別添２ 2023 年度のサイバーセキュリティ関連施策の実施状況及び 2024 年度年次計画
2 国民が安全で安心して暮らせるデジタル社会の実現

(ク) 経済産業省

経済産業省において、引き続き、JPCERT/CC を通じ
て、ソフトウェア製品や情報システムの開発段階
において、ソフトウェア製品開発者が情報セキュ
リティ上の観点から配慮すべき事項を、刻々と変
化する環境やトレンドを踏まえつつ、解説資料や
セミナーの形で公開し、普及を図るとともに、国内
外から報告される脆弱性情報への対処を促す上で
の情報の提供等を行う。また製品開発者の対応状
況等を見定めつつ、製品開発者の体制や、サプライ
チェーンなどの脆弱性調整に影響する項目につい
て、開発者ミーティングなどの機会を活用しての
啓発等の活動も継続する。

＜成果・進捗状況＞
JPCERT/CC を通じて、次のことを実施した。
・我が国のソフトウェア製品開発者に対するミーティングを３
回実施した。ミーティングでは、製品開発者での脆弱性対処へ
の課題やその解決、サプライチェーンや OEM 関係間での脆弱
性対処の課題、SBOM や VEX など海外での脆弱性調整及び情報
流通の検討状況、製品開発者での脅威情報の活用について共
有し、体制の強化を呼び掛けた。
・我が国のソフトウェア製品開発者に脆弱性の国際付番である
CVE(Common Vulnerabilities and Exposures)に対する普及啓
発を呼び掛け、JPCERT/CC を Root とする CNA(CVE Numbering
Authority)を９組織とした。
・米国で提唱されているサプライチェーンでのソフトウェア管
理手法である SBOM の取組について、米国をはじめとした各地
域での情報収集を行い、サイバー・フィジカル・セキュリティ
確保に向けたソフトウェア管理手法等検討タスクフォースに
て共有するとともに、我が国の製品開発者に対して情報の提
供及び普及啓発を実施した。
・製品開発者に対して、脆弱性調整・対処・情報流通への取組や
課題についてヒアリングに基づく調査を行い、製品開発者で
の脆弱性対処へのベストプラクティス文書の策定に当たっ
た。
・脆弱性関連情報の届出受付・公表に係る制度の改善を図るべ
く、脆弱の悪用を示す情報の取扱いの情報セキュリティ早期
警戒パートナーシップ上での取扱いの整理や製品開発者のみ
で情報流通を行うケースの整理、製品開発者での脆弱性対処
へのベストプラクティス文書の検討などを行った。
＜2024 年度年次計画＞
・引き続き、ソフトウェア製品開発者が情報セキュリティ上の観
点から配慮すべき事項の普及を図るとともに、国内外から報
告される脆弱性情報への対処を促す上での情報の提供等を行
う。また製品開発者の体制や、サプライチェーンなどの脆弱性
調整に影響する項目についての啓発等の活動も継続する。

別添２ - 16 -