経済産業省と内閣サイバーセキュリティセンター（NISC）は、ソフトウエアの脆弱性を悪用するサイバー攻撃の脅威に備え、ソフトの開発や供給などを手掛ける「サイバーインフラ事業者」に求められる責務を示すガイドライン（指針）を作成する。3月末までに指針案をまとめ、2025年度中に策定することを目指す。サイバーインフラ事業者に自社が提供するソフトの安全性や信頼性が問われる時代に突入する中、指針を通じて事業者のセキュリティー対策の強化を促したい考えだ。

　今回の指針で主な対象とするサイバーインフラ事業者は、ソフトに関わるサイバーインフラを提供する担い手。同事業者には、情報通信システムのほか、ОT（制御）機器やIоT（モノのインターネット）機器に組み込まれるファームウエアなども含める。加えて、ソフトを利用する顧客も対象と位置付ける方向で検討している。

　経産省とNISCは、サイバーインフラ事業者の役割などを明確化するため、昨年9月に産学の有識者からなる検討会を立ち上げ、議論を重ねてきた。今後は検討内容をベースに、同事業者に求められる責務とそれを果たすための要求事項を整理した指針案を作成。その案を来年度にパブリックコメント（意見公募）にかけ、成案化する予定だ。

6つの責務でセキュリティー確保

　具体的には、サイバーインフラ事業者に対して、「セキュリティーの品質を確保したソフトの開発・供給・運用」「ソフトサプライチェーンの管理」「ソフトに残存する脆弱性への速やかな対処」「ソフトに関するガバナンスの整備」「サイバーインフラ事業者やステークホルダー間の情報連携や協力関係の強化」という責務を果たすよう要求。顧客に対しては、顧客経営層のリーダーシップでリスク管理とソフトの調達・運用を行うよう求める。

　要求事項も6項目に整理する。一つが、脆弱性を抑えてセキュリティーを備えたソフトを開発・供給・提供するという項目だ。加えて、ソフト管理の透明性をライフサイクル全体で確保しサプライチェーンを含むリスク管理を行うとともに、組織レベルでソフトに関わる人材・プロセス・技術を整備することなども盛り込む。また、こうした指針の活用を促すため、事業者がその内容に適合していると自己宣言する仕組みについても検討。政府機関や重要インフラ事業者が調達する際に指針を参照するといった普及策を推進することも視野に入れている。

世界各国で高まる脆弱性対策の機運

　経産省とNISCが連携する背景には、ソフトの全工程に関わるモノや人のつながりを表すソフトサプライチェーンの弱点を突くサイバー攻撃の脅威の高まりがある。20年には、米ソフト会社のネットワーク監視ソフトにバッグドア（不正な侵入口）が仕込まれ、同ソフトを利用する米国の政府や主要企業が影響を受けた。21年には、広く使われているプログラム言語のオープンソースのログ出力ライブラリー「Apache Log4j（アパッチログフォージェイ）」で脆弱性が発覚し、世界中の多くの企業を震撼させた。

　こうした中、欧米を中心にソフトサプライチェーンの脆弱性対策に関わる制度などの環境整備が進展。設計段階から安全性を考慮してシステム開発するという考え方「セキュア・バイ・デザイン」に注目が集まっているほか、ソフトを構成する部品を一覧化した「SBOM（エスボム）」を導入する動きも広がっている。23年に開かれた日米豪印の政府首脳が集う会合では、ソフトセキュリティーに関する共同原則にSBOMの活用が明記された。

　日本でも、経産省が各国の動向を踏まえてSBOM導入の手引き書を策定するなど、脆弱性対策が動き出している。2月には、政府が「サイバー対処能力強化法案」（新法）と「サイバー対処能力強化法整備法案」（整備法）を閣議決定。整備法に含まれる「サイバーセキュリティ基本法」の改正案に、情報システムなどの供給者に求める責務が盛り込まれた。3月5日には、経産省が「サイバーセキュリティ産業振興戦略」を打ち出した。有望な製品やサービスが続々と創出されるよう政策を総動員し、10年以内に国内セキュリティー企業の売上高を足元の約0.9兆円から約3兆円超に増やすことを目指す。

　一連の環境の整備に伴い、サイバーインフラ事業者がセキュリティーの確保で果たす役割が一段と増しそうだ。経産省商務情報政策局の担当者は「ガイドラインを成案化し普及させることで、ソフトウエアサプライチェーンのサイバーセキュリティー対策を強化していきたい」と強調している。