よむ、つかう、まなぶ。

MC plus(エムシープラス)は、診療報酬・介護報酬改定関連のニュース、

資料、研修などをパッケージした総合メディアです。


サイバーセキュリティ2024(2023年度年次報告・2023年度年次計画) (73 ページ)

公開元URL https://www.nisc.go.jp/council/cs/index.html#cs41
出典情報 サイバーセキュリティ戦略本部(第41回 7/10)《内閣官房内閣サイバーセキュリティセンター》
低解像度画像をダウンロード

資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。

 総務省において、我が国の通信事業者において導入実績がある、又は、導入が見込まれる
通信機器を対象に、手作業とツール活用の両方の方法によって SBOM を作成し、それを比
較・検証することで、我が国の通信分野において SBOM を導入する上での課題等を整理し
た。また、当該整理に当たって、欧米をはじめとする諸外国における SBOM に係る法令・ガ
イドライン等の整備状況等を調査するとともに、有識者や通信事業者から構成される有識
者会合を開催した。
【評価】
 経済産業省において、以上のような取組から、業界団体等を含めて関係組織を拡大するこ
とができている。ソフトウェアセキュリティの観点からサプライチェーン・リスクに対処
するために、今後もソフトウェア協会、J-Auto-ISAC、IPA 等の関係組織等を通じて、SBOM
活用の促進を図っていく。
 米国においては、
「セキュアバイデザイン・セキュアバイデフォルトに関する文書」の中で
は、米国国立標準技術研究所(NIST)が策定しているソフトウェア開発者向けの手法をま
とめたフレームワーク(「SSDF(Secure Software Development Framework)」
)への適合や、
SBOM の作成などが求められていることから、SSDF の実装や、SBOM の更なる活用促等の検
討を進める。本文書の中で述べられているソフトウェア開発者等に求められる責務や基本
的な取組方針に関して整理・検討していく。
 総務省において、我が国の通信事業者において導入実績がある、又は、導入が見込まれる
通信機器を対象に、手作業とツール活用の両方の方法によって SBOM を作成し、それを比
較・検証等することで、我が国の通信分野において SBOM を導入する上での課題等を整理
するとともに、国内外動向調査や有識者会合を実施することで、我が国の通信分野への
SBOM 導入に当たっての留意すべき事項を項目レベルで整理した。2024 年度に、通信分野
における SBOM 導入に当たっての留意事項を取りまとめるため、引き続き SBOM 導入に向け
た課題を整理することとし、特に脆弱性管理等の観点から、通信分野における SBOM 導入
後の運用を見据えた課題等を整理する。
【CS 戦略本部有識者本部員の主な受け止め】


国際文書の署名等も含め、SBOM の重要性の認知度は上がっている。今後は速度感を期待。



SBOM の認知度向上を実現した活動と成果を高く評価する。一方、実際に SBOM を活用す
る企業・セキュリティ技術者はまだ少なく、引き続き普及啓発活動を続けて頂きたい。



SBOM 導入に当たっては、国家間のインターオペラビリィティが重要であり、特に諸外国
が進める施策の時間軸とシンクロさせることにも十分配慮して頂きたい。



SBOM 導入ガイドラインの発行を評価する。グローバル協調、民間連携を更に強化するこ
とを期待する。



サプライチェーン・リスクへの対処のため、更なる開発・普及の努力を続けることが望
ましい。



特に、経済産業省では導入手引きを公表して普及啓発に取り組んだ点、総務省では通信
機器を対象に導入に向けた課題を整理した点を評価する。
別添1

- 3 -