援する取組の強化」が必要である。
具体的には、自動車やロボット等の多様な製品・サービスがネットワークに接続されるよ
うになった現状に鑑み、欧米諸国を中心に議論が加速している「セキュリティバイデザイン・
セキュリティバイデフォルト」、すなわちサイバーセキュリティを製品、サービス等のシステ
ムの企画・設計段階から確保すべきとの考え方を踏まえて、我が国においてもソフトウェア・
IoT 機器等の対策強化に向けた制度整備等を着実に実現していく。また、我が国全体のサイバ
ーセキュリティの底上げを図り、サプライチェーン・リスクの低減を図っていくため、引き
続き中小企業における対策強化に取り組んでいく。
＜コラム④

セキュアバイデザイン・セキュアバイデフォルト原則を踏まえた IoT 機器・ソ

フトウェア製品のサイバーセキュリティ対策促進＞
【背景及び課題】
➢ 欧米諸国を中心に、ソフトウェアや IoT 製品に対するセキュリティ対策強化に向け
た議論が加速している。これらの実効性を担保するためには、SBOM（Software Bill
of Materials（ソフトウェア部品構成表））5の活用促進や、IoT 機器のセキュリテ
ィ要件の適合性を評価する仕組みを構築していくことが必要となる。
➢ IoT 機器を乗っ取ることでボットネットを拡大する攻撃が増加し、攻撃のリスクが
一層高まる中、脆弱性のある IoT 機器及び既にマルウェア感染した IoT 機器への対
処が喫緊の課題となっている。併せて、フロー情報の分析による C&C サーバの検
知・共有の取組も必要となる。
【取組の概要】
① 手法
✓ セキュアバイデザイン・セキュアバイデフォルト原則を踏まえた取組の推進。


ソフトウェア開発者の開発手法に関するガイドラインの作成や SBOM 活用の推
進、安全なソフトウェアの自己適合宣言の仕組みの検討を進める。



IoT セキュリティ適合性評価制度の整備、認証製品と政府調達等の連携や諸外国
の制度との相互承認に向けた調整、交渉を行う。



「NOTICE6」の、調査対象機器の拡大、利用者向け安全管理対策の広報の強化、
IoT 機器メーカ等の連携強化等を進める。



実際の IoT ボットネットへの対処を見据えた C&C サーバの検知・評価・共有・
対処の一連の仕組みの改善・検証に取り組み、フロー情報分析を行う ISP の拡
充等を通じた C&C サーバの観測能力向上を図る。また、対策時に得られる情報
を統合分析し、IoT ボットネットの全体像の可視化につなげる。

② 取組によって期待される成果・効果
✓ SBOM に関する知見の整理やソフトウェアに係る取引モデル等のツールの整備を行
うことで、安心してソフトウェア活用を行うことができる環境が構築され、その結

5

ソフトウェアコンポーネントやそれらの依存関係の情報も含めた機械処理可能な一覧リスト。

6

サイバー攻撃に悪用されるおそれのある IoT 機器を NICT(National Institute of Information and
Communications Technology)で調査し、当該機器の利用者への注意喚起を行う取組。

- 11 -