よむ、つかう、まなぶ。
資料1 サイバーセキュリティ2024(2023年度年次報告・2023年度年次計画)(案)について (126 ページ)
出典
| 公開元URL | https://www.nisc.go.jp/council/cs/index.html#cs41 |
| 出典情報 | サイバーセキュリティ戦略本部(第41回 7/10)《内閣官房内閣サイバーセキュリティセンター》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別添2 2023 年度のサイバーセキュリティ関連施策の実施状況及び 2024 年度年次計画
2 国民が安全で安心して暮らせるデジタル社会の実現
・国は、常にサイバー空間に登場する新たな技術やサービスを把握し、これらによるサイバー空間の各主体への相互影響度やその深刻
度の分析を行い、それぞれの主体においてサイバーセキュリティへの確保に責任ある対応を果たせるような環境づくりを行う。
・国は、信頼性が高く、オープンかつ使いやすい高品質クラウドの整備を推進するとともに、政府機関や重要インフラ事業者等の利用
者がクラウドサービスを用いた情報システムの設計及び開発の過程において考慮すべきサイバーセキュリティのルールを、当該利用
者やクラウドサービス事業者、システム受託事業者等の関係者と連携しながら策定する。
・国は、政府情報システムのためのセキュリティ評価制度(ISMAP)等の取組を活用したクラウドサービスの安全性の可視化の取組を
政府機関等から民間にも広く展開し、一定のセキュリティが確保されたクラウドサービスの利用拡大を促進する。クラウドサービス
は外国企業により提供されているものも多いことから、グローバルな連携も進める。
項番 担当府省庁
(ア) 経済産業省
2023 年度
年次計画
2023 年度
取組の成果、進捗状況及び 2024 年度
年次計画
経済産業省において、ソフトウェアのセキュリテ <成果・進捗状況>
ィを実効的に確保するための具体的な管理手法等
・当該タスクフォースにおいて、 SBOM 活用に係る脆弱性管理に
を検討するソフトウェアタスクフォースにおい
係わるソフトウェア業界におけるユースケースについて1件
て、SBOM(Software Bill of Materials:ソフトウ
実証を実施した。SBOM 活用を促進するための SBOM 導入手引
ェア部品構成表)活用に係る脆弱性管理について、
ver1.0 を 2023 年7月に公表し、複数講演会等で周知するなど
更なる検討を行いつつ、脆弱性やライセンス等ソ
普及啓発に取り組み、J-Auto-ISAC、ソフトウェア協会、IPA 等
フトウェアのセキュリティに関する重要な情報を
などの各業界団体や独法と普及策等に関して連携し、各業界
管理する SBOM の活用を促進するためのドキュメン
における SBOM 実践、及び中小企業等による無償ツール活用を
トの整備を行い、ガイドライン等の普及・啓発に取
促すための検証を実施した。さらに、SBOM 利用を促進する活
り組む。(再掲)
動として、SBOM 対応範囲に関する対応モデル案の開発、ソフ
トウェア開発契約時に考慮すべき条項等を例示した契約モデ
ル案の開発(合計2件)を実施した。欧米諸国を中心に、「セキ
ュアバイデザイン」という概念が提唱され、ソフトウェアの開
発段階からセキュリティ対策の強化を求める動きが加速。米
国においては、「セキュアバイデザイン・セキュアバイデフォ
ルトに関する文書」を作成し、同年4月に公表(本文書は、2023
年 10 月に改訂され、日本(NISC 及び JPCERT/CC)を含む同盟
国・パートナー国が共同署名。)。国際整合の観点から、本文
書のなかで経産省の SBOM 導入手引 ver1.0 が事例として引用
されるよう調整し、掲載した。(再掲)
<2024 年度年次計画>
・米国においては、「セキュアバイデザイン・セキュアバイデフ
ォルトに関する文書」の中では、米国国立標準技術研究所
(NIST)が策定しているソフトウェア開発者向けの手法をま
