ソフトウェアサプライチェーン強靱化に向けてガイドライン(案)を策定、自己適合宣言制度の検討へ 経産省/NCO
ソフトウェアの脆弱性を悪用したサイバー攻撃の脅威が増大し、ソフトウェアサプライチェーン全体のサイバーレジリエンス向上が求められています。経済産業省と内閣官房国家サイバー統括室(NCO)の合同ワーキンググループはソフトウェア(※)の開発者▽供給者▽運用者と、ソフトウェアを利用する顧客を対象とする「サイバーインフラ事業者に求められる役割等に関するガイドライン(案)」を策定、10月末から意見公募を開始しました。意見の受け付けは12月30日まで。
このガイドラインではソフトウェアの開発者▽供給者▽運用者を「サイバーインフラ事業者」と呼び、サイバーインフラ事業者に求められる役割を整理した国内初のガイドラインとなります。ソフトウェアを利用する顧客の保護を目的としていますが、顧客側へもソフトウェアを調達・運用する上での責任が求められるとして責務を示しています。
ガイドラインはセキュア・バイ・デザインおよびセキュア・バイ・デフォルトの原則に則っています。サイバーインフラ事業者向けに5つの責務を、ガイドラインでは政府機関と重要インフラ事業者等と記されている顧客向けに1つの責務を定義しています(下表参照)。
| 対象者 | 求められる責務 |
|---|---|
| サイバーインフラ事業者 | (1)セキュリティ品質を確保したソフトウェアの設計・開発・供給・運用。 (2)ソフトウェアサプライチェーンの管理。 (3)残存脆弱性への速やかな対処。 (4)ソフトウェアに関するガバナンスの整備。 (5)サイバーインフラ事業者・ステークホルダー間の情報連携・協力体制の強化。 |
| 顧客(政府機関、重要インフラ事業者等) | (1)顧客の経営層のリーダーシップによるリスク管理とソフトウェア調達・運用。 (主体的なリスク管理、セキュリティ要件の提示、適切な予算の継続的確保)。 |
具体的には、ソフトウェア部品構成表(SBOM)の共有や脆弱性対応体制(PSIRT)の整備、経営層のコミットメント、脅威・脆弱性情報の迅速な共有などをサイバーインフラ事業者に求めています。一方、顧客側に対してもSBOMを活用するとともにセキュリティ要件の提示、適切な予算の継続的な確保などを求めています。
責務を果たすための具体的な取り組みも示されています。6つのカテゴリに分類された計21個の個別要求事項が設けられています。さらに、これら要求事項のパッケージ化がなされており、「最低限要求パッケージ」と「標準要求パッケージ」に整理されています。
脆弱性の放置は、将来的なサイバー攻撃による損害という負債につながります。ガイドライン(案)では、サイバーインフラ事業者と顧客がそれを共通の経営リスクとして認識することが前提となっています。そのため双方の経営層に対し、セキュリティ対策にかかるコストを双方で適切に分担・確保するよう、予算確保を含む要求事項が「最低限要求パッケージ」に含まれています。
ガイドライン(案)を策定した合同ワーキンググループは意見公募の結果を踏まえ年度内にガイドラインを決定します。さらにガイドラインの実効性を高めるため、来年度から自己適合宣言制度の検討を予定しています。この制度は、政府が調達する際の要件化を念頭にしています。
※製品として顧客に提供されるソフトウェアのほか、クラウドサービスなどのソフトウェアサービス、IT/OT/IoT機器等のハードウェア製品として提供される組み込みソフトウェア・ファームウェア、システム・サービスの構成要素として提供されるソフトウェアも含まれます。
