法に画期的な変化をもたらすものだ。
It will help to deliver greater economic stability, protect businesses and working people from the impact of cyber attacks, and support further investment into the UK’s cyber security sector, which contributed £13.2 billion to the economy in the latest financial year.	これにより経済の安定性が高まり、企業と労働者がサイバー攻撃の影響から守られる。さらに、前会計年度に132億ポンドの経済効果をもたらした英国のサイバーセキュリティ分野への投資促進も期待される。
It follows a recent letter from government ministers iincluding the Technology Secretary, Chancellor and Business Secretary to business leaders and FTSE 350 firms, urging them to strengthen their cyber defences to face down the growing range of threats targeting the UK’s leading organisations.	これは、技術大臣、財務大臣、ビジネス大臣ら政府閣僚がFTSE350企業を含む経営者らに送った書簡に続くものだ。同書簡では、英国の主要組織を狙う脅威の多様化に対処するため、サイバー防衛体制の強化が強く求められている。
Organisations can make use of the free guidance and tools available from the NCSC – including Cyber Essentials, Active Cyber Defence services, and the Cyber Assessment Framework for the UK’s most critical organisations – to help improve their resilience.	組織はNCSCが提供する無料のガイダンスやツール（サイバーエッセンシャルズ、アクティブ・サイバーディフェンスサービス、英国最重要組織向けサイバー評価枠組みなど）を活用し、レジリエンスの向上を図ることができる。
Simon Sheeran, Head of Cyber Security Oversight at the UK Civil Aviation Authority said:	英国民間航空局サイバーセキュリティ監督責任者サイモン・シーランは次のように述べた：
”The aviation sector contributes billions of pounds to the UK economy and provides critical national infrastructure.	「航空セクターは英国経済に数十億ポンドを貢献し、重要な国家インフラを提供している。
”This Bill will help improve cyber defences essential for maintaining the already very high safety standards in aviation.	この法案は、航空分野で既に維持されている極めて高い安全標準を維持するために不可欠なサイバー防衛の強化に寄与する。
”The Civil Aviation Authority protect people and enable aerospace within a global eco-system, and the need for aviation to defend as one is a national imperative.	民間航空局は、グローバルなエコシステムの中で人々を保護し航空宇宙産業を支えている。航空分野が一丸となって防衛する必要性は国家的な要請である。
Jill Popelka, CEO of Darktrace, said:	ダークトレースのCEO、ジル・ポペルカは次のように述べた：
”In an era where cybercriminals move faster, experiment freely, and increasingly leverage AI to their advantage, the Cyber Security and Resilience Bill is an essential piece of legislation. It will improve the UK’s defences, enabling businesses and public services to securely harness the opportunities provided by technology and innovation.	「サイバー犯罪者がより迅速に動き、自由に実験し、AIをますます活用する時代において、サイバーセキュリティ・レジリエンス法案は不可欠な立法だ。これにより英国の防御力が向上し、企業や公共サービスが技術と革新がもたらす機会を安全に活用できるようになる。
”We’ve seen cyber attackers increasingly target supply chains and managed service providers in recent years, including vital institutions like the NHS and the Ministry of Defence. It’s promising to see the Bill recognise the risk across the digital ecosystem. It’s also good to see the government’s focus on future-proofing the regulatory environment for cyber security and creating a stronger role for NCSC’s Cyber Assessment Framework. These changes will help give organisations more confidence to adopt new technologies while staying prepared for the next evolution in threats.	近年、サイバー攻撃者がサプライチェーンやマネージドサービス・プロバイダーを標的とする事例が増加している。NHSや国防省のような重要機構も含まれる。本法案がデジタルエコシステム全体のリスクを認識している点は有望だ。政府がサイバーセキュリティ規制環境の将来対応力強化と、NCSC（国家サイバーセキュリティセンター）のサイバー評価枠組みの役割強化に注力している点も評価できる。これらの変更により、組織は新たな技術を採用する自信を深めつつ、脅威の次なる進化に備えられるようになるだろう。
Julian David OBE, CEO of techUK, said:	techUKのジュリアン・デイヴィッドOBE最高経営責任者は次のように述べた：
”techUK welcomes today’s introduction of the Cyber Security and Resilience Bill to Parliament which signals the government’s ambition to modernise and future-proof the UK’s cyber laws while fostering the resilience that will underpin our economic growth. It marks a significant step forward in prioritising the security of our nation’s essential services.	「techUKは本日議会に提出された『サイバーセキュリティ・レジリエンス法案』を歓迎する。これは政府が英国のサイバー関連法を近代化し将来を見据えたものとしつつ、経済成長を支えるレジリエンスを育むという意欲を示すものだ。国家の重要サービスの安全保障を優先する上で重要な前進である。
”techUK looks forward to continuing to engage with the government as the Bill makes its way through Parliament, to help ensure that the measures are fit for purpose, practically implementable and can deliver their intended outcomes, protecting the UK from a diverse range of threats and enabling organisations to harness the benefits that technology can offer.	techUKは、法案が議会を通過する過程で政府との対話を継続し、対策が目的適合的で実践可能であり、意図した成果をもたらすことを支援する。これにより英国を多様な脅威から防御し、組織が技術が提供する恩恵を活用できるようにする。
Sarah Walker, Chief Executive, Cisco UK and Ireland	シスコUK・アイルランド最高経営責任者、サラ・ウォーカー
”We welcome the government taking action to overhaul the UK’s cyber framework with the Cyber Security and Resilience Bill. This is a significant step in securing the UK against ever-increasing cyber threats. Our latest research shows the scale of the challenge ahead; only 8% of UK organisations are classed as ‘Mature’ in their cybersecurity readiness. As AI reshapes both attack and defence, we need regulation that keeps pace with this changing threat landscape. We are looking forward to collaborating with the UK government and working with our international partners to continue securing the UK’s digital economy.	「政府がサイバーセキュリティ・レジリエンス法案により英国のサイバー枠組みを刷新する行動を起こしたことを歓迎する。」 これは増大するサイバー脅威から英国を守る重要な一歩だ。当社の最新調査では、英国組織のわずか8％がサイバーセキュリティ準備度で『成熟』と評価されている。AIが攻撃と防御の両方を変革する中、変化する脅威環境に対応できる規制が必要だ。英国政府との連携と国際パートナーとの協働を通じ、英国のデジタル経済の安全確保を継続することを期待している。
Jamie MacColl, Senior Research Fellow, Cyber and Tech, Royal United Services Institute said:	ロイヤル・ユナイテッド・サービス研究所（RUSI）サイバー・テクノロジー上級研究員、ジェイミー・マッコールは次のように述べた：
”The events of 2025 have proven beyond doubt that improving national cyber security and resilience is essential for the UK’s economic security. The arrival of new legislation to better protect our most critical national infrastructure is an important step in improving cyber resilience in the UK. However, it is also important that organisations outside of the scope of the Bill up their game on cyber security and resilience. We urgently need to build collective resilience to inspire confidence in the face of threats from hostile states and criminals.	「2025年の出来事は、国家のサイバーセキュリティとレジリエンスの強化が英国の経済安全保障に不可欠であることを疑いようなく証明した。最重要国家インフラをより良く防御する新法の到来は、英国のサイバーレジリエンス向上における重要な一歩だ。しかし、本法案の対象外となる組織も、サイバーセキュリティとレジリエンスのレベルを引き上げる必要がある。」 敵対的な国家や犯罪者からの脅威に直面しても信頼を保つため、集団的なレジリエンスを構築することが急務だ。
Further information	詳細情報
Full details on the Cyber Security and Resilience Bill introduced in Parliament today	本日議会に提出された「サイバーセキュリティ・レジリエンス法案」の詳細
Factsheets explaining the measures in the Bill	法案の措置を説明するファクトシート
Read the full Bill on the Parliament website	議会ウェブサイトでの法案全文閲覧
New independent research on the impact of cyber attacks on the economy	サイバー攻撃が経済に与える影響に関する新たな独立調査

 

法案背景等

・2025.11.12 updated  Collection Cyber Security and Resilience Bill

 

日本はしているのをみたことないけど、英国は当然、欧州各国、米国でもしていると思う...

