日本政府は2023年10月、米国サイバーセキュリティ・インフラストラクチャー安全保障庁（CISA）等が策定した「セキュアバイデザイン・セキュアバイデフォルトに関する文書」の改訂版（「本文書」）の署名に加わった。本文書は、とりわけソフトウエア作成業者に対する三つの原則（（1）顧客のセキュリティの結果への責任（2）徹底した透明性と説明責任（3）トップ主導での実施）を示すとともに、ユーザー組織にもさまざまな提言を行っている。

サイバーセキュリティ対策を講じるうえで、ベンダーやユーザーを問わず、産業界にも影響を及ぼす内容であることから、経団連は12月1日、東京・大手町の経団連会館でサイバーセキュリティ委員会サイバーセキュリティ強化ワーキング・グループ（和田昭弘主査）を開催した。内閣サイバーセキュリティセンター（NISC）の垣見直彦参事官、山口勇参事官、村田健太郎参事官と経済産業省商務情報政策局の武尾伸隆サイバーセキュリティ課長から、本文書に関する説明を聴くとともに意見交換した。説明の概要は次のとおり。

■ セキュアバイデザイン・セキュアバイデフォルト原則（NISC）

「セキュアバイデザイン」とは、IT製品（特にソフトウエア）が、設計段階から安全性を確保されていることをいう。本文書では、セキュアバイデザイン手法の導入にあたって、（1）メモリー安全性を備えたプログラミング言語の採用（2）アプリケーションセキュリティのテスト実施（3）コードレビューやソフトウエア部品表（SBOM＝Software Bill of Materials, エスボム）の採用（4）脆弱性の報告を奨励する開示プログラムの導入（5）侵害をシステム全体に広げないための多層防御の導入――が推奨されている。

一方、「セキュアバイデフォルト」とは、ユーザー（顧客）が、追加コストや手間をかけることなく、購入後すぐにIT製品を安全に利用できることを指す。セキュアバイデフォルト手法の導入に際しては、（1）デフォルトパスワードの排除（2）多要素認証の導入（3）高品質の監査ログの追加料金なしでの提供（4）シングルサインオン（SSO）の実装（5）古いシステムとの互換性よりも優先されるセキュリティ（6）セキュリティ強化ガイドの簡素化――が提言されている。

■ セキュアバイデザイン・セキュアバイデフォルトに関する取り組み（経産省）

経産省ではサイバーセキュリティ政策の一環として、国際連携を念頭に置いた認証・評価制度等を立ち上げている。SBOMを活用することで、脆弱性やライセンスの管理、生産性向上といったメリットを享受できるが、その導入に際してはさまざまな障壁が存在する。そこで、SBOMに関する基本的な情報を提供するとともに、導入に向けた主な実施事項や認識すべき留意点等を示した手引を作成した。

IoT機器の脆弱性を狙ったサイバー脅威が高まっている現状を踏まえ、IoT製品のセキュリティ対策を適切に評価し、十分な対策が講じられているIoT製品が普及する仕組みを構築することが急務である。

こうした観点から、経産省では「IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」を開催し、23年5月に中間報告を取りまとめた。23年度中の最終報告、24年度中の制度の一部運用開始に向けて議論を継続する。あわせて、米国や欧州等の諸外国の制度との調和を図るため、国際的な対話も引き続き実施していく。

【産業技術本部】