とめたフレームワーク(「SSDF(Secure Software Development
Framework」)への適合や、SBOM の作成などが求められている
ことから、SSDF の実装や、SBOM の更なる活用促進等の検討を
進める。また、当該文書の中で述べられているソフトウェア開
発者等に求められる責務や基本的な取組方針に関して整理・
検討する。(再掲)
(イ) 経済産業省
経済産業省において、引き続き、信頼性が高く、オ <成果・進捗状況>
ープンかつ使いやすい高品質クラウドの整備を推
・2023 年6月に、経済安全保障重要技術育成プログラムにおい
進するとともに、それに必要となる新たな技術開
て、ハイブリッドクラウド利用基盤技術の開発に関する研究
発を推進する。具体的には、ハイブリッドクラウド
開発に着手した。
利用基盤技術の開発に取り組む。
<2024 年度年次計画>
・引き続き、高品質クラウドの整備を推進するとともに、技術開
発を推進する。具体的には、ハイブリッドクラウド利用基盤技
術の開発の取組を進めていく。
(ウ) 内閣官房
デジタル庁
総務省
経済産業省
政府情報システムのためのセキュリティ評価制度 <成果・進捗状況>
(ISMAP)については、内閣官房、デジタル庁、総 ・当該リストへの登録サービス数を拡大(2023 年3月末:32 社
務省及び経済産業省において、統一的なセキュリ
43 サービス→2024 年3月末:44 社 64 サービス)することに
ティ要求基準に基づき安全性の評価がされたクラ
より、政府機関等における更なる ISMAP 利用を促進。
ウドサービスを「ISMAP クラウドサービスリスト」
また、ISMAP 制度の合理化・明確化のため「ISMAP 制度改善の
へ登録し、政府機関等における ISMAP の利用を促
取組み」を進め、2023 年 10 月に ISMAP 関係規程を改正し、外
すとともに、運用状況を踏まえ、制度運用の合理化
部監査の負担軽減や審査の迅速化・明確化のための改善を行
に向けた検討を行う。(再掲)
った。(再掲)
<2024 年度年次計画>
・引き続き、ISMAP については、統一的なセキュリティ要求基準
に基づき安全性の評価がされたクラウドサービス当該リスト
へ登録し、政府機関等における利用を促すとともに、制度運用
の合理化のうち残された課題等について、検討を行う。
(再掲)
別添2 - 28 -
2 国民が安全で安心して暮らせるデジタル社会の実現
・国は、常にサイバー空間に登場する新たな技術やサービスを把握し、これらによるサイバー空間の各主体への相互影響度やその深刻
度の分析を行い、それぞれの主体においてサイバーセキュリティへの確保に責任ある対応を果たせるような環境づくりを行う。
・国は、信頼性が高く、オープンかつ使いやすい高品質クラウドの整備を推進するとともに、政府機関や重要インフラ事業者等の利用
者がクラウドサービスを用いた情報システムの設計及び開発の過程において考慮すべきサイバーセキュリティのルールを、当該利用
者やクラウドサービス事業者、システム受託事業者等の関係者と連携しながら策定する。
・国は、政府情報システムのためのセキュリティ評価制度(ISMAP)等の取組を活用したクラウドサービスの安全性の可視化の取組を
政府機関等から民間にも広く展開し、一定のセキュリティが確保されたクラウドサービスの利用拡大を促進する。クラウドサービス
は外国企業により提供されているものも多いことから、グローバルな連携も進める。
項番 担当府省庁
(ア) 経済産業省
2023 年度
年次計画
2023 年度
取組の成果、進捗状況及び 2024 年度
年次計画
経済産業省において、ソフトウェアのセキュリテ <成果・進捗状況>
ィを実効的に確保するための具体的な管理手法等
・当該タスクフォースにおいて、 SBOM 活用に係る脆弱性管理に
を検討するソフトウェアタスクフォースにおい
係わるソフトウェア業界におけるユースケースについて1件
て、SBOM(Software Bill of Materials:ソフトウ
実証を実施した。SBOM 活用を促進するための SBOM 導入手引
