経済産業省
文字サイズ変更
アクセシビリティ閲覧支援ツール

第四回セキュリティ産業のビジネス化研究会

出席者

 委員出席者
 三輪委員長、石原委員、鵜飼委員、岡村委員、小田島委員、志済委員、下村委員、谷口委員、寺原委員、中野委員、藤瀬委員、松尾委員、松本委員

経済産業省出席者
 前田審議官、伊東審議官、師田課長、土屋企画官
 

議事概要

 これまでの研究会で頂いた意見に基づき、今年度中に実施する施策、今後検討していく事項について説明の後、これらの政策内容、今後の検討事項について自由討議を行った。委員からの意見は以下の通り。
 
【中長期的な政策について】
  • IT製品の調達におけるセキュリティ要件リストの品目については、現状はCC認証を取得しているものが中心となっているが、WAF、EDRに関してCC認証を取得している製品は聞いたことがない。セキュリティ製品を当該リストに追加する際は、認証取得状況も考慮して慎重に実施すべきである。
  • サイバーセキュリティ経営ガイドラインを改訂するのであれば、対策を補完するために、技術的な対策を示した技術ガイドの提供も必要である。また、技術面のみではなく、運用面での対策についても示すことが必要である。
  • 政府において様々なガイドラインが公開されている。例えばサイバーセキュリティ経営ガイドラインにおいて、これらのガイドラインとどういう関係性にあるのかを整理しておくと、経営者にとってより分かり易い内容になるのではないか。
  • サイバーセキュリティ経営ガイドラインに、一定程度強制力を持った具体的な内容を加えてはどうか。例えば、企業にセキュリティポリシーの開示をガイドラインとして要求することによって、企業のトップがしっかりセキュリティに対する姿勢を打ち出し、それが結果的にセキュリティ産業の需要喚起に繋がるとも考えられる。
  • 企業がサイバーセキュリティ経営ガイドラインを遵守しているかについて、経済産業省がモニタリングしてフィードバックしていくことでガイドラインがより効果的なものになるのではないか。また、ベストプラクティスを共有させるため、企業のセキュリティの取組に対する表彰制度など、取組が社会的に評価される仕組みも必要ではないか。
  • セキュリティサービスの分野には、非常に細かい領域がある。セキュリティサービス認定において、サービス毎の認定なのか、サービス提供企業の認定なのか分かるようにして欲しい。また、認定を取った後は価格競争のみとならないように、制度の運用方法を考慮していく必要がある。
  • ベンチャー企業の海外支援策としては、対ASEANだけではなく、北米やEUなど他地域に対しても営業活動が円滑となるような支援策があると良い。
  • セキュリティサービスについては、全てを外部委託しているのではなく社内で体制を構築して実施している企業もある(例えば、脆弱性診断等)。セキュリティサービスの認定制度によって、外部委託が望ましく、内製化は望ましくないという風潮になるのは困る。セキュリティサービスの認定については、そういった内部で実施しているものについても配慮した制度としてほしい。
 
【今後の検討事項について】
  • 日本が海外のベンチャー企業を買収する際に、企業が保有している機微な情報を日本に持ち出せるのかという問題がある。また日本国内ではサイバー攻撃に関する研究に制約がある。日米や日欧間において、高度な情報共有ができる仕組みや、一定程度の規制緩和が必要ではないか。
  • 米国の取組のように、セキュリティ対策を、法令上の要求事項にし、適用するには何をすれば良いのか、具体的に示すことで対策が進むこともある。日本でも同様に基準を示し、具体的に取り組ませる1つの手段として、例えば法令順守等にどう位置付けるかなども、今後考慮していく必要があるのではないか。
  • セキュリティ対策の規制導入については、どの程度にレベルを設定するかが難しいため、まずはインシデント報告の義務化をすることなどが必要ではないか。例えば、インシデントが発生した場合だけでなく、発生していない場合も報告することで、企業のセキュリティ意識向上に繋がるのではないか。
  • IoT製品において、メンテナンスのコストを誰が負担するのかについても検討が必要ではないか。車検制度のように、自動車の所有者であるユーザ側が費用を負担している例もあることから、IoT製品でも、分野によってはそのような選択肢もあるのではないか。
  • IoT機器については、IoTセキュリティガイドラインの普及も必要であるが、現状IoT機器は単純攻撃でも被害を受けているため、それに対する基本的なセキュリティ対策を周知徹底することがまずは必要ではないか。
  • IoT機器については、セキュリティ対策が行われている製品を利用者が選択できるようなことも必要ではないか。本研究会において、IoTの議論はOTにまで話が及んでいない。OTまで踏み込んだ施策を検討するには、もう少し慎重に議論を進める必要がある。
  • 研究開発において、技術戦略を策定する際、既に競争領域になっている技術を、積極的に国として推薦しなくても良いのではないか。ただし、諸外国に対して日本が優位に立つ観点から国として推薦していくべき技術を定めていく必要はある。その場合に、技術戦略を単純にすべて開示することが望ましいとは限らないため、技術戦略の公表の方法には検討が必要である。 
  • 企業がセキュリティ人材の採用を行う際には、自身の企業に必要なセキュリティ人材をしっかりと把握できている企業とは限らない。セキュリティ人材の採用において、資格・スキル等、企業にとって何が必要な情報であるかを整理する必要がある。そうすることで、企業のセキュリティ人材が確保でき、人材育成もし易くなるのではないか。
 
以上
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.