経済産業省のサイバーセキュリティ政策──情報セキュリティ白書2025の概要（第23回）

はじめに

産業界のデジタル化が急速に進む中、日本企業はサプライチェーンに対する攻撃やソフトウェアの脆弱性など多層的なリスクに直面しています。情報処理推進機構の「情報セキュリティ10大脅威2024」では、ランサムウェアと並んでサプライチェーン攻撃が組織向け脅威の上位に挙げられました。経済産業省（METI）はこうした状況を踏まえ、サプライチェーン全体での対策強化、国際標準と整合した認証・評価制度の整備、工場システムやIoT製品の安全性確保、人材育成など多面的な施策を展開しています。本稿では、これらの政策の現状と具体的な取り組みを紹介し、企業がどのように対応すべきかを考察します。

サプライチェーン強化に向けたセキュリティ対策評価制度

制度設計の目的と背景

近年、海外の取引先や下請け企業を狙ったサプライチェーン攻撃が頻発し、攻撃者が取引先の弱い部分を踏み台にして本体企業へ侵入するケースが増えています。発注企業は取引先のセキュリティ状況を可視化できず、委託先はそれぞれ異なるセキュリティ要求に過度な負担を感じているとの課題が指摘されました。これを受け、METIは国家サイバー統括室（NCO）とともに「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築方針案を公表しました。同制度では、企業のサプライチェーン上の立ち位置や想定リスクに応じて必要な対策の水準を示し、適合段階（★3～★5）のマークを取得する仕組みを検討しています。制度は競争を目的とする格付けではなく、発注企業が契約に際して望ましいセキュリティ水準を提示し、受注側はその水準に沿って対策状況を示すことで、サプライチェーン全体の底上げを狙います。中小企業も含む全てのサプライチェーン企業が対象となり、特にリソースが限られる中小企業にとって活用効果が大きいとされています。

評価制度の仕組み

制度の目的は、企業がどの程度の対策を行うべきかを明確にし、発注企業が取引先に求める対策の内容と水準を統一することにあります。制度では共通のセキュリティ要求事項と評価基準を設定し、評価レベルに応じたラベルを発行します。発注側は適切なレベルを提示し、受注側はそのレベルに必要な対策を実施し、評価を受けることで、サプライチェーン全体のレジリエンス向上が期待されます。評価結果は登録制度により可視化され、サイバー攻撃に備える企業への適切な評価やセキュリティ製品・サービス市場の拡大にもつながるとされています。

SBOM導入ガイド ver2.0

SBOMの重要性

ソフトウェアが産業機器やサービスの付加価値を支える中、部品構成を把握しないまま利用すると、脆弱性が埋め込まれたまま流通する危険があります。米国CISAなどが提唱するセキュア・バイ・デザインの概念では、ソフトウェア製造者が製品ごとにSBOM（Software Bill of Materials）を作成・管理し、利用者がSBOMを活用できるようにすることが奨励されています。METIは2023年にSBOM導入手引ver1.0を発表し、2024年の意見公募を経てver2.0を策定しました。改訂版では、SBOMを用いた脆弱性管理プロセス、SBOM導入の費用対効果を検討するフレームワーク、委託先との契約時に規定すべき事項などが追加されています。

改訂版のポイント

SBOMを活用した脆弱性管理プロセスでは、ソフトウェアの部品表を作成し、既知の脆弱性情報と照合して影響範囲を特定する手順を具体化しています。また、導入効果とコストを勘案し導入範囲を検討する「SBOM対応モデル」を提示し、企業規模や製品特性に応じて適切な導入水準を判断できるようにしました。委託先との契約に関するモデルでは、SBOMの要求事項や責任分担、コスト負担、権利関係などを明示し、サプライチェーン全体でSBOMを流通させるための雛形を提供しています。SBOMの普及は、サプライチェーン全体の透明性向上と脆弱性管理の迅速化に寄与すると期待されています。