影響評価

・・2025.11.12 Impact assessment Cyber Security and Resilience (Network and Information Systems) Bill: supporting documents

・・・[PDF] 

・[DOCX][PDF]仮訳

 

ファクトシート

・2025.11.12 Policy paper Cyber Security and Resilience (Network and Information Systems) Bill: factsheets

Summary of the Bill	法案の概要
Cost recovery	費用回収
Enforcement	執行
Futureproofing	将来への備え
Power to direct regulated entities	規制対象事業体への指示権限
Power to direct regulators	規制当局への指示権限
Data centres	データセンター
Relevant managed service providers	関連マネージドサービスプロバイダー
Relevant digital service providers	関連デジタルサービスプロバイダー
Large load controllers	大規模負荷制御事業体
Designating critical suppliers	重要供給者の指定
Incident reporting	インシデント報告
Statement of strategic priorities	戦略的優先事項の声明
Information sharing	情報共有
Details	詳細
The Cyber Security and Resilience (Network and Information Systems) Bill, was introduced to Parliament on 12 November 2025 to:	サイバーセキュリティ・レジリエンス（ネットワークと情報システム）法案は、2025年11月12日に議会に提出された。その目的は次の通りである：
· protect the services the public rely on to go about their normal lives	・国民が日常生活を送るために依存するサービスを防御すること
· deliver a step change in our national security	・国家安全保障の質的飛躍を実現すること
· underpin greater economic stability	・より大きな経済的安定を支えること
Further information on the Bill can be found on the Cyber Security and Resilience Bill collection page.	本法案に関する詳細は、サイバーセキュリティ・レジリエンス法案コレクションページで確認できる。
Legislation documents related to the Cyber Security and Resilience (Network and Information Systems) Bill can be found on the Parliament website including:	サイバーセキュリティ・レジリエンス（ネットワークと情報システム）法案に関連する立法文書は、議会ウェブサイトで閲覧可能である。これには以下が含まれる：
· Cyber Security and Resilience Bill	・サイバーセキュリティ・レジリエンス法案
· Explanatory Notes	・説明文書
· Delegated Powers Memorandum	・委任権限覚書
· Impact Assessments	・影響評価書

 

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

NIS2指令関係...

・2025.07.11 欧州 ENISA NIS2の必須事業体および重要事業体におけるサイバーセキュリティの役割とスキル (2025.06.26)

・2025.07.10 欧州 ENISA NIS2 技術実施ガイダンス (2025.06.26)

・2024.11.07 欧州委員会 NIS2指令 - 欧州委員会施行規則C(2024) 7151と附属書 (2024.10.17)

・2023.01.19 欧州 NIS2 指令 条文 (2022.12.27)

 

ドイツ...

・2024.11.11 ドイツ BSI NIS2指令の国内への適用に関する情報ページ

 

 

内閣官房 「サイバーセキュリティ戦略（案）」に関する意見の募集

こんにちは、丸山満彦です。

なんか忘れているわ。。。とおもっていたら、これでした(^^)

11.04のこのブログでも触れていますが、次のサイバーセキュリティ戦略（案）です...

任意の意見募集ですし、11月23日までと短いんですよね...

 

● 国家サイバー統括室

・2025.11.07 「サイバーセキュリティ戦略（案）」に関する意見公募要領

---

１．意見公募の趣旨・目的・背景

　サイバーセキュリティ基本法（平成26年法律第104号）第12条に基づき、政府は、サイバーセキュリティに関する施策の総合的かつ効果的な推進を図るため、サイバーセキュリティに関する基本的な計画（サイバーセキュリティ戦略）を定めることとされています。現在のサイバーセキュリティ戦略は、令和４年９月28日に閣議決定されました。

　今日、デジタル技術は目覚ましい進展と普及を遂げ、サイバー空間は、我々の社会経済に欠かせないインフラとなり、我々に多くの利便をもたらしています。これまで以上にサイバー空間と実空間は密接に融合し、AIや量子技術等の先端技術が、デジタルサービスや産業に大きなインパクトを与えようとしています。

　その一方、このサイバー空間では、サイバー攻撃の脅威も急速に拡大しており、国際情勢が緊迫化し安全保障環境の厳しさが増す中、サイバー攻撃が国民生活・経済活動に深刻かつ致命的な被害を生じさせるリスクは、今後も一層高まっていくと考えられます。サイバー空間のもたらす価値を十二分に享受するために、こうしたリスクに適切に対処していく必要があります。

　このような状況の下、能動的サイバー防御を導入可能とする、重要電子計算機に対する不正な行為による被害の防止に関する法律（令和７年法律第42号。以下「サイバー対処能力強化法」という。）及び重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律（令和７年法律第43号。サイバー対処能力強化法とあわせて「サイバー対処能力強化法等」という。）が、令和７年５月に成立しました。

　また、同年７月、サイバー対処能力強化法等の一部施行に伴い、内閣総理大臣を本部長とし、全大臣で構成するなどの改組により、新たな体制となったサイバーセキュリティ戦略本部第１回会合（令和７年７月１日）において「新たなサイバーセキュリティ戦略の方向性」が示されました。これを受け、サイバーセキュリティ戦略（案）の検討を進めるともに、同本部の下に設置されたサイバーセキュリティ推進専門家会議において、サイバーセキュリティ戦略（案）等について意見交換を行ってきました。

　これらを踏まえ、「サイバーセキュリティ戦略」の案を作成しましたので、国民の皆様から広く意見を募集いたします。

---

 

● e-Gov

・2025.11.07 「サイバーセキュリティ戦略（案）」に関する意見の募集について

・・[PDF] サイバーセキュリティ戦略（案）

 

・・[PDF] 新たなサイバーセキュリティ戦略（案）の概要 　

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.11.04 国家サイバー統括室 サイバーセキュリティ戦略（案）サイバーセキュリティ推進専門家会議第2回会合

・2025.09.22 NCO サイバーセキュリティ推進専門家会議

・2021.09.30 日本のサイバーセキュリティ戦略についての質問に対する中国政府スポークスマンの回答

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 （予算からみるとサイバーセキュリティは経済発展というよりも安全保障？）

 

 

Continue reading "内閣官房 「サイバーセキュリティ戦略（案）」に関する意見の募集"

経済産業省 JC-STARと英国PSTI法の相互承認に関する覚書に署名 (2025.11.06)

こんにちは、丸山満彦です。

製品サイバーセキュリティの星制度の話。経済産業省と英国の科学・イノベーション・技術省（DSIT）がJC-STARと英国PSTI法の相互承認に関する覚書に署名していましたね...

● 経済産業省

・2025.11.06 JC-STARと英国PSTI法の相互承認に関する覚書に署名しました

---

...英国PSTI法（Product Security and Telecommunications Infrastructure Act）が要求する技術基準（3要件）と我が国のJC-STAR（「セキュリティ要件適合評価及びラベリング制度」）★1のラベル取得に必要な技術基準の3要件が同等であるとみなす旨に合意する、「IoT製品のためのサイバーセキュリティ制度の相互承認に関する協力覚書」に署名しました。

---

ということなので、★１を取得していれば、PSTI法の技術基準を満たしていることになるので、日本での活動が英国でも効果を持つということで、JC-STARの活用の意義は大きくなりましたね...