ェア部品構成表)活用に係る脆弱性管理について、
ver1.0 を 2023 年7月に公表し、複数講演会等で周知するなど
更なる検討を行いつつ、脆弱性やライセンス等ソ
普及啓発に取り組み、J-Auto-ISAC、ソフトウェア協会、IPA 等
フトウェアのセキュリティに関する重要な情報を
などの各業界団体や独法と普及策等に関して連携し、各業界
管理する SBOM の活用を促進するためのドキュメン
における SBOM 実践、及び中小企業等による無償ツール活用を
トの整備を行い、ガイドライン等の普及・啓発に取
促すための検証を実施した。さらに、SBOM 利用を促進する活
り組む。(再掲)
動として、SBOM 対応範囲に関する対応モデル案の開発、ソフ
トウェア開発契約時に考慮すべき条項等を例示した契約モデ
ル案の開発(合計2件)を実施した。欧米諸国を中心に、「セキ
ュアバイデザイン」という概念が提唱され、ソフトウェアの開
発段階からセキュリティ対策の強化を求める動きが加速。米
国においては、「セキュアバイデザイン・セキュアバイデフォ
ルトに関する文書」を作成し、同年4月に公表(本文書は、2023
年 10 月に改訂され、日本(NISC 及び JPCERT/CC)を含む同盟
国・パートナー国が共同署名。)。国際整合の観点から、本文
書のなかで経産省の SBOM 導入手引 ver1.0 が事例として引用
されるよう調整し、掲載した。(再掲)
<2024 年度年次計画>
・米国においては、「セキュアバイデザイン・セキュアバイデフ
ォルトに関する文書」の中では、米国国立標準技術研究所
(NIST)が策定しているソフトウェア開発者向けの手法をま
とめたフレームワーク(「SSDF(Secure Software Development
Framework」)への適合や、SBOM の作成などが求められている
ことから、SSDF の実装や、SBOM の更なる活用促進等の検討を
進める。また、当該文書の中で述べられているソフトウェア開
発者等に求められる責務や基本的な取組方針に関して整理・
検討する。(再掲)
(イ) 経済産業省
経済産業省において、引き続き、信頼性が高く、オ <成果・進捗状況>
ープンかつ使いやすい高品質クラウドの整備を推
・2023 年6月に、経済安全保障重要技術育成プログラムにおい
進するとともに、それに必要となる新たな技術開
て、ハイブリッドクラウド利用基盤技術の開発に関する研究
発を推進する。具体的には、ハイブリッドクラウド
開発に着手した。
利用基盤技術の開発に取り組む。
<2024 年度年次計画>
・引き続き、高品質クラウドの整備を推進するとともに、技術開
発を推進する。具体的には、ハイブリッドクラウド利用基盤技
術の開発の取組を進めていく。
(ウ) 内閣官房
デジタル庁
総務省
経済産業省
政府情報システムのためのセキュリティ評価制度 <成果・進捗状況>
(ISMAP)については、内閣官房、デジタル庁、総 ・当該リストへの登録サービス数を拡大(2023 年3月末:32 社
務省及び経済産業省において、統一的なセキュリ
43 サービス→2024 年3月末:44 社 64 サービス)することに
ティ要求基準に基づき安全性の評価がされたクラ
より、政府機関等における更なる ISMAP 利用を促進。
ウドサービスを「ISMAP クラウドサービスリスト」
また、ISMAP 制度の合理化・明確化のため「ISMAP 制度改善の
へ登録し、政府機関等における ISMAP の利用を促
取組み」を進め、2023 年 10 月に ISMAP 関係規程を改正し、外
すとともに、運用状況を踏まえ、制度運用の合理化
部監査の負担軽減や審査の迅速化・明確化のための改善を行
に向けた検討を行う。(再掲)
った。(再掲)
<2024 年度年次計画>
・引き続き、ISMAP については、統一的なセキュリティ要求基準
に基づき安全性の評価がされたクラウドサービス当該リスト
へ登録し、政府機関等における利用を促すとともに、制度運用
の合理化のうち残された課題等について、検討を行う。
(再掲)
別添2 - 28 -