Attack Surface Management（ASM）導入ガイダンス

ASMとは何か

クラウド利用の拡大やテレワークの普及により、企業が保有するIT資産は分散し、管理者の把握しきれないサーバや機器が増えています。その結果、攻撃者にとって侵入口となる「アタックサーフェス」が広がっています。METIは2023年5月、「ASM（Attack Surface Management）導入ガイダンス」を公表し、外部（インターネット）から把握できる情報を用いてIT資産を特定・管理する手法を紹介しました。ガイダンスでは、ASMを組織のセキュリティ戦略に組み込み、継続的に実施することで、未把握の機器や設定ミスなどを攻撃者視点から発見し、脆弱性管理のリスク低減につながると説明しています。

ガイダンスの主な内容

ASMは、(1)攻撃面の発見、(2)攻撃面の情報収集、(3)リスク評価と対応という三つのプロセスから構成されます。ガイドでは、外部公開されているIPアドレスやドメイン名をリストアップし、WHOIS情報などから関連資産を発見する方法、オペレーティングシステムやソフトウェアのバージョン、開いているポート番号などを外部から収集し、既知の脆弱性情報と突合する手法が示されています。こうした情報をもとにリスク評価を行い、パッチ適用や設定変更などの対応策を検討します。ガイドでは、ASMは資産管理を補完するものであり、外部情報の不確実性や誤検出に注意する必要があると指摘しています。

工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン

産業制御システム（ICS/OT）は従来、工場内の閉域網で運用されていましたが、IoTや自動化の進展に伴い生産ラインや機器がインターネットに接続される機会が増え、新たなリスクが生じています。工場DXの推進によりクラウドやサプライチェーンにつながった製造現場のセキュリティ確保が重要となり、経済産業省は「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」Ver1.0を策定しました。

ガイドラインでは、企業や業界団体が独自に対策を企画・実行する際の考え方を手引きとして示し、脅威に対する技術的な対策から運用・管理面の対策まで必要最小限と考えられる項目を明記しています。セキュリティ対策は、(1)経営目標や外部要件などの整理、(2)業務の洗い出しと重要度設定、(3)保護対象とゾーンの整理、(4)システム構成・物理面での対策立案、(5)ライフサイクルおよびサプライチェーンを考慮したPDCAサイクルの実施というステップで進められます。特に、ゾーンごとに求められるセキュリティ要件を明確にし、クラウド利用や取引先から提供される汎用機器・ソフトウェアについても留意すべき点を示していることが特徴です。

IoT製品に対するセキュリティ適合性評価制度（JC‑STAR）

IoT機器の普及に伴い、家庭用ルータやスマートメーターなど消費者向け製品の脆弱性がサプライチェーンを通じて悪用されるリスクが高まっています。総務省の情報通信白書によると、世界のIoT機器数は2024年に約399億台、2025年には440億台に達する見込みです。METIは2024年、IoT製品のセキュリティ適合性を評価する制度（通称JC‑STAR）の方針案を公表しました。この制度では、製品類型ごとの特性に応じてセキュリティ要件と適合基準を定め、☆1から☆4までの評価レベルを設定します。最低レベルの☆1では自己適合を認める一方、☆3以上では第三者による認証を想定し、ラベルの信頼性確保の仕組みを整えています。ラベルは規定された基準に適合していることを示すものであり、完全な安全を保証するものではない点にも留意が必要です。

国際動向も踏まえ、米国の「Cyber Trust Mark」やEUのサイバーレジリエンス法案、英国のPSTI法など諸外国の制度と整合を図ることが検討されています。日本ではIoT適合性評価制度の普及に向けて業界団体や評価機関との連携、ベンダーへのラベル取得促進、利用者や調達者への制度周知が課題となっています。

その他の取り組み

Supply‑Chain Cybersecurity Consortium (SC3)