英国に引き続き、フィンランド、ドイツ、シンガポール等との連携も考えられますので、これからの経済産業省の活動にも注目です。奥家審議官、武尾課長も頑張ってくれたのだろうと思います。NICEですね...

 

・[PDF] MEMORANDUM of COOPERATION BETWEEN THE MINISTRY OF ECONOMY, TRADE, AND INDUSTRY OF JAPAN AND THE DEPARTMENT FOR SCIENCE, INNNOVATION AND TECHNOLOGY OF THE UNITED KINGDOM ON MUTUAL RECOGNITION OF IOT SECURITY REGIMES

 

MEMORANDUM of COOPERATION BETWEEN THE MINISTRY OF ECONOMY, TRADE, AND INDUSTRY OF JAPAN AND THE DEPARTMENT FOR SCIENCE, INNNOVATION AND TECHNOLOGY OF THE UNITED KINGDOM ON MUTUAL RECOGNITION OF IOT SECURITY REGIMES	日本国経済産業省と英国科学・イノベーション・技術省との間のIoTセキュリティ体制の相互承認に関する協力覚書
The Ministry of Economy, Trade, and Industry of Japan and The Department for Science, Innovation and Technology of the United Kingdom (hereinafter referred to individually as “Participant” and collectively as “Participants")	日本国経済産業省及び英国科学技術革新省（以下、個別に「参加国」、総称して「参加国」という）は、
With the aim of promoting the harmonisation of standards, reducing the costs for manufacturers and improving the security of connected devices in both countries;	両国における接続機器のセキュリティ向上、製造コスト削減、標準の調和促進を目的として、
In order to work towards establishing effective mechanisms for the mutual recognition of IoT devices cyber security regimes established in Japan, and the United Kingdom of Great Britain and Northern Ireland;	日本及びグレートブリテン及び北アイルランド連合王国において確立されたIoT機器のサイバーセキュリティ体制の相互承認に向けた効果的な仕組みの構築を目指すため、
HAVING REGARD to the desirability of establishing high standards for the cyber security of IoT devices;	IoT機器のサイバーセキュリティに関する高標準の基準を確立することが望ましいことを考慮し、
RECOGNISING that mutual recognition of our respective IoT cyber security regimes should promote improvements in trade; HAVE ACCEPTED AS FOLLOWS:	相互のIoTサイバーセキュリティ体制の相互承認が貿易の改善を促進すべきであることを認識し、以下の通り合意する。
PARAGRAPH 1	第1条
Objective	目的
Acting within their powers and responsibilities and in accordance with their national laws and regulations, and in any event insofar as appropriate, the Participants will endeavour to strengthen cooperation in the area of IoT cyber security between the Participants, with the aim of pursuing mutual recognition of the Participants’ respective IoT Cyber Security Schemes, in line with the items of this Memorandum of Cooperation (hereinafter referred to as “this MoC”).	参加国は、その権限と責任の範囲内で、また国内法および規制に従い、かつ、いかなる場合においても適切な範囲で、本協力覚書（以下「本覚書」という）の項目に沿って、参加国のそれぞれの IoT サイバーセキュリティスキームの相互承認を追求することを目的として、参加国間の IoT サイバーセキュリティ分野における協力の強化に努める。
PARAGRAPH 2	第2条
Definitions	定義
The following items and definitions are utilised for the purpose of this MoC:	本 MoC の目的上、以下の項目および定義が用いられる。
1. “Conformity Assessment Procedures” means, in the case of Japan and the UK, the process of determining whether an IoT Product complies with the Requirements;	1. 「適合性評価手続き」とは、日本および英国の場合、IoT 製品が要件に適合しているかどうかを判断するためのプロセスを意味する。
2. “Consistency check” means the process of reviewing a Self-declaration and the information that is provided by the manufacturer in an application, and any included supporting documents to determine whether conformity with the IT security Requirements specified by the Participant is plausibly and comprehensibly assured;	2. 「整合性チェック」とは、自己宣言、製造事業者が申請書で提供する情報、および添付の補足文書を審査し、参加者が指定した IT セキュリティ要件への適合性が、妥当かつ理解可能に保証されているかどうかを判断するプロセスを指す。
3. “Cyber Security Scheme” means, in the case of Japan, the JC-STAR Level 1 scheme. In the case of the UK, the product security regulatory regime created by Part 1 of the Product Security and Telecommunications Infrastructure Act 2022 and Regulations made under that Act;	3. 「サイバーセキュリティ制度」とは、日本の場合、JC-STARレベル1制度を意味する。英国の場合、2022年製品安全・電気通信インフラ法第1部及び同法に基づく規則により創設された製品安全規制制度を意味する。
4. “IoT Products” means, in the case of Japan, the IoT devices including both consumer and industrial products that can be connected directly or indirectly to the internet using IP or Internet Protocol will be covered in the scope of this Scheme, excluding general-purpose IT products to which users can easily alter security measures such as via software (PCs, tablets, smartphones, etc.) specified by the Information-technology Promotion Agency supervised by the Ministry of Economy, Trade, and Industry. In the case of the UK, a product that is within scope of the UK’s Cyber Security Scheme;	4. 「IoT製品」とは、日本の場合、IP（インターネットプロトコル）を用いて直接または間接的にインターネットに接続可能な消費者向け及び産業用製品を含むIoT機器を本スキームの対象範囲とする。ただし、経済産業省所管の情報処理推進機構が指定する、ユーザーがソフトウェア等により容易にセキュリティ対策を改変可能な汎用IT製品（PC、タブレット、スマートフォン等）は除く。英国の場合、英国のサイバーセキュリティスキームの対象となる製品を指す。
5. “Label” means Japan’s JC-STAR-1 Label;	5. 「ラベル」とは、日本のJC-STAR-1ラベルを指す。
6. “Law-Compliant / Compliant with UK’s Law” means compliant with the UK’s product security regulatory regime created by Part 1 of the Product Security and Telecommunications Infrastructure Act 2022 and regulations made under that Act;	6. 「法令適合／英国の法令適合」とは、2022年製品セキュリティ・電気通信インフラ法（Product Security and Telecommunications Infrastructure Act 2022）第1部及び同法に基づく規則により構築された英国の製品セキュリティ規制制度に適合することを指す。
7. “Requirements” means, in the case of Japan, the IT security requirements applicable to the relevant product category set out under the JC-STAR-1; and in the case of the UK, the security requirements and the requirement to have a statement of compliance accompany a IoT Product as required under the UK’s Law; and	7. 「要件」とは、日本の場合、JC-STAR-1に定められた該当製品カテゴリーに適用される情報セキュリティ要件を意味する。英国の場合、セキュリティ要件及び英国法で要求されるIoT製品への適合性声明書の添付要件を意味する。
8. “Self-declaration” means a manufacturer’s statement that declares that an IoT device meets the IT security requirements applicable to the relevant product category for the duration specified in line with the Participant’s Requirements;	8. 「自己宣言」とは、製造事業者が、参加者の要件に基づき指定された期間中、当該IoTデバイスが該当する製品カテゴリーに適用されるITセキュリティ要件を満たすことを宣言する声明を意味する。
PARAGRAPH 3	第3条
Recognition of Label and Law	ラベル及び法の相互承認
1. Each Participant will endeavour to recognise the other Participant’s Cyber Security Scheme as credible.	1.各参加者は、他の参加者のサイバーセキュリティスキームを信頼できるものとして承認するよう努める。
2. A Participant will endeavour to recognise the other Participant’s Cyber Security Scheme as follows:	2. 参加者は、他の参加者のサイバーセキュリティスキームを以下の通り認めるよう努める：
a) An IoT Product that is compliant with the UK’s Law will undergo a simplified application process for obtaining a Label under Japan’s Cyber Security Scheme stipulated by the Information-technology Promotion Agency of Japan by showing the statement of Selfdeclaration of the Law-Compliant IoT Product open to the public online.	a) 英国の法令に適合するIoT製品は、日本の情報処理推進機構が定める日本のサイバーセキュリティスキームにおけるラベル取得申請手続きを簡略化される。その際、法令適合IoT製品の自己宣言書がオンラインで一般公開されていることを示す必要がある。
b) In line with subparagraph (c) below, an IoT Product that has been issued with a Label upon compliance with Japan’s Conformity Assessment Procedures, and also holds a valid label, will be treated as compliant with the UK’s Requirements.	b) 下記(c)項に従い、日本の適合性評価手続に準拠してラベルを発行され、かつ有効なラベルを保持するIoT製品は、英国の要件に準拠しているとみなされる。
c) Recognition of an IoT Product in line with the aims of this MoC does not preclude a product also having to comply with other applicable UK law, such as applicable product safety regulations.	c) 本MoCの目的に沿ったIoT製品の相互承認は、当該製品が他の適用される英国法（適用される製品安全規制など）にも準拠する必要性を排除しない。
3. For the avoidance of doubt, this paragraph does not extend to Labels issued to or compliance with Requirements in relation to an IoT Product pursuant to any mutual recognition arrangement with third parties. Where a Participant is discontent with the decision of the other Participant as to the Labelling or fulfilling Requirements of a IoT device, both Participants will endeavour to resolve this discontent through mutual consultations, and may share relevant information for this purpose. If the Participants are not able to resolve this discontent, the Label of the IoT device and the compliance with Requirements concerned will not be capable of being recognised under subparagraph 2 of Paragraph 3.	3. 疑義を避けるため、本項はサードパーティとの相互承認取決めに基づくIoT製品へのラベル発行または要件適合には適用されない。参加者が他参加者のIoT機器のラベル付けまたは要件達成に関する決定に不満がある場合、双方は協議により解決に努め、この目的で関連情報を共有できる。参加者がこの不満を解決できない場合、当該IoTデバイスのラベル及び関連する要件への適合性は、第3項第2号に基づく承認の対象とはならない。
