よむ、つかう、まなぶ。
サイバーセキュリティ2024(2023年度年次報告・2023年度年次計画) (172 ページ)
出典
| 公開元URL | https://www.nisc.go.jp/council/cs/index.html#cs41 |
| 出典情報 | サイバーセキュリティ戦略本部(第41回 7/10)《内閣官房内閣サイバーセキュリティセンター》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別添2 2023 年度のサイバーセキュリティ関連施策の実施状況及び 2024 年度年次計画
4 横断的施策
(ウ) 総務省
総務省において、情報通信システムに普及したオ <成果・進捗状況>
ープンソースソフトウェアの脆弱性等を狙ったサ ・我が国の通信事業者において導入実績がある、又は、導入が見
イバー攻撃への対策に資するように、ソフトウェ
込まれる通信機器を対象に、手作業とツール活用の両方の方
ア部品の把握や迅速な脆弱性への対応に欠かせな
法によって SBOM を作成し、それを比較・検証することで、我
い SBOM の通信分野への導入に向けた調査を実施す
が国の通信分野において SBOM を導入する上での課題等を整理
る。(再掲)
した。また、当該整理に当たって、欧米をはじめとする諸外国
における SBOM に係る法令・ガイドライン等の整備状況等を調
査するとともに、有識者や通信事業者から構成される有識者
会合を開催した。(再掲)
<2024 年度年次計画>
・引き続き、通信分野における SBOM 導入に向けた課題を整理す
ることとし、特に、脆弱性管理等の観点から、通信分野におけ
る SBOM 導入後の運用も見据えた課題等を整理する。(再掲)
(エ) 経済産業省
経済産業省において、ソフトウェアのセキュリテ <成果・進捗状況>
ィを実効的に確保するための具体的な管理手法等
・当該タスクフォースにおいて、 SBOM 活用に係る脆弱性管理に
を検討するソフトウェアタスクフォースにおい
係わるソフトウェア業界におけるユースケースについて1件
て、SBOM(Software Bill of Materials:ソフトウ
実証を実施した。SBOM 活用を促進するための SBOM 導入手引
ェア部品構成表)活用に係る脆弱性管理について、
ver1.0 を 2023 年7月に公表し、複数講演会等で周知するなど
更なる検討を行いつつ、脆弱性やライセンス等ソ
普及啓発に取り組み、J-Auto-ISAC、ソフトウェア協会、IPA 等
フトウェアのセキュリティに関する重要な情報を
などの各業界団体や独法と普及策等に関して連携し、各業界
管理する SBOM の活用を促進するためのドキュメン
における SBOM 実践、及び中小企業等による無償ツール活用を
トの整備を行い、ガイドライン等の普及・啓発に取
促すための検証を実施した。さらに、SBOM 利用を促進する活
り組む。(再掲)
動として、SBOM 対応範囲に関する対応モデル案の開発、ソフ
トウェア開発契約時に考慮すべき条項等を例示した契約モデ
ル案の開発(合計2件)を実施した。欧米諸国を中心に、「セキ
ュアバイデザイン」という概念が提唱され、ソフトウェアの開
発段階からセキュリティ対策の強化を求める動きが加速。米
国においては、「セキュアバイデザイン・セキュアバイデフォ
ルトに関する文書」を作成し、同年4月に公表(本文書は、2023
年 10 月に改訂され、日本(NISC 及び JPCERT/CC)を含む同盟
国・パートナー国が共同署名。)。国際整合の観点から、本文
書のなかで経産省の SBOM 導入手引 ver1.0 が事例として引用
されるよう調整し、掲載した。(再掲)
<2024 年度年次計画>
・米国においては、「セキュアバイデザイン・セキュアバイデフ
ォルトに関する文書」の中では、米国国立標準技術研究所
(NIST)が策定しているソフトウェア開発者向けの手法をま
とめたフレームワーク(「SSDF(Secure Software Development
Framework」)への適合や、SBOM の作成などが求められている
ことから、SSDF の実装や、SBOM の更なる活用促進等の検討を
進める。また、当該文書の中で述べられているソフトウェア開
発者等に求められる責務や基本的な取組方針に関して整理・
検討する。(再掲)
(オ) 経済産業省
(カ) 経済産業省
経済産業省において、引き続き、IPA と連携してス
タートアップ企業に対し、今後注力すべきセキュ
リティ領域に関する情報発信を行いつつ、マーケ
ットインに向けた市場調査を実施の上、国産の製
品・サービスをユーザ企業、SI ベンダ・ディスト
リビュータにアピールする場を提供し、事業立ち
上げを支援する。(再掲)
<成果・進捗状況>
・国産セキュリティ製品・サービスの育成・産業振興に向けて、
政府として取り組むべき施策をまとめたものを示した。(再
掲)
<2024 年度年次計画>
・政府として取り組むべき施策として示したものを着実に取り
組んでいく。(再掲)
経済産業省及び NEDO において、IoT・ビッグデー <成果・進捗状況>
タ・AI(人工知能)等の進化により実世界とサイバ
・経済安全保障重要技術育成プログラムの「領域横断・サイバー
ー空間が相互連関する社会(サイバーフィジカル
空間領域」において支援対象とする技術に「不正機能検証技術
システム)の実現・高度化に向け、そうした社会を
(ハードウェア)」が定められたことも踏まえて、ハードウェ
