よむ、つかう、まなぶ。
サイバーセキュリティ2024(2023年度年次報告・2023年度年次計画) (103 ページ)
出典
| 公開元URL | https://www.nisc.go.jp/council/cs/index.html#cs41 |
| 出典情報 | サイバーセキュリティ戦略本部(第41回 7/10)《内閣官房内閣サイバーセキュリティセンター》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別添2
(シ) 経済産業省
2023 年度のサイバーセキュリティ関連施策の実施状況及び 2024 年度年次計画
2 国民が安全で安心して暮らせるデジタル社会の実現
経済産業省において、引き続き、JPCERT/CC を通じ
て、ソフトウェア製品や情報システムの開発段階
において、ソフトウェア製品開発者が情報セキュ
リティ上の観点から配慮すべき事項を、刻々と変
化する環境やトレンドを踏まえつつ、解説資料や
セミナーの形で公開し、普及を図るとともに、国内
外から報告される脆弱性情報への対処を促す上で
の情報の提供等を行う。また製品開発者の対応状
況等を見定めつつ、製品開発者の体制や、サプライ
チェーンなどの脆弱性調整に影響する項目につい
て、開発者ミーティングなどの機会を活用しての
啓発等の活動も継続する。(再掲)
<成果・進捗状況>
JPCERT/CC を通じて次のことを実施した。
・我が国のソフトウェア製品開発者に対するミーティングを3
回実施した。ミーティングでは、製品開発者での脆弱性対処へ
の課題やその解決、サプライチェーンや OEM 関係間での脆弱
性対処の課題、SBOM や VEX など海外での脆弱性調整及び情報
流通の検討状況、製品開発者での脅威情報の活用について共
有し、体制の強化を呼び掛けた。
・我が国のソフトウェア製品開発者に脆弱性の国際付番である
CVE(Common Vulnerabilities and Exposures)に対する普及啓
発を呼び掛け、JPCERT/CC を Root とする CNA(CVE Numbering
Authority)を9組織とした。
・米国で提唱されているサプライチェーンでのソフトウェア管
理手法である SBOM の取組について、米国をはじめとした各地
域での情報収集を行い、サイバー・フィジカル・セキュリティ
確保に向けたソフトウェア管理手法等検討タスクフォースに
て共有するとともに、我が国の製品開発者に対して情報の提
供及び普及啓発を実施した。
・製品開発者に対して、脆弱性調整・対処・情報流通への取組や
課題についてヒアリングに基づく調査を行い、製品開発者で
の脆弱性対処へのベストプラクティス文書の策定に当たっ
た。
・脆弱性関連情報の届出受付・公表に係る制度の改善を図るべ
く、脆弱の悪用を示す情報の取扱いの情報セキュリティ早期
警戒パートナーシップ上での取扱いの整理や製品開発者のみ
で情報流通を行うケースの整理、製品開発者での脆弱性対処
へのベストプラクティス文書の検討などを行った。(再掲)
<2024 年度年次計画>
・引き続き、ソフトウェア製品開発者が情報セキュリティ上の観
点から配慮すべき事項の普及を図るとともに、国内外から報
告される脆弱性情報への対処を促す上での情報の提供等を行
う。また製品開発者の体制や、サプライチェーンなどの脆弱性
調整に影響する項目についての啓発等の活動も継続する。
(再
掲)
(ス) 経済産業省
経済産業省において、ソフトウェアのセキュリテ <成果・進捗状況>
ィを実効的に確保するための具体的な管理手法等 ・当該タスクフォースにおいて、 SBOM 活用に係る脆弱性管理に
を検討するソフトウェアタスクフォースにおい
係わるソフトウェア業界におけるユースケースについて1件
て、 SBOM(Software Bill of Materials:ソフト
実証を実施した。SBOM 活用を促進するための SBOM 導入手引
ウェア部品構成表)活用に係る脆弱性管理につい
ver1.0 を 2023 年7月に公表し、複数講演会等で周知するなど
て、更なる検討を行いつつ、脆弱性やライセンス等
普及啓発に取り組み、J-Auto-ISAC、ソフトウェア協会、IPA 等
ソフトウェアのセキュリティに関する重要な情報
などの各業界団体や独法と普及策等に関して連携し、各業界
を管理する SBOM の活用を促進するためのドキュメ
における SBOM 実践、及び中小企業等による無償ツール活用を
ントの整備を行い、ガイドライン等の普及・啓発に
促すための検証を実施した。さらに、SBOM 利用を促進する活
取り組む。(再掲)
動として、SBOM 対応範囲に関する対応モデル案の開発、ソフ
トウェア開発契約時に考慮すべき条項等を例示した契約モデ
ル案の開発(合計2件)を実施した。欧米諸国を中心に、「セキ
ュアバイデザイン」という概念が提唱され、ソフトウェアの開
発段階からセキュリティ対策の強化を求める動きが加速。米
国においては、「セキュアバイデザイン・セキュアバイデフォ
ルトに関する文書」を作成し、同年4月に公表(本文書は、2023
年 10 月に改訂され、日本(NISC 及び JPCERT/CC)を含む同盟
国・パートナー国が共同署名。)。国際整合の観点から、本文
書のなかで経産省の SBOM 導入手引 ver1.0 が事例として引用
されるよう調整し、掲載した。(再掲)
<2024 年度年次計画>
・米国においては、「セキュアバイデザイン・セキュアバイデフ
ォルトに関する文書」の中では、米国国立標準技術研究所
(NIST)が策定しているソフトウェア開発者向けの手法をま
とめたフレームワーク(「SSDF(Secure Software Development
Framework」)への適合や、SBOM の作成などが求められている
