 中小企業は、自力でのセキュリティへの投資、自力での人材育成が難しい。防御・検知の
強化に対しての無償でのサービス提供をはじめとした、政府が積極的に関与する支援拡大
が必要である。
 それぞれの企業の事情に応じたきめ細かい対応が引き続き行われる必要があるとともに、
省庁の枠を超えた取組とすることにも期待する。
 特に、有識者検討会を開催し、お助け隊サービスの追加サービスの検討や審査基準を改定
した点を評価する。
２

サプライチェーン・リスクを踏まえたソフトウェアセキュリティの高度化に関する取組
【背景及び取組概要】
 サイバー空間とフィジカル空間が密接に関係していく世界にあって、サイバー攻撃のリス
クも増大する中、これに対応するための考え方を整理したフレームワークを整備している
ところであり、この社会実装を進めることでセキュリティ対策のレベルを向上させること
が必要である。
 特に、ソフトウェアを構成する部品情報を管理し、脆弱性管理等に活用可能な SBOM
（Software Bill of Materials）導入の重要性に対する認識が米国を中心に広まっている
ことから、こうした動きに対応しつつ、SBOM が有するメリットを生かしていくための仕組
み作りや様々な分野への普及が重要である。
 通信システムのソフトウェアでの OSS の普及拡大に伴って多発するサイバー攻撃への対処
のため、通信分野における SBOM 導入が急務である。
【昨年度までの実績】
 経済産業省において、ソフトウェアのセキュリティを実効的に確保するための具体的な管
理手法等を検討するタスクフォースにおいて、SBOM 活用に係る脆弱性管理に関わるソフト
ウェア業界におけるユースケースについて１件、実証を実施した。
 また、SBOM 活用を促進するための SBOM 導入手引 ver1.0 を 2023 年７月に公表し、複数講
演会等で周知するなど普及啓発に取り組み、J-Auto-ISAC、ソフトウェア協会、IPA 等など
の各業界団体や独法と普及策等に関して連携し、各業界における SBOM 実践及び中小企業
等による無償ツール活用を促すための検証を実施した。
 さらに、SBOM 利用を促進する活動として、SBOM 対応範囲に関する対応モデル案の開発、
ソフトウェア開発契約時に考慮すべき等条項等を例示した契約モデル案の開発(合計２
件)を実施した。
 加えて、欧米諸国を中心に、
「セキュアバイデザイン」という概念が提唱され、ソフトウェ
アの開発段階からセキュリティ対策の強化を求める動きが加速した。米国においては、
「セ
キュアバイデザイン・セキュアバイデフォルトに関する文書」を作成し、同年４月に公表
（本文書は、今年 10 月に改訂され、日本（NISC 及び JPCERT/CC）を含む同盟国・パートナ
ー国が共同署名。）。国際整合の観点から、本文書のなかで経済産業省の SBOM 導入手引
ver1.0 が事例として引用されるよう調整し、掲載した。
別添１

- 2 -