• Column
  • 実行性が問われる産業サイバーセキュリティ

高度化するサイバー攻撃に対し日本政府は国際連携を意識したセキュリティ水準の底上げを図る

「重要インフラ&産業サイバーセキュリティコンファレンス」より、経済産業省 大臣官房審議官(商務情報政策局担当)奥家 敏和 氏

阿部 欽一
2025年4月14日

CPFSを起点にサプライチェーンなどのセキュリティ対策を推進

 こうしたサイバーセキュリティに対し経産省は、CPSFを起点にNISC(内閣サイバーセキュリティセンター)をはじめ関係省庁と連携しながら、(1)サプライチェーン全体での対策強化、(2)国際連携を意識した認証・評価制度等の立ち上げ、(3)政府全対でのサイバーセキュリティ対応体制の強化、(4)新たな攻撃を防ぎ、守るための研究開発の促進の4分野に取り組んでいる(図3)。

図3:経済産業省におけるサイバーセキュリティ政策の全体像

サプライチェーン全体での対策強化

 日本政府は、サイバー空間とフィジカル空間が融合した社会「Society5.0」を提唱している。そこでは、「データの流通・活用を含み、より柔軟で動的なサプライチェーンの構成が可能になる」(奥家氏)

 だがサイバーセキュリティの観点では、「サイバー攻撃の起点の拡散、フィジカル空間への影響の増大など新たなリスクへの対応が必要になる」(奥家氏)。そこに組織的に対応するために2019年4月に策定されたのがCPSFである。

 CPSFに沿ってドメインごとや特に深掘りすべき論点に関する各種の実践的なガイドラインを整備した。CPSFの特徴の1つは「サイバー空間では、流通している“データ”が信頼のアンカーポイントとして機能しなければならない」(奥家氏)ということだ。そこで2022年4月に「協調的なデータ利活用に向けたデータマネジメント・フレームワーク」を公開するとともに、2024年2月にはユースケースを追加した「ver1.1」を公開した。

 加えて、セキュリティ対策の推進には「経営者のリーダーシップが重要である」(奥家氏)ことから「サイバーセキュリティ経営ガイドライン」を改定し、可視化ツールや実践事例集なども整備した。

 特に中小企業に向けては「中小企業の情報セキュリティ対策ガイドライン」を策定し、中小企業の経営者が認識し実施すべき指針と実践時の手順や手法をまとめた。中小企業のサイバーセキュリティ対策サービスをまとめた「サイバーセキュリティお助け隊サービス」も用意した。全国46事業者がサービスを提供し、2024年9月末時点では約7000件の利用実績があるという。

 産業界自らが情報共有などを進めていくために、サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」が立ち上がっている。特定の課題に取り組むワーキンググループを設置し、具体的な行動を促す。2025年1月時点では173会員が参加する。

 社会インフラ・産業基盤の領域では、情報処理推進機構(IPA)内に「産業サイバーセキュリティセンター(ICSCoE)」が立ち上がっている。制御系セキュリティに精通する講師を招き、技術やマネジメントなどを総合的に学ぶ集中トレーニングなどを実施している。

国際連携を意識した認証・評価制度等の立ち上げ

 各種製品のセキュリティ対策として「セキュア・バイ・デザイン」の概念が重視され、IoT(Internet of Things:モノのインターネット)を含むシステム全体のセキュリティの確保が国際的に議論されている。

 国内ではIoT製品のセキュリティを対象にした適合性評価制度「JC-STAR」の方針が2024年8月に公表された。「2024年度中に最低限の適合基準を設け、今後は政府の調達要件化や国際調和を目指す」(奥家氏)。消費者への周知も進め、適合製品の調達・購入を普及させる方針で「関係機関と話しながらマーケットに定着させるための取り組みを進めている」と。奥家氏は話す。

 ソフトウェアを対象にしたセキュリティ確保の手段としては2023年7月に「SBOM(Software Bill of Materials:ソフトウェア部品構成表)」の導入手引」を公表し、2024年8月には改訂版を発表した。奥家氏は「安全なソフトウェア開発要件については2024年9月21日に開催された第6回日米豪印(クアッド)首脳会合でも議論された。共同声明では官民連携によるヒアリングや、米国の政府調達におけるソフトウェア開発要件の自己適合宣言義務化を踏まえた国際調和の推進が言及された」(奥家氏)

政府全体でのサイバーセキュリティ対応体制の強化

 2014年7月に発足した「IPA サイバーレスキュー隊(J-CRAT)」は、活動をさらに充実させる。合わせてICSCoEは電力・ガス・高圧ガス分野に対して「保安に係るサイバーインシデントに関する事故調査」の体制を整備している。2023年に施行された高圧ガス保安法等の一部を改正する法律に基づき、サイバーセキュリティに関する重大な事態が生じ、または生じた疑いがある場合には、経産大臣がIPAに原因究明調査を要請できる仕組みになっている。

新たな攻撃を防ぎ、守るための研究開発の促進

 サイバーセキュリティに関する産業振興策としては、「先進的サイバー防御機能・分析能力強化のための研究開発」を立ち上げ、経済安全保障に係るサイバーセキュリティの研究グループが始動している。約290億円の予算規模で研究開発を進めていこうとしているという。

 奥家氏は「サイバーセキュリティは非常に大きな課題を抱えている。だが政府としても、しっかり取り組み、日本社会をセキュアな世界にしていくための取り組みを推進していきたい」と主張する。