ソフトウェアサプライチェーンにおける顧客と事業者の責務を明記したガイドラインを公表 経産省/NCO
経済産業省と国家サイバー統括室(NCO)は3月31日、ソフトウェアのサプライチェーン全体におけるサイバーセキュリティ対策を強化するため「サイバーインフラ事業者に求められる役割等に関するガイドライン」を公開しました。同ガイドラインは2025年10月30日から12月30日にかけて実施された意見公募を踏まえて正式に決定しました。「セキュアバイデザイン」を原則とし、ソフトウェア部品構成表(SBOM)の導入を推奨したほか、PSIRT(製品セキュリティインシデント対応チーム)などの設置を求めています。
本ガイドラインでは、ソフトウェア(※)の開発・供給・運用を行う事業者を「サイバーインフラ事業者」と定義しています。ソフトウェアを利用する「顧客」とともに、それぞれが果たすべき責務と要求事項を全6つのカテゴリーで整理しています。開発の初期段階から安全性を確保するセキュアバイデザイン(セキュリティバイデザイン)の概念を基本原則として採用しています。
対象者に求められる具体的な要求事項は、その目的・目標に応じて「最低限要求パッケージ」と「標準要求パッケージ」の2つに分類されています。ソフトウェアの供給前や運用中の脆弱性への対応、セキュアな調達など、全てのサイバーインフラ事業者および顧客が最低限実施すべき要求事項群を「最低限要求パッケージ」としています。他方、セキュアな開発・リスク対応体制の確立やステークホルダー間連携などを含め、標準的に実施が求められる要求事項群は「標準要求パッケージ」として整理されています。
「最低限要求パッケージ」には例えば、残存する脆弱性の開示と修復に対処するため、PSIRTといった脆弱性・インシデント対応体制を設置することが事業者側に求められています。また、ソフトウェア管理の透明性を確保するための取り組みとして、SBOMの段階的な採用を通じた出所データの共有も盛り込まれました。
ガイドライン公開にあわせて、エクセル形式の「評価チェックリスト」や「自己評価の導入手引」「自己評価宣言書」も新たに公開されました。実務においては、顧客側が調達先候補であるサイバーインフラ事業者に対してRFI(情報提供依頼)の段階で自己評価結果の提示を求めるケースや、実際の調達・入札の条件(仕様)として評価チェックリストを提示するケースが想定されています。後者においては、リスト上に顧客自身に求められる責務(セキュリティ対策や運用などに係る予算の確保など)の自己評価結果をあらかじめ埋めて提示し、サイバーインフラ事業者にも対応する責務の追記・回答を求めることで、双方で役割分担や対策状況を共有し合う形での活用が見込まれています。顧客と事業者の双方が適合状況を共有・確認し合うことで、ソフトウェアサプライチェーン全体のサイバーレジリエンス向上を図る方針です。
なお、経済産業省はPSIRTの構築・運用およびSBOMの導入を実現するための実証事業を行う予定です。実証事業の成果物としてノウハウを集約した実践ガイドを作成するとしています。
※製品として顧客に提供されるソフトウェアのほか、クラウドサービスなどのソフトウェアサービス、IT/OT/IoT機器等のハードウェア製品として提供される組み込みソフトウェア・ファームウェア、システム・サービスの構成要素として提供されるソフトウェアも含まれます。