ことから、SSDF の実装や、SBOM の更なる活用促進等の検討を
進める。また、当該文書の中で述べられているソフトウェア開
発者等に求められる責務や基本的な取組方針に関して整理・
検討する。(再掲)
別添2 - 21 -
(シ) 経済産業省
2023 年度のサイバーセキュリティ関連施策の実施状況及び 2024 年度年次計画
2 国民が安全で安心して暮らせるデジタル社会の実現
経済産業省において、引き続き、JPCERT/CC を通じ
て、ソフトウェア製品や情報システムの開発段階
において、ソフトウェア製品開発者が情報セキュ
リティ上の観点から配慮すべき事項を、刻々と変
化する環境やトレンドを踏まえつつ、解説資料や
セミナーの形で公開し、普及を図るとともに、国内
外から報告される脆弱性情報への対処を促す上で
の情報の提供等を行う。また製品開発者の対応状
況等を見定めつつ、製品開発者の体制や、サプライ
チェーンなどの脆弱性調整に影響する項目につい
て、開発者ミーティングなどの機会を活用しての
啓発等の活動も継続する。(再掲)
<成果・進捗状況>
JPCERT/CC を通じて次のことを実施した。
・我が国のソフトウェア製品開発者に対するミーティングを3
回実施した。ミーティングでは、製品開発者での脆弱性対処へ
の課題やその解決、サプライチェーンや OEM 関係間での脆弱
性対処の課題、SBOM や VEX など海外での脆弱性調整及び情報
流通の検討状況、製品開発者での脅威情報の活用について共
有し、体制の強化を呼び掛けた。
・我が国のソフトウェア製品開発者に脆弱性の国際付番である
CVE(Common Vulnerabilities and Exposures)に対する普及啓
発を呼び掛け、JPCERT/CC を Root とする CNA(CVE Numbering
Authority)を9組織とした。
・米国で提唱されているサプライチェーンでのソフトウェア管
理手法である SBOM の取組について、米国をはじめとした各地
域での情報収集を行い、サイバー・フィジカル・セキュリティ
確保に向けたソフトウェア管理手法等検討タスクフォースに
て共有するとともに、我が国の製品開発者に対して情報の提
供及び普及啓発を実施した。
・製品開発者に対して、脆弱性調整・対処・情報流通への取組や
課題についてヒアリングに基づく調査を行い、製品開発者で
の脆弱性対処へのベストプラクティス文書の策定に当たっ
た。
・脆弱性関連情報の届出受付・公表に係る制度の改善を図るべ
く、脆弱の悪用を示す情報の取扱いの情報セキュリティ早期
警戒パートナーシップ上での取扱いの整理や製品開発者のみ
で情報流通を行うケースの整理、製品開発者での脆弱性対処
へのベストプラクティス文書の検討などを行った。(再掲)
<2024 年度年次計画>
・引き続き、ソフトウェア製品開発者が情報セキュリティ上の観
点から配慮すべき事項の普及を図るとともに、国内外から報
告される脆弱性情報への対処を促す上での情報の提供等を行
う。また製品開発者の体制や、サプライチェーンなどの脆弱性
調整に影響する項目についての啓発等の活動も継続する。
(再
掲)
(ス) 経済産業省
経済産業省において、ソフトウェアのセキュリテ <成果・進捗状況>
ィを実効的に確保するための具体的な管理手法等 ・当該タスクフォースにおいて、 SBOM 活用に係る脆弱性管理に
を検討するソフトウェアタスクフォースにおい
係わるソフトウェア業界におけるユースケースについて1件
て、 SBOM(Software Bill of Materials:ソフト
実証を実施した。SBOM 活用を促進するための SBOM 導入手引
ウェア部品構成表)活用に係る脆弱性管理につい
ver1.0 を 2023 年7月に公表し、複数講演会等で周知するなど
て、更なる検討を行いつつ、脆弱性やライセンス等
普及啓発に取り組み、J-Auto-ISAC、ソフトウェア協会、IPA 等
ソフトウェアのセキュリティに関する重要な情報
などの各業界団体や独法と普及策等に関して連携し、各業界
を管理する SBOM の活用を促進するためのドキュメ
における SBOM 実践、及び中小企業等による無償ツール活用を
ントの整備を行い、ガイドライン等の普及・啓発に
促すための検証を実施した。さらに、SBOM 利用を促進する活
取り組む。(再掲)
動として、SBOM 対応範囲に関する対応モデル案の開発、ソフ
トウェア開発契約時に考慮すべき条項等を例示した契約モデ
ル案の開発(合計2件)を実施した。欧米諸国を中心に、「セキ
ュアバイデザイン」という概念が提唱され、ソフトウェアの開
発段階からセキュリティ対策の強化を求める動きが加速。米
国においては、「セキュアバイデザイン・セキュアバイデフォ
ルトに関する文書」を作成し、同年4月に公表(本文書は、2023
年 10 月に改訂され、日本(NISC 及び JPCERT/CC)を含む同盟
国・パートナー国が共同署名。)。国際整合の観点から、本文
書のなかで経産省の SBOM 導入手引 ver1.0 が事例として引用
されるよう調整し、掲載した。(再掲)
<2024 年度年次計画>
・米国においては、「セキュアバイデザイン・セキュアバイデフ
ォルトに関する文書」の中では、米国国立標準技術研究所
(NIST)が策定しているソフトウェア開発者向けの手法をま
とめたフレームワーク(「SSDF(Secure Software Development
Framework」)への適合や、SBOM の作成などが求められている
ことから、SSDF の実装や、SBOM の更なる活用促進等の検討を
進める。また、当該文書の中で述べられているソフトウェア開
発者等に求められる責務や基本的な取組方針に関して整理・
検討する。(再掲)
別添2 - 21 -