第２部

サイバーセキュリティに関する情勢

第１章

経済社会の活力の向上及び持続的発展

企業活動において IT の利用が進んだことに伴い、サイバーセキュリティの脅威が高まってお
り、経済社会に携わる誰もがサイバー攻撃を受ける可能性がある。大企業への直接のサイバー
攻撃だけでなく、その取引先である協力会社を攻撃の踏み台にする例も見られる。直接の攻撃
を受けた組織のみならずサプライチェーン全体にも被害が及び得るため、組織向けのサプライ
チェーン・リスクへの対策は必須であり、特に悪用が懸念される IoT 機器のセキュリティ評価
等の対策も必要である。また、サイバーセキュリティによる被害が個社に加え、サプライチェ
ーン全体に幅広く拡大して被害が甚大なものとなる可能性があることも踏まえれば、企業への
サイバー攻撃が起きた場合には経営層のイニシアティブが不可欠といえる。さらに、人工知能
（AI）のような先端技術によりサイバー攻撃の高度化が懸念される一方、サイバーセキュリテ
ィ対策における AI や量子技術の活用も期待される。
サイバーセキュリティ対策不足の中小企業がサプライチェーンに存在することは大きなリス
クであり、特に中小企業を対象とした民間部門に対するセキュリティ対策の支援サービスや機
能の充実が求められる。実際にランサムウェア被害企業の約半数が中小企業である一方で、中
小企業がセキュリティ対策投資を行わなかった理由として「対策の必要性を感じていない」と
回答する企業の割合は約４割、
「コストがかかり過ぎる」と回答する企業は約２割に及んでいる
7

。このような状況を踏まえ、中規模以上の中小企業のニーズにも応えられるサービスとなるよ

う「サイバーセキュリティお助け隊サービス基準」の改定を行った。
IoT 製品やソフトウェアのセキュリティ確保に向けた取組は我が国においても推進されてき
ている。IoT 製品を製造するベンダ等のセキュリティ対策を支援するガイドラインを関係省庁
から複数発表しているほか、政府機関等が調達し得る IoT 製品を広く対象とし、一定水準のセ
キュリティ要件に対するセキュリティ対策の適合性を評価して、その結果を認証やラベルの付
与等により、調達者や利用者が分かる形で可視化する制度を政府主導で構築する取組が進めら
れている。また、「国立研究開発法人情報通信研究機構法の一部を改正する等の法律」により、
サイバー攻撃に悪用されるおそれのある IoT 機器を調査し、電気通信事業者を通じた利用者へ
の注意喚起を行う「NOTICE」等の取組について時限措置としていたものを定常的な業務として
位置付けるとともに、脆弱性等がある IoT 機器の調査の拡充を行った。さらに、ソフトウェア
部品の構成表である SBOM を導入する上での課題整理や導入促進を実施した。
加えて、生成 AI や量子コンピュータといった先端技術は、多くの分野の業務を効率化する技
術として期待されているが、量子コンピュータによって既存の暗号が解読されるなど、サイバ
ー攻撃等に悪用されるリスクもある。こうした状況に対応するため、
「経済安全保障重要技術育
成プログラム」において、AI によってもたらされる負の影響へ対応するための研究開発を行う
とともに、AI セキュリティに関する知識の体系化を行うことを目指している。量子技術につい
ては、量子コンピュータ時代においても安全な情報通信を可能とする量子暗号通信に関する広
域テストベッドを構築し、産学官連携による研究開発やユースケース開拓のための実証等が行
われている。
7

独立行政法人情報処理推進機構「2021 年度中小企業における情報セキュリティ対策に関する実態調査」
（2022 年
４月）

- 16 -