産業界へのメッセージ
●急速に普及しつつある生成AIをはじめとするデジタル化の進展や世界的な地政学リスクの高まり、サイバー攻撃の深刻化・巧妙化などにより、サイバーリスクは高まっている。このようなサイバー攻撃が、国民生活、社会経済活動及び安全保障環境に重大な影響を及ぼす可能性も大きくなっている。また、米欧等においても産業界におけるサイバーセキュリティ対策強化に向けた制度整備の動きなどが活発化しており、我が国においても一層の対策強化が求められる状況。
●こうした状況を踏まえ、まずは、経済産業省として、デジタル時代の社会インフラを守るとの観点から、NISC等関係省庁との連携の下、これまでの施策の一層の普及・啓発などに取り組みながら、政府調達等への要件化を通じたサイバーセキュリティ対策の実効性強化や、サイバーセキュリティ供給力の強化、官民の状況把握力・対処能力向上に向けた新たな取組も進める。今後も産業界からの御意見を聴くなど、官民の協力関係を維持・発展させつつ、不断に取組を見直していく。
●各企業・団体においては、こうした状況も踏まえ、各種ガイドラインや随時の「注意喚起」に沿った対応を前提として、組織幹部のリーダーシップの下、必要な人材の育成や確保・体制の構築を進めながら、以下の対応をお願いしたい。
①サイバーセキュリティに対する投資を、中長期的な企業価値向上に向けた取組の一環として位置付ける(DX、BCP、サステナビリティ等に紐付ける。)。その上で、その関連性について、投資家を含む利害関係者から理解を得るための活動(対話・情報開示等)を積極的に行う。
②自組織のシステム運用に係るリスク管理についてITサービス等提供事業者との役割分担を明確化するとともに、「セキュア・バイ・デザイン」( ※1)や「セキュア・バイ・デフォルト」(※2)の製品の購入を優先するなど、ITサービス等提供事業者に対してセキュリティ慣行を求める。併せて、委託元として自組織で判断や調整を行わなければならない事項を把握するとともに、ITサービス等提供事業者に委託した業務の結果の品質を自社で評価できる体制を整備する。
※1 「セキュア・バイ・デザイン」:IT 製品(特にソフトウェア)が、設計段階から安全性を確保されていること。前提となるサイバー脅威の特定、リスク評価が不可欠。
※2 「セキュア・バイ・デフォルト」:ユーザー(顧客)が、追加コストや手間をかけることなく、購入後すぐに IT 製品(特にソフトウェア)を安全に利用できること。
①サプライチェーン全体での対策強化に向けた意識を徹底する(ASM(Attack Surface Management)等外部サービスの活用や、 サプライチェーンに参加する中小企業等への共助(取引先からの要請対応への負担配慮や脆弱性診断などの支援等))。中小企業においては、「サイバーセキュリティお助け隊サービス」などの支援パッケージの活用も検討する。
②「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参照し、サイバー攻撃の被害に遭った場合等には、適時の専門組織への相談及び所管省庁等への報告等を行う。
●ITサービス等提供事業者においては、自らの製品・サービスのセキュリティ対策に責任を持ち、「セキュア・バイ・デザイン」や「セキュア・バイ・デフォルト」の考え方に沿った一層の対応( 「顧客だけにセキュリティの責任を負わせない」、「トップ主導での実施」等の基本原則の遵守、SBOMの採用、メモリに安全なプログラミング言語の採用等)をお願いしたい。
●セキュリティベンダや調査ベンダ、情報共有活動のハブ組織等のサイバー被害組織を直接支援する専門組織においては、「サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書」に沿って、専門組織間で必要な情報を共有することの意義等について被害組織と共通の認識を醸成する努力をお願いしたい。
産業界へのメッセージに対応した政府文書・窓口等
各企業・団体向け
- ①関係
-
●経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」(令和5年3月改訂)
●経済産業省「デジタル・ガバナンス・コード2.0」(令和4年9月改訂)
●経済産業省「価値共創ガイダンス2.0」(令和4年8月改訂)
- ②関係
-
●内閣サイバーセキュリティセンター「国際共同ガイダンス「Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security by Design and Default」に署名しました」(令和5年10月)
- ③関係
-
●経済産業省「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」(令和4年10月)
●経済産業省「『ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~』を取りまとめました」(令和5年5月)
●中小企業庁「中小企業の情報セキュリティ」
●IPA「ここからセキュリティ!」
●IPA「中小企業のサイバーセキュリティ」
●IPA「サイバーセキュリティお助け隊サービス制度」
- ④関係
-
●個人情報保護委員会「漏えい等の対応とお役立ち資料」
●警察署又は都道府県警察本部「相談窓口」
●経済産業省サイバーセキュリティ課(代表:03-3501-1511 内線:3964)
●IPA「情報セキュリティ安心相談窓口」「コンピュータウイルス・不正アクセスに関する届出」「J-CRAT 標的型サイバー攻撃特別相談窓口」
●JPCERT/CC「インシデント対応依頼」
ITサービス等提供事業者向け
●内閣サイバーセキュリティセンター「国際共同ガイダンス「Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security by Design and Default」に署名しました」(令和5年10月)
サイバー被害組織を直接支援する専門組織向け
●経済産業省「サイバー攻撃による被害に関する情報共有の促進に向けた検討会 報告書等」(令和6年3月)
- TOP
-
- サイバーセキュリティ対策を強化したい
-
- サイバーセキュリティ対策を強化したいTOP
- 産業界へのメッセージ
- 産業サイバーセキュリティ研究会
- サイバー・フィジカル・セキュリティ対策フレームワークとその展開
- サイバーセキュリティ経営ガイドラインと支援ツール
- サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)
- サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナシップの構築に向けて
- 地域SECUNITY(セキュリティ・コミュニティ)
- IPA産業サイバーセキュリティセンター(ICSCoE)
- 情報セキュリティガバナンス
- 暗号技術評価
- 電子署名法制度
- インド太平洋地域向け日米EU産業制御システムサイバーセキュリティウィーク
- ASM導入ガイダンス
- ECサイト構築・運用セキュリティガイドライン
- コラボレーション・プラットフォーム
お問合せ先
商務情報政策局 サイバーセキュリティ課
電話:03-3501-1511(内線)3964
最終更新日:2025年2月19日