PARAGRAPH 4	第4条
Forms of cooperation	協力の形態
1. The Participants may exchange information regarding the development of applicable standards, cyber security threats and attack methods on IoT devices, Requirements, and other practices concerning IoT cyber security, and share best practices, as appropriate.	1. 参加者は、適用される標準の開発、IoTデバイスに対するサイバー脅威及び攻撃手法、要件、並びにIoTサイバーセキュリティに関するその他の慣行について情報を交換し、適切であればベストプラクティスを共有することができる。
2. The Participants will endeavour to have a consultation at least once annually to provide updates on their IoT Cyber Security Schemes, laws and corresponding Requirements.	2. 参加者は、各自のIoTサイバーセキュリティスキーム、法令及び対応する要件に関する最新情報を提供するため、少なくとも年1回の協議を行うよう努める。
3. Within the context of this MoC, the Participants will endeavour to collaborate on further developments of their Cyber Security Schemes and laws, where appropriate.	3. 本MoCの枠組みにおいて、参加者は、適切と判断される場合、各自のサイバーセキュリティ制度及び法令のさらなる発展に向けた協力を図る。
4. Relevant documents issued for the purpose of information exchange, verification, provision of evidence and other activities arising from this MoC, if not in English, will be accompanied by translated copies in English, where appropriate and needed.	4. 本MoCに基づく情報交換、検証、証拠提供その他の活動のために発行される関連文書は、英語以外の言語で作成される場合、適切かつ必要に応じて英語訳を添付する。
PARAGRAPH 5	第5条
Funding and Resources	資金及び資源
Any collaborative activity carried out under this MoC, will be subject to the availability of funds and resources of each Participant at the material time. Unless otherwise decided in writing by both Participants, each Participant will bear its own costs and expenses for the conduct of all activities and programmes carried out within the framework of this MoC. Costs and expenses borne by METI would be subject to its budgetary appropriations.	本MoCに基づく共同活動は、実施時点における各参加者の資金及び資源の可用性を条件とする。両参加者による書面による別段の合意がない限り、本MoCの枠組み内で実施される全ての活動及びプログラムの費用は、各参加者が自己負担する。経済産業省が負担する費用は、同省の予算配分に準ずる。
PARAGRAPH 6	第6条
Confidentiality	機密保持
1. The Participants will observe the confidentiality and secrecy of documents, information and other data received from the other Participant during the operation of this MoC, to the extent permitted under their national laws and regulations or international obligations.	1. 参加者は、本MoCの運用中に相手方参加者から受領した文書、情報その他のデータの機密性及び秘密を、自国の法令又は国際的義務が許容する範囲内で遵守するものとする。
2. The Participants will take reasonable and lawful measures to ensure that information provided or generated in line with this MoC is protected and used only for the purposes it was provided and will not be disclosed to any third party without prior written consent of the other Participant, to the extent permitted under their national laws and regulations.	2. 参加者は、本MoCに基づきプロバイダまたは生成された情報が防御され、提供された目的のみに使用され、相手方の事前の書面による同意なしにサードパーティに開示されないよう、自国の法令または国際的義務の範囲内で、合理的かつ合法的な措置を講じる。
3. All information provided or generated in line with this MoC will be safeguarded, used, transmitted, stored and handled in accordance with the Participants’ national laws and regulations or international obligations.	3. 本MoCに基づきプロバイダまたは生成された全ての情報は、参加者の国内法令または国際的義務に従い、保護、使用、伝送、保存及び取り扱われる。
4. The items of this paragraph will remain respected notwithstanding the discontinuation of this MoC.	4. 本項の規定は、本MoCの終了後も引き続き遵守される。
PARAGRAPH 7	第7条
Dispute Settlement	紛争解決
1. The Participants will resolve any disputes or differences arising from the interpretation or implementation of this MoC amicably and in good faith through mutual consultations without reference to any national or international tribunal, or third party for settlement.	1. 参加者は、本覚書の解釈または実施に起因する紛争または相違を、いかなる国内または国際裁判所、またはサードパーティの仲裁機関に付託することなく、相互協議を通じて誠実に友好的に解決するものとする。
2. The items of this paragraph will remain respected notwithstanding the discontinuation of this MoC.	2. 本項の規定は、本覚書の終了後も引き続き遵守されるものとする。
PARAGRAPH 8	第8条
Relationship with national law and international law	国内法および国際法との関係
1. Nothing in this MoC creates or is intended to create any legally binding rights and obligations for either Participant under their national law, or international law.	1. 本合意書は、いずれの参加国に対しても、その国内法または国際法に基づく法的拘束力のある権利及び義務を創設するものではない。
2. This MoC is not eligible for registration under Article 102 of the Charter of the United Nations.	2. 本合意書は、国際連合憲章第102条に基づく登録の対象とはならない。
3. This MoC or any actions taken thereto will not affect the rights and obligations of the Participants under any existing international agreements or conventions to which they are party.	3. 本合意書またはこれに基づくいかなる措置も、参加国が当事国である既存の国際協定または条約に基づく権利及び義務に影響を及ぼさない。
PARAGRAPH 9	第9条
Modifications	変更
This MoC may be modified at any time by mutual written consent of the Participants. Such modification will commence on a date as determined by the Participants and will form an integral part of this MoC.	本MoCは、参加者の書面による合意により随時変更できる。変更は参加者が定める日付から効力を生じ、本MoCの不可分の一部を構成する。
PARAGRAPH 10	第10条
Preservation of Authority of a Participant	参加者の権限の維持
1. Nothing in this MoC will be construed to limit the authority of a Participant to determine, through its legislative, regulatory and administrative measures, the level of protection it considers appropriate for the safety of consumers.	1. 本MoCのいかなる規定も、参加者が立法、規制及び行政措置を通じて、消費者の安全のために適切と考える保護水準を決定する権限を制限するものと解釈されない。
2. Nothing in this MoC will be construed to limit the authority of a Participant to take all appropriate and immediate measures whenever it ascertains that an IoT device:	2. 本MoCのいかなる規定も、参加者がIoT機器が以下のいずれかに該当すると確認した場合、直ちに適切な措置を講じる権限を制限するものと解釈されない。
a) compromises the health or safety of persons;	a) 人の健康または安全を損なう場合
b) does not meet its laws and regulations;	b) 当該参加者の法令・規制を満たさない場合
c) compromises national security; or	c) 国家安全保障を脅かす場合
d) otherwise fails to satisfy its Requirements.	d) その他当該参加者の要件を満たさない場合
PARAGRAPH 11	第11条
Final Items	最終事項
1. The Participants will take appropriate measures to fulfil their responsibilities under this MoC.	1. 参加者は、本MoCに基づく責任を履行するため、適切な措置を講じる。
2. This MoC will commence on 01 – 01 - 2026 and will continue for an initial period of three (3) years, and upon discontinuation of the initial period, this MoC will be automatically renewed for successive periods of three (3) years, unless discontinued by either Participant in line with subparagraph 3.	2. 本MoCは2026年1月1日に発効し、当初3年間の期間を継続する。当初期間終了後、本MoCは第3項に従いいずれかの参加者が終了しない限り、自動的に3年ごとの期間で更新される。
3. Either Participant may discontinue this MoC at any time. A Participant that wishes to do so should inform the other Participant of its intention to discontinue this MoC in writing six (6) months in advance of the intended discontinuation date. Upon discontinuation of this MoC, the Participants will consult to determine how any outstanding matters should be dealt with.	3. いずれの参加機関も、本覚書をいつでも終了させることができる。終了を希望する参加機関は、終了予定日の6か月前までに、書面により相手方参加機関に終了の意思を通知しなければならない。本覚書が終了した場合、参加機関は協議の上、未解決事項の処理方法を決定する。
4. Any contractual obligations to third parties and other Joint Declarations of Intent will remain unaffected.	4. サードパーティに対する契約上の義務及びその他の共同意向表明書は、本覚書終了後も影響を受けない。
5. The foregoing represents the recognitions reached between the Participants on the matters referred to in this MoC.	5. 本覚書に記載された事項に関する参加者の合意内容は、上記のとおりである。
SIGNED in duplicate in the United Kingdom on 5/11/2025 in the English language.	本覚書は2025年11月5日、英国において英語で作成され、2通の原本が署名された。

