経済産業省の商務情報政策局・サイバーセキュリティ課は4月5日、2017年12月から続く「産業サイバーセキュリティ研究会」の第8回目の報告書をまとめた。
今回の研究会は「サプライチェーン」「ガイドライン」「半導体産業」「中小企業向け支援」などが実効性の強化ポイントに挙がった。
サプライチェーンは、異なる取引先からのさまざまな対策が要求されるため、政府や企業による活用を促して実効性を強化し、対策状況を可視化する仕組みを検討していく。
具体的な事項には、「既存のガイドラインなどを独立行政法人情報処理推進機構(IPA)が一元的に管理・体系化し、企業のセキュリティ対策基準を明確化」「業種横断的なセキュリティ対策レベルを評価(自己評価、第三者認証)」することなどを挙げた。
ガイドラインの実効性の強化は、IoT製品およびソフトウェアの流通に向けた取り組みとなっている。すでに、「IoTセキュリティ適合性評価制度」は検討されており、米欧など諸外国との制度調和を図る議論も継続している。
これらの導入促進に向けては、米国が策定し、日本政府も共同署名した「セキュア・バイ・デザイン」のガイダンスなども踏まえて、ソフトウェア開発者が行うべき取り組みの整理や、安全な自己適合宣言の仕組みなどを検討していく。
「IoTセキュリティ適合性評価制度」においては、ラベルを付与する制度が検討されている。結果を2024年3月にまとめ2024年度中に一部運用を開始する予定だ。
中小企業向けの支援は、サプライチェーン全体での対策強化として対応を図る。
ただ、十分なリソースの確保が困難である課題も存在するため、中小企業などに対しては、適切なセキュリティ対策のあり方を提示して、支援策を一層強化する方針だ。
