[４] セキュアバイデザイン・セキュアバイデフォルト原則を踏まえたソフトウェア製品・ IoT機器のサイバーセキュリティ対策強化

5

1. 背景及び課題
➢ 欧米諸国を中心に、ソフトウェアやIoT製品に対するセキュリティ対策強化に向けた議論が加速。これらの実効性を担保する為には、SBOM（Software
Bill of Materials（ソフトウェア部品構成表））の活用促進や、IoT機器のセキュリティ要件の適合性を評価する仕組みの構築が必要。

➢ IoT機器を乗っ取ることでボットネットを拡大する攻撃が増加し、攻撃のリスクが一層高まる中、脆弱性のあるIoT機器及び既にマルウェア感染したIoT機
器への対処が喫緊の課題。併せて、フロー情報の分析によるC&Cサーバの検知・共有の取組も必要。

2. 取組の概要
① 手法
✓ セキュアバイデザイン・セキュアバイデフォルト原則を踏まえた下記の取組の推進。
• ソフトウェア開発者の開発手法に関するガイドラインの作成やSBOM活用の推進、安全なソフトウェアの自己適合宣言の仕組みの検討。
• 「IoT製品に対するセキュリティ適合性評価制度」の整備、認証製品と政府調達等の連携や諸外国の制度との相互承認に向けた調整、交渉。
• 「NOTICE（※）」の、調査対象機器の拡大、利用者向け安全管理対策の広報の強化、IoT機器メーカ等の連携強化等。
• 実際のIoTボットネットへの対処を見据えたC&Cサーバの検知・評価・共有・対処の一連の仕組みの改善・検証に取り組み、フロー情報分析を行う
ISPの拡充等を通じたC&Cサーバの観測能力向上を図る。また、対策時に得られる情報を統合分析し、IoTボットネットの全体像の可視化につなげる。
（※）サイバー攻撃に悪用されるおそれのある IoT 機器を NICTで調査し、当該機器の利用者への注意喚起を行う取組。
② 取組によって期待される成果・効果
✓ SBOMに関する知見の整理やソフトウェアに係る取引モデル等のツールの整備を行うことで、安心してソフトウェア活用を行うことができる環境が構築され、
その結果、あらゆる産業で生産性の向上や新たなサービスの創出といった付加価値の増大が見込まれる。
✓ IoT機器に係る国際的に調和の取れた適合性評価制度が構築されることで、国内での安全な機器の流通という効果に加え、企業が海外にIoT機器
の販路を広げる際に、諸外国の制度への対応のために追加対応に割くコストが抑制されることから、競争力強化にもつながる。
✓ 脆弱性のあるIoT機器を削減（増加抑制）するための活動を継続することで、IoT機器のより安全な利用環境の実現につながる。

3. サイバーセキュリティ戦略本部有識者本部員の主な受け止め
➢ ソフトウェアやIoT機器のセキュリティ対策に関しては欧米諸国を中心に議論が加速しており、実効性担保の取組は重要。
➢ 「セキュアバイデザイン」「セキュアバイデフォルト」概念は、近い将来にはICT業界での基本概念として根付いていく。今後は、より具体的な施策に移していく必
要がある。
➢ 中長期的に取り組むべき重要課題。グローバル協調としても重要。
➢ ソフトウェア・IoTのセキュリティ問題に関しては、開発業者等の連携を更に強化しつつ、継続的な努力が払われるべき。
➢ IoT機器に関する評価制度を構築することは重要。当該制度では、「諸外国との連携を保つこと」と「過度に敷居（難易度）を高く設定しないこと」に留意。
➢ NOTICEに関し、今後より多くの情報を双方向でやり取りし、セキュリティ強化に役立てていくことを期待。