 

 

関連...

● IPA - セキュリティ要件適合評価及びラベリング制度（JC-STAR）

● Legislation.gov.uk - Product Security and Telecommunications Infrastructure Act 2022

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.10.29 経済産業省 グローバル・サイバーセキュリティ・ラベリング・イニシアティブ（GCLI）に関して共同声明 (2025.10.23)

 

日本

・2025.05.30 IPA セキュリティ要件適合評価及びラベリング制度（JC-STAR）適合製品の公開　（2025.05.21）

・2025.05.27 経済産業省 「産業サイバーセキュリティ研究会」が「政策の方向性」と「産業界へのメッセージ」を発出（2025.05.23）

・2025.02.06 Five Eyes + チェコ、日本、韓国、オランダ　エッジ・デバイスの安全に関する報告書...

・2024.10.01 IPA セキュリティ要件適合評価及びラベリング制度（JC-STAR）のページを開設

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

EU

・2024.10.12 欧州理事会 サイバーレジリエンス法を採択 (2024.10.10)

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 （固定時間制認証制度）

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国...

・2025.06.14 米国 大統領令14306 国家のサイバーセキュリティを強化するための厳選された取り組みを維持し、大統領令13694と大統領令14144を改正する (2025.06.06)

・2025.05.16 米国 NIST IR 8259 Rev.1（初期公開ドラフト）IoT製品製造者のための基礎的サイバーセキュリティ活動の5年振りの改訂関係...IR 8572も...（2025.05.13）

・2025.01.10 米国 ホワイトハウス サイバートラストマークを開始...

・2024.12.28 米国 NIST IR 8498 スマートインバーターのサイバーセキュリティ：住宅および小規模商業用ソーラーエネルギーシステムのためのガイドライン(2024.12.20)

・2024.09.14 米国 NIST IR 8425A 一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件 (2024.09.10)

・2024.09.13 米国 FCC IoTのためのサイバーセキュリティ・ラベリングFAQと管理者の申請プロセス (2024.09.10) 

・2024.08.02 米国 FCC IoTのためのサイバーセキュリティ・ラベリング最終規則

・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム（サイバートラストマーク）の規則を採択 (2024.03.14)

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー ：消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー ：消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー（ドラフト）：消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト（Ver.2）を公開していますね。。。

 

英国...

・2025.06.24 英国 ICO 意見募集 消費者向けIoT製品およびサービスに関するガイダンス (2025.06.16)

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ（PSTI）法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ（PSTI）法案 at 2021.11.24

 

中国...

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

国家サイバー統括室 「サイバーインフラ事業者に求められる役割等に関するガイドライン（案）」に関する意見募集

こんにちは、丸山満彦です。

国家サイバー統括室から「サイバーインフラ事業者に求められる役割等に関するガイドライン（案）」に関する意見募集が行われていますね...

 

● 国家サイバー統括室

・2025.10.30 「サイバーインフラ事業者に求められる役割等に関するガイドライン（案）」に関する意見募集について

サイバーインフラ事業者というのをあらたに定義していますね...

---

サイバーインフラ事業者とは、サイバーセキュリティ基本法において、サイバー関連事業者（インターネットその他の高度情報通信ネットワ
ークの整備、情報通信技術の活用又はサイバーセキュリティに関する事業を行う者）等の責務が規定されている事業者のうち、政府機
関等及び重要インフラ事業者を始め広く社会で活用される情報・通信システム、ソフトウェア製品及び ICT サービスを開発し提供する事
業者並びに当該情報・通信システム等のソフトウェアのライフサイクルとサプライチェーンに関わる事業者をいう

---

ちなみに、サイバーセキュリティ基本法におけるサイバー関連事業者の定義...

---

（サイバー関連事業者その他の事業者の責務）

第七条　サイバー関連事業者（インターネットその他の高度情報通信ネットワークの整備、情報通信技術の活用又はサイバーセキュリティに関する事業を行う者をいう。以下同じ。）その他の事業者は、基本理念にのっとり、その事業活動に関し、自主的かつ積極的にサイバーセキュリティの確保に努めるとともに、国又は地方公共団体が実施するサイバーセキュリティに関する施策に協力するよう努めるものとする。

２　情報システム若しくはその一部を構成する電子計算機若しくはプログラム、情報通信ネットワーク又は電磁的記録媒体（以下この項において「情報システム等」という。）の供給者は、サイバーセキュリティに対する脅威により自らが供給した情報システム等に被害が生ずることを防ぐため、情報システム等の利用者がその安全性及び信頼性の確保のために講ずる措置に配慮した設計及び開発、適切な維持管理に必要な情報の継続的な提供その他の情報システム等の利用者がサイバーセキュリティの確保のために講ずる措置を支援する取組を行うよう努めるものとする。

---

 

で、このガイドライン（案）の策定目的は、次のようになっているようです...