支えるハードウェアを中心としたセキュリティ技
アを中心としたセキュリティ技術及びその評価技術の開発等
術及びその評価技術の開発等を行う。
を行う。
<2024 年度年次計画>
・引き続き、ハードウェアを中心としたセキュリティ技術及びそ
の評価技術の開発等を着実に実行する。
別添2 - 90 -
4 横断的施策
(ウ) 総務省
総務省において、情報通信システムに普及したオ <成果・進捗状況>
ープンソースソフトウェアの脆弱性等を狙ったサ ・我が国の通信事業者において導入実績がある、又は、導入が見
イバー攻撃への対策に資するように、ソフトウェ
込まれる通信機器を対象に、手作業とツール活用の両方の方
ア部品の把握や迅速な脆弱性への対応に欠かせな
法によって SBOM を作成し、それを比較・検証することで、我
い SBOM の通信分野への導入に向けた調査を実施す
が国の通信分野において SBOM を導入する上での課題等を整理
る。(再掲)
した。また、当該整理に当たって、欧米をはじめとする諸外国
における SBOM に係る法令・ガイドライン等の整備状況等を調
査するとともに、有識者や通信事業者から構成される有識者
会合を開催した。(再掲)
<2024 年度年次計画>
・引き続き、通信分野における SBOM 導入に向けた課題を整理す
ることとし、特に、脆弱性管理等の観点から、通信分野におけ
る SBOM 導入後の運用も見据えた課題等を整理する。(再掲)
(エ) 経済産業省
経済産業省において、ソフトウェアのセキュリテ <成果・進捗状況>
ィを実効的に確保するための具体的な管理手法等
・当該タスクフォースにおいて、 SBOM 活用に係る脆弱性管理に
を検討するソフトウェアタスクフォースにおい
係わるソフトウェア業界におけるユースケースについて1件
て、SBOM(Software Bill of Materials:ソフトウ
実証を実施した。SBOM 活用を促進するための SBOM 導入手引
ェア部品構成表)活用に係る脆弱性管理について、
ver1.0 を 2023 年7月に公表し、複数講演会等で周知するなど
更なる検討を行いつつ、脆弱性やライセンス等ソ
普及啓発に取り組み、J-Auto-ISAC、ソフトウェア協会、IPA 等
フトウェアのセキュリティに関する重要な情報を
などの各業界団体や独法と普及策等に関して連携し、各業界
管理する SBOM の活用を促進するためのドキュメン
における SBOM 実践、及び中小企業等による無償ツール活用を
トの整備を行い、ガイドライン等の普及・啓発に取
促すための検証を実施した。さらに、SBOM 利用を促進する活
り組む。(再掲)
動として、SBOM 対応範囲に関する対応モデル案の開発、ソフ
トウェア開発契約時に考慮すべき条項等を例示した契約モデ
ル案の開発(合計2件)を実施した。欧米諸国を中心に、「セキ
ュアバイデザイン」という概念が提唱され、ソフトウェアの開
発段階からセキュリティ対策の強化を求める動きが加速。米
国においては、「セキュアバイデザイン・セキュアバイデフォ
ルトに関する文書」を作成し、同年4月に公表(本文書は、2023
年 10 月に改訂され、日本(NISC 及び JPCERT/CC)を含む同盟
国・パートナー国が共同署名。)。国際整合の観点から、本文
書のなかで経産省の SBOM 導入手引 ver1.0 が事例として引用
されるよう調整し、掲載した。(再掲)
<2024 年度年次計画>
・米国においては、「セキュアバイデザイン・セキュアバイデフ
ォルトに関する文書」の中では、米国国立標準技術研究所
(NIST)が策定しているソフトウェア開発者向けの手法をま
とめたフレームワーク(「SSDF(Secure Software Development
Framework」)への適合や、SBOM の作成などが求められている
ことから、SSDF の実装や、SBOM の更なる活用促進等の検討を
進める。また、当該文書の中で述べられているソフトウェア開
発者等に求められる責務や基本的な取組方針に関して整理・
検討する。(再掲)
(オ) 経済産業省
(カ) 経済産業省
経済産業省において、引き続き、IPA と連携してス
タートアップ企業に対し、今後注力すべきセキュ
リティ領域に関する情報発信を行いつつ、マーケ
ットインに向けた市場調査を実施の上、国産の製
品・サービスをユーザ企業、SI ベンダ・ディスト
リビュータにアピールする場を提供し、事業立ち
上げを支援する。(再掲)
<成果・進捗状況>
・国産セキュリティ製品・サービスの育成・産業振興に向けて、
政府として取り組むべき施策をまとめたものを示した。(再
掲)
<2024 年度年次計画>
・政府として取り組むべき施策として示したものを着実に取り
組んでいく。(再掲)
経済産業省及び NEDO において、IoT・ビッグデー <成果・進捗状況>
タ・AI(人工知能)等の進化により実世界とサイバ
・経済安全保障重要技術育成プログラムの「領域横断・サイバー
ー空間が相互連関する社会(サイバーフィジカル
空間領域」において支援対象とする技術に「不正機能検証技術
システム)の実現・高度化に向け、そうした社会を
(ハードウェア)」が定められたことも踏まえて、ハードウェ
支えるハードウェアを中心としたセキュリティ技
アを中心としたセキュリティ技術及びその評価技術の開発等
術及びその評価技術の開発等を行う。
を行う。
<2024 年度年次計画>
・引き続き、ハードウェアを中心としたセキュリティ技術及びそ
の評価技術の開発等を着実に実行する。
別添2 - 90 -