METIと業界団体は2020年に「サプライチェーン・サイバーセキュリティ・コンソーシアム（SC3）」を設立しました。大企業と中小企業が共同で課題に取り組む産業界全体の活動であり、2024年7月時点で180会員が参加しています。SC3はワーキンググループを通じて課題ごとのアクションを展開し、人材教育や国際連携などを推進しています。この枠組みは、サプライチェーン全体のレジリエンス向上に寄与しています。

サイバー人材育成とICSCoE

経済産業省は人材育成策として、「プラス・セキュリティ」の普及やセキュリティキャンプ、登録情報処理安全確保支援士制度などを通じて専門人材の裾野を広げています。特に産業制御系を含む高度な人材育成の場として、IPA内に「産業サイバーセキュリティセンター（ICSCoE）」が設置され、制御系とITの両方に精通した専門人材を育成しています。集中トレーニングを実施し、国内外の専門家と連携することで、電力や石油、鉄道など重要インフラ分野の現場を指揮できるリーダー育成を目指しています。

国際連携と認証制度

METIは国内施策に加え、国際連携を意識した認証・評価制度の立ち上げにも力を入れています。IoT製品の適合性評価制度では、EUのサイバーレジリエンス法や米国のラベリング制度との整合性を図るとともに、相互認証や海外制度への調達要件反映を見据えています。また、SBOMやセキュア・バイ・デザインの普及は米国やQuad諸国の共同原則とも連動しており、今後は国際標準化や相互運用性の確保が課題となります。

企業への示唆

経済産業省の政策を踏まえ、企業は以下の点に留意して自社のセキュリティを強化する必要があります。

1. サプライチェーン全体を見渡す
   • 経営者は自社のみならず、取引先や再委託先も含めたサプライチェーン全体のセキュリティ状況を把握し、平時・緊急時の関係者とのコミュニケーションを積極的に行うことが求められます。評価制度への対応や要求事項の明確化を通じて、全体の底上げを図りましょう。
2. SBOMと脆弱性管理の導入
   • SBOMを作成し、脆弱性管理プロセスや契約モデルを活用することで、ソフトウェア部品の透明性を高め、迅速に脆弱性対応ができる体制を整えます。特に製品開発企業はセキュア・バイ・デザインの考え方を採り入れ、利用企業はSBOMに基づいたリスク評価を行うことが重要です。
3. 攻撃面の把握と継続的な評価
   • ASM導入ガイダンスに沿って、外部から把握可能なIT資産の状況を常に把握し、攻撃面に存在するリスクを継続的に評価・対応する仕組みを構築します。
4. 工場・OTシステムのセキュリティ設計
   • 工場システムガイドラインに基づき、ゾーン分けや物理面・システム構成面の対策を計画的に進めます。IoT化やスマート化に伴い、工場ネットワークが外部ネットワークと接続することを前提に、サプライチェーン対策やPDCAサイクルによる継続的な改善が求められます。
5. IoT製品の安全性評価
   • IoT機器を調達・提供する企業は、JC‑STAR制度の動向を注視し、セキュリティ要件と評価レベルを確認してラベル取得を検討します。利用者側もラベルの意味を理解し、適合レベルに応じて適切な製品を選定しましょう。
6. 人材育成と継続学習
   • SC3やICSCoEなどを活用し、セキュリティ人材の育成や実践的なトレーニングに参加して知識・スキルを継続的に向上させることが重要です。

おわりに

経済産業省は、サプライチェーン全体での対策強化やSBOM導入、ASMガイダンス、工場システムのセキュリティガイドライン、IoT製品の適合性評価制度など、多角的な政策を展開しています。これらの施策は、サイバー攻撃の脅威が高度化・複雑化する現代において、産業界全体のレジリエンス向上と経済安全保障の確保に欠かせません。企業は自社の状況に応じてこれらの施策を組み合わせ、経営層のリーダーシップのもとでサイバーセキュリティ対策を強化することが求められます。