---

サイバーインフラ事業者に求められる役割等について整理・解説することにより、これら事業者によるレジリエンスの向上、及びサイバーセキュリティの根本的確保を促進することを目的とするものである。

---

ということは、参考資料ということですかね...それ以上でもない...でも、遵守していないままに事故になったら、「どうして守らなかった？」と言われるのですかね... 裁判でも「政府がガイドラインをつくっているのになぜ守らなかった？」ということになるのでしょうかね...

もし、実質的に強制が働くとなると、ガイドラインの無秩序な乱立はさけたいですよね...例えば、NISTのCSFやJISQ27002等を参考に社内規定を作っている組織は確認が必要となりますよね...おそらく、新しいガイドライン（案）の個別要求の95％以上はできているように思うんですよね...でも、チェックする手間が増える...

最近、ガイドラインのようなものが増えるのを見ていると、

・政府（ときには有識者委員）の勉強？のためにつくっているのではないか？

という気がする場合もありますよね...

米国はCSFをベースに組織の戦略、リスク許容度、リソース等を踏まえて優先順位づけを行いプロファイルをつくるという方法を推奨していますがそういう考え方がよいのだろうと思います。日本は元になるものがないので乱立するのですかね...

このままでは日本のためによくないかもしれませんね...

それぞれのガイドラインはそれぞれ知恵を絞って良いものを作ろうとしているし、良いものができているのだろうと思います。しかし、良いもの故に乱立すると事業者側の負担が増える...

安全保障の問題やランサムウェアによる被害の拡大でサイバーセキュリティ業界が活況になっているのはよいのですが、歴史的な経緯も踏まえた連続的な政策をしていかないと、事業者に皺寄せがいく...そんな感じがします...

今回のガイドライン（案）でいえば、諸外国の関連ガイドライン等を参照しているので、その関連ガイドライン等とのマッピングはつけているのでそれはとても良いと思います。でも、標準的なJISQ 27002とのマッピングがあるとさらに良い思います。

サイバーセキュリティの司令塔として作ったはずの国家サイバー統括室ですので、ガイドライン等の統一感をつくる旗振りをもっとしていってよいと思います。司令塔なので目線を上げていきましょうね...

 

あっ、英語版も作成していて意見対象となっていますね。。。これは非常によいことだと思います。

 

参考の概要資料

・[PDF] 概要資料【日本語】【English】

 

 

意見募集のガイドライン（案）

・[PDF] サイバーインフラ事業者に求められる役割等に関するガイドライン（案）【日本語】【English】

 

 

---

 

目次...

1. 総論
1.1. 背景と目的
1.2. ガイドライン（案）の位置付け
1.3. 適用対象
1.4. 役割分担の考え方
1.5. 代表的なユースケース例

2. サイバーインフラ事業者と顧客の責務と役割分担
2.1. 責務と役割分担の考え方
2.2. 責務

3. 責務を果たすための要求事項
3.1. 要求事項の全体像
3.2. 要求事項
（１） セキュアな設計・開発・供給・運用
（２） ライフサイクル管理、透明性の確保
（３） 残続する脆弱性の速やかな対処
（４） 人材・プロセス・技術の整備
（５） サイバーインフラ事業者・ステークホルダー間の関係強化
（６） 顧客によるリスク管理とセキュアなソフトウェアの調達・運用

4. 要求事項の利活用
4.1. 要求事項の要求パッケージ化
4.2. 役割分担に応じた要求事項の適用に関する注意点

5. 参考情報
5.1. 要求事項チェックリスト
5.2. セキュリティインシデントと要求事項との対応関係例
5.3. システムライフサイクルにおける脅威と要求事項の対応関係
5.4. 要求事項に対する取組例
（１） セキュアな設計・開発・供給・運用
（２） ライフサイクル管理、透明性の確保
（３） 残続する脆弱性の速やかな対処
（４） 人材・プロセス・技術の整備
（５） サイバーインフラ事業者・ステークホルダー間の関係強化
（６） 顧客によるリスク管理とセキュアなソフトウェアの調達・運用
5.5. 統一基準群と本ガイドライン（案）との関係
5.6. 重要インフラのサイバーセキュリティに係る安全基準等策定指針と本ガイドライン（案）との関係
5.7. サイバー対処能力強化法と本ガイドライン（案）との関係
5.8. 参照情報
（１） 参照情報のリスト
（２） 他の標準・ガイドライン等との関係
（３） NIST SP800-218 との対応関係
（４） NSA Software Supply Chain Guidance の 3 文書との対応関係
（５） CISA Secure-by-Design- Shifting the Balance of Cybersecurity Risk との対応関係 .
（６） EU Cyber Resilience Act. ANNEX I/II との対応関係
（７） その他の文書との対応関係
5.9. 用語

6. 本ガイドライン（案）の検討体制

 

 

経済産業省 半導体デバイス工場におけるOTセキュリティガイドライン (2025.10.24)

こんにちは、丸山満彦です。

経済産業省が、半導体デバイス工場におけるOTセキュリティガイドラインを公表しています。

このガイドラインを策定した背景については、

---

汎用的な組立型の工場向けに「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を策定し公表しているが、半導体デバイス工場は一般的にプロセスオートメーション（PA）型に近い特徴を持った工場であり、工場の規模が大きく、汎用OSを用いた製造装置の台数が多い等の特徴があることから、新たに半導体デバイス工場向けに本ガイドラインを策定した。

---

ということのようです。

OTと書いている通り、対象はOTとなっています。

半導体デバイス工場向けのガイドラインをつくりたくなる気持ちはわかるのですが、こんなにパターン分けしてガイドラインをつくっているとガイドラインが氾濫してくることになり、（今回のガイドラインは違いますが......）一つの会社でいくつものガイドラインに合わせていかなくてはならなにくなっていくのではないか？

また、多くのガイドラインのメンテナンスも大変なのではないか？

とか、いろいろと考えないといけない点がありそうですね...

そういう意味では、米国のCSFのプロファイルの考え方は参考になるかもですね...

制度を作る前の制度設計ですかね...

 

● 経済産業省

・半導体デバイス工場におけるOTセキュリティガイドライン

 

・・[PDF] 半導体デバイス工場におけるOTセキュリティガイドラインVer1.0 

・・[PDF] 「半導体デバイス工場におけるOTセキュリティガイドライン」概要資料 

 

英語版もあります...

・・[PDF] OT Security Guidelines for Semiconductor Device Factories

・・[PDF] Summary of "OT Security Guidelines for Semiconductor Device Factories"

 

こちらの関連リンクも参考なります...

 

関連リンク

・産業サイバーセキュリティ研究会 ワーキンググループ1 半導体産業サブワーキンググループ

・サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）とその展開

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.07.05 米国 NIST CSWP 46 半導体サプライチェーンにおける共謀脅威の分析 (2025.06.30)

・2025.07.05 経済産業省 「半導体デバイス工場におけるOTセキュリティガイドライン（案）」(2025.06.27)

・2025.03.11 米国 NIST IR 8546（初期公開ドラフト）サイバーセキュリティフレームワーク2.0 半導体製造プロファイル (2025.02.27)

・2022.02.24 半導体製造業界：SEMI E187 - ファブ装置のサイバーセキュリティに関する仕様 ・ SEMI E188 - マルウェアフリー機器統合のための仕様

 

紹介 クロスセクター・サイバーセキュリティ法 蔦大輔監修 森・濱田松本法律事務所

こんにちは、丸山満彦です。

蔦大輔さんが監修で 森・濱田松本法律事務所外国法共同事業（サイバーセッキュリティ法研究チーム）著で[amazon]「クロスセクター・サイバーセキュリティ法」が商事法務から出版されていますね...

帯はNTTセキュリティCEOの横浜さん。「圧倒されました。基本用語からAIや宇宙など最先端まで、サイバーセキュリティに関わるリーガルイシューすべてを網羅。現場実務に寄り添った法務解説が満載のデジタル社会ではすべての会社に必携の１冊」

クロスセクターというのが、まさにポイントですね...サイバーセキュリティ単独の法律問題というよりも、実務がサイバーとフィジカルな空間で融合して行われてきているということから、サイバー（デジタル）空間での活動量が増えるとことによる変化が各分野でどのようにおこるのか？という視点でまとめられているように思いました...そういう意味では、ここまで網羅的に書籍をまとめるというのは大変な話で、かつ大手の法律事務所だからこそできたという面はあるかもしれません。。。

 

No.00 法律（総論）	サイバーセキュリティに関連する様々な法令
第1部 主要法分野
No.01 会社法	内部統制システムの構築とランサムウェア対応
No.02 ディスクロージャー	金融商品取引法を中心とするサイバーセキュリティ関連の情報開示
No.03 個人情報保護法	個人データ漏えい等対応における諸論点
No.04 営業秘密保護	機密情報の持ち出し・持込への対応
No.05 独禁法・競争法	サイバーセキュリティ向上のための取組に際して独禁法・競争法上留意すべき事項
No.06 労働法	セキュリティ目的でのモニタリングと雇用管理上の諸論点
No.07 システム開発	裁判例からみるシステムベンダとの関係
No.08 弁護士実務（Column）	弁護士実務におけるセキュリティの重要性
No.09 刑事法	サイバーセキュリティに関する犯罪に対する刑事的分析および実務対応
No.10 危機管理	外部からのサイバー攻撃を念頭に置いた危機管理対応
No.11 M&A	デュー・ディリジェンス、契約条項、FDI規制
No.12 経済安全保障①	外為法に基づく輸出管理・投資管理・経済制裁とサイバーセキュリティ
No.13 経済安全保障②	セキュリティ・クリアランス
第2部 各種インフラ
No.14 インフラ防護	能動的サイバー防御を含む重要インフラ・基幹インフラの防護とサプライチェーン・リスク対策
No.15 金融	金融分野におけるサイバーセキュリティ
No.16 保険関連法	サイバー保険に関する諸論点
No.17 エネルギー・インフラ	電気事業におけるサイバーセキュリティ対策
No.18 通信インフラ	電気通信事業者におけるセキュリティ対策と通信の秘密
No.19 データセンタービジネス（Column）	データセンター事業の発達とセキュリティ対策
No.20 医療	医療機関・医療機器のサイバーセキュリティ
No.21 モビリティ	自動車のサイバーセキュリティ保安基準と自動運転に関する諸論点
No.22 空・海のインフラ（Column）	航空・船舶とサイバーセキュリティの諸論点
第3部 応用・複合分野
No.23 クラウド	クラウドサービスのセキュリティに関する法令等と実務対応
No.24 IoT	IoT機器のセキュリティ
No.25 ECサイト	クレジットカード情報の取扱いに係る留意点
No.26 防災	サイバーリスクに備えたBCPの策定
No.27 AI	AI技術の進化と、AIとセキュリティに関する法的課題
No.28 メタバース	メタバースに関する官民の取組とデジタルアイデンティティ
No.29 宇宙（Column）	宇宙事業の拡大とサイバーセキュリティの重要性
No.30 Fintech	資金決済法に関する事業者におけるセキュリティ対策
No.31 DFFT（Column）	国際的なデータ流通の枠組みを日本が主導するために企業に求められる対応
第4部 国際法務
No.32 アジア法務	シンガポール、タイ、ベトナム、インドネシアにおけるサイバーセキュリティ法制
No.33 中国法務	いわゆるデータ三法とサイバーセキュリティ
No.34 EU 法務	EUにおけるサイバーセキュリティ分野の法規制
No.35 アメリカ法務	アメリカにおけるサイバーセキュリティ関連法規制
No.36 イスラエル法務	サイバーセキュリティビジネスのエコシステムとイスラエル法

 

・書籍...

 

みなさん、是非、ご一読を...

ちなみに、アフェリエイトではないです(^^)...

 

 

経済産業省 グローバル・サイバーセキュリティ・ラベリング・イニシアティブ（GCLI）に関して共同声明 (2025.10.23)

こんにちは、丸山満彦です。

経済産業省がシンガポール共和国等の関係国と共に、グローバル・サイバーセキュリティ・ラベリング・イニシアティブ（GCLI）に関する共同声明（以下「本件文書」という。）を、発表していますね...

この共同声明は、IoT製品のサイバーセキュリティ・ラベリング制度推進及び協力の世界的な枠組みの立ち上げを発表するものということですね...

日本はJC-STARというIoT製品のサイバーセキュリティ・ラベリング制度がありますが、これは当初から国際的に連携をすることを想定したいたはずなので、一歩前進ということですね...

共同声明に参加したのは

日本	経済産業省
シンガポール	サイバーセキュリティ庁
オーストラリア	連邦内務省、サイバーセキュリティ
ブルネイ	サイバーセキュリティ・ブルネイ
カナダ	公安庁
フィンランド共和国	交通・通信庁
ドイツ	連邦情報セキュリティ局
ハンガリー	規制監督庁
大韓民国	科学技術情報通信部、インターネット振興院
アラブ首長国連邦	サイバーセキュリティ評議会
イギリス	科学・イノベーション・技術省

の11カ国。

そういえば、U.S. Cyber Trust Markをしている米国がはいっていませんね...

ドイツとフィンランド、ドイツとシンガポールは相互認証をしているので、日本も加わっていけば形になっていきますね。。。

 

・[PDF]

JOINT STATEMENT ON THE GLOBAL CYBERSECURITY LABELLING INITIATIVE	グローバルサイバーセキュリティ認証イニシアチブに関する共同声明
23 October 2025	2025年10月23日
The eleven members of the Global Cybersecurity Labelling Initiative (GCLI) - named participants below - gathered for the inaugural GCLI convening. Members reaffirmed their joint interest to building a more secure and trustworthy digital future.	グローバルサイバーセキュリティ認証イニシアチブ（GCLI）の11の参加機関（下記に列記）は、GCLIの初会合を開催した。参加機関は、より安全で信頼できるデジタル未来を構築するという共通の利益を再確認した。
Our Collective Opportunity	我々の共同の機会
This initiative represents our collective intention to promote a trusted global ecosystem of connected devices, built on harmonised security requirements that protect consumers, support innovation, and strengthen digital resilience across borders. In an era of unprecedented digital connectivity, the security of Internet of Things devices and connected technologies has become fundamental to protecting consumers, businesses, and critical infrastructure globally. The ubiquitous use of connected devices across all sectors of society requires a coordinated international approach.	本イニシアチブは、調和されたセキュリティ要件に基づき、消費者を保護し、イノベーションを支援し、国境を越えたデジタルレジリエンスを強化する、信頼できるグローバルな接続デバイス生態系を促進するという我々の共同の意思を表すものである。前例のないデジタル接続の時代において、IoTデバイス及び接続技術のセキュリティは、世界中の消費者、企業、重要インフラを保護する上で根本的な要素となっている。社会のあらゆる分野における接続デバイスの普及には、国際的な協調的アプローチが必要である。
Through this collaborative effort, we intend to establish a cooperation forum where cybersecurity features become an enabler of the global digital economy. By working together through a multilateral cooperation forum, we can amplify the positive impact of individual national initiatives whilst fostering market incentives for enhanced device security and reducing complexity for manufacturers and consumers.	この共同の取り組みを通じて、サイバーセキュリティ機能がグローバルデジタル経済の推進力となる協力フォーラムの設立を目指す。多国間協力フォーラムを通じた連携により、各国の個別イニシアチブの好影響を増幅させつつ、デバイスセキュリティ強化への市場インセンティブを育み、製造事業者および消費者の負担軽減を図れる。
GLCI highlights the importance of a collective reflection on aligning our approaches to cybersecurity labelling; more specifically on clear, harmonised security requirements that raise baseline cybersecurity hygiene to protect consumers, reduce business costs through streamlined compliance processes, and strengthen resilience of Internet of Things devices against evolving cyber threats while fostering and encouraging innovation and while respecting the national competences and legal frameworks of members.	GLCIは、サイバーセキュリティ表示へのアプローチを調整すること、特に明確で調和されたセキュリティ要件について、集団的な検討の重要性を強調する。これにより、消費者を防御し、コンプライアンスプロセスの合理化を通じて企業のコストを削減し、進化するサイバー脅威に対するIoTデバイスのレジリエンスを強化しつつ、イノベーションを促進・奨励し、加盟国の国家能力と法的枠組みを尊重する基盤となるサイバーセキュリティ衛生基準を引き上げることができる。
Building on Global Momentum	グローバルな勢いを基盤に
The global IoT security landscape demonstrates remarkable momentum, with numerous members actively developing and implementing cybersecurity labelling schemes and/or regulatory frameworks. This widespread commitment to IoT security reflects a shared recognition of its importance and creates a strong foundation for enhanced international cooperation.	世界のIoTセキュリティ環境は目覚ましい勢いを示しており、多くの加盟国がサイバーセキュリティ表示制度や規制枠組みを積極的に開発・実施している。このIoTセキュリティへの広範な取り組みは、その重要性に対する共通認識を反映し、国際協力強化の強力な基盤を築いている。
We recognise an opportunity to harness this collective momentum through a multilateral approach. Whilst bilateral arrangements have provided valuable experience and marked important progress, a multilateral framework offers greater efficiency and scalability to serve the global nature of IoT supply chains and manufacturing.	我々は、多国間アプローチを通じてこの集合的な勢いを活用する機会を認識している。二国間協定は貴重な経験と重要な進展をもたらしたが、多国間枠組みはIoTサプライチェーンと製造のグローバルな性質に対応するため、より高い効率性と拡張性を提供する。
The diversity of approaches currently being developed across jurisdictions presents both opportunities and challenges. By bringing together these varied experiences and expertise, we can consider a common approach on requirements for IoT products that draw upon best practices from different national contexts whilst ensuring manufacturers can navigate cybersecurity compliance more efficiently across multiple markets.	現在各国で開発が進む多様なアプローチは、機会と課題の両方を提示している。これらの多様な経験と専門知識を結集することで、異なる国家状況におけるベストプラクティスを活用しつつ、製造事業者が複数市場でサイバーセキュリティコンプライアンスをより効率的に対応できる、IoT製品要件に関する共通アプローチを検討できる。
Moving Forward	今後の展開
GCLI provides the platform for like-minded members who share our vision of advancing beyond individual national initiatives towards a globally coordinated approach to cybersecurity and IoT device security. Together, we will work to ensure that the benefits of connected technologies can be realised safely and securely by consumers and enterprises globally, supported by a multilateral cooperation forum.	GCLIは、個々の国家イニシアチブを超え、サイバーセキュリティとIoTデバイスセキュリティにおける世界的に調整されたアプローチを推進するという我々のビジョンを共有する志を同じくするメンバーのためのプラットフォームを提供するプロバイダである。多国間協力フォーラムの支援のもと、我々は連携して、接続技術の恩恵が世界中の消費者とエンタープライズによって安全かつ確実に実現されるよう取り組む。
Named Participants	参加機関
• Cyber Security Agency of Singapore, Singapore	• シンガポール・サイバーセキュリティ庁（シンガポール）
• Cyber Security Brunei, Brunei	• ブルネイ・サイバーセキュリティ（ブルネイ）
• Cyber Security Council, United Arab Emirates	• アラブ首長国連邦サイバーセキュリティ評議会（UAE）
• Department for Science, Innovation and Technology, the United Kingdom	• 科学・イノベーション・技術省（英国）
• Department of Home Affairs, Australia	• オーストラリア内務省（オーストラリア）
• Federal Office for Information Security, Germany	• ドイツ連邦情報セキュリティ局
• Finnish Transport and Communications Agency Traficom, Finland	• フィンランド交通・通信庁
• Ministry of Science and ICT and Korea Internet & Security Agency, Republic of Korea	• 大韓民国科学技術情報通信部及びインターネット振興院
• Ministry of Economy, Trade and Industry, Japan	• 日本経済産業省
• Public Safety Canada, Canada	• カナダ公安省
• Supervisory Authority for Regulatory Affairs, Hungary	• ハンガリー規制監督庁

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

 

日本

・2025.05.30 IPA セキュリティ要件適合評価及びラベリング制度（JC-STAR）適合製品の公開　（2025.05.21）

・2025.05.27 経済産業省 「産業サイバーセキュリティ研究会」が「政策の方向性」と「産業界へのメッセージ」を発出（2025.05.23）

・2025.02.06 Five Eyes + チェコ、日本、韓国、オランダ　エッジ・デバイスの安全に関する報告書...

・2024.10.01 IPA セキュリティ要件適合評価及びラベリング制度（JC-STAR）のページを開設

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

EU

・2024.10.12 欧州理事会 サイバーレジリエンス法を採択 (2024.10.10)

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 （固定時間制認証制度）

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国...

・2025.06.14 米国 大統領令14306 国家のサイバーセキュリティを強化するための厳選された取り組みを維持し、大統領令13694と大統領令14144を改正する (2025.06.06)

・2025.05.16 米国 NIST IR 8259 Rev.1（初期公開ドラフト）IoT製品製造者のための基礎的サイバーセキュリティ活動の5年振りの改訂関係...IR 8572も...（2025.05.13）

・2025.01.10 米国 ホワイトハウス サイバートラストマークを開始...

・2024.12.28 米国 NIST IR 8498 スマートインバーターのサイバーセキュリティ：住宅および小規模商業用ソーラーエネルギーシステムのためのガイドライン(2024.12.20)

・2024.09.14 米国 NIST IR 8425A 一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件 (2024.09.10)

・2024.09.13 米国 FCC IoTのためのサイバーセキュリティ・ラベリングFAQと管理者の申請プロセス (2024.09.10) 

・2024.08.02 米国 FCC IoTのためのサイバーセキュリティ・ラベリング最終規則

・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム（サイバートラストマーク）の規則を採択 (2024.03.14)

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー ：消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー ：消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー（ドラフト）：消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト（Ver.2）を公開していますね。。。

 

英国...

・2025.06.24 英国 ICO 意見募集 消費者向けIoT製品およびサービスに関するガイダンス (2025.06.16)

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ（PSTI）法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ（PSTI）法案 at 2021.11.24

 

中国...

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持