産業界へのメッセージ

●急速に普及しつつある生成AIをはじめとするデジタル化の進展や世界的な地政学リスクの高まり、サイバー攻撃の深刻化・巧妙化などにより、サイバーリスクは高まっている。このようなサイバー攻撃が、国民生活、社会経済活動及び安全保障環境に重大な影響を及ぼす可能性も大きくなっている。また、米欧等においても産業界におけるサイバーセキュリティ対策強化に向けた制度整備の動きなどが活発化しており、我が国においても一層の対策強化が求められる状況。

●こうした状況を踏まえ、まずは、経済産業省として、デジタル時代の社会インフラを守るとの観点から、NISC等関係省庁との連携の下、これまでの施策の一層の普及・啓発などに取り組みながら、政府調達等への要件化を通じたサイバーセキュリティ対策の実効性強化や、サイバーセキュリティ供給力の強化、官民の状況把握力・対処能力向上に向けた新たな取組も進める。今後も産業界からの御意見を聴くなど、官民の協力関係を維持・発展させつつ、不断に取組を見直していく。

●各企業・団体においては、こうした状況も踏まえ、各種ガイドラインや随時の「注意喚起」に沿った対応を前提として、組織幹部のリーダーシップの下、必要な人材の育成や確保・体制の構築を進めながら、以下の対応をお願いしたい。

①サイバーセキュリティに対する投資を、中長期的な企業価値向上に向けた取組の一環として位置付ける（ＤＸ、ＢＣＰ、サステナビリティ等に紐付ける。）。その上で、その関連性について、投資家を含む利害関係者から理解を得るための活動（対話・情報開示等）を積極的に行う。

②自組織のシステム運用に係るリスク管理についてＩＴサービス等提供事業者との役割分担を明確化するとともに、「セキュア・バイ・デザイン」（ ※１）や「セキュア・バイ・デフォルト」（※２）の製品の購入を優先するなど、ＩＴサービス等提供事業者に対してセキュリティ慣行を求める。併せて、委託元として自組織で判断や調整を行わなければならない事項を把握するとともに、ＩＴサービス等提供事業者に委託した業務の結果の品質を自社で評価できる体制を整備する。

※１　「セキュア・バイ・デザイン」：IT 製品（特にソフトウェア）が、設計段階から安全性を確保されていること。前提となるサイバー脅威の特定、リスク評価が不可欠。

※２　「セキュア・バイ・デフォルト」：ユーザー（顧客）が、追加コストや手間をかけることなく、購入後すぐに IT 製品（特にソフトウェア）を安全に利用できること。

①サプライチェーン全体での対策強化に向けた意識を徹底する（ASM（Attack Surface Management）等外部サービスの活用や、 サプライチェーンに参加する中小企業等への共助（取引先からの要請対応への負担配慮や脆弱性診断などの支援等））。中小企業においては、「サイバーセキュリティお助け隊サービス」などの支援パッケージの活用も検討する。

②「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参照し、サイバー攻撃の被害に遭った場合等には、適時の専門組織への相談及び所管省庁等への報告等を行う。

●ＩＴサービス等提供事業者においては、自らの製品・サービスのセキュリティ対策に責任を持ち、「セキュア・バイ・デザイン」や「セキュア・バイ・デフォルト」の考え方に沿った一層の対応（ 「顧客だけにセキュリティの責任を負わせない」、「トップ主導での実施」等の基本原則の遵守、SBOMの採用、メモリに安全なプログラミング言語の採用等）をお願いしたい。

●セキュリティベンダや調査ベンダ、情報共有活動のハブ組織等のサイバー被害組織を直接支援する専門組織においては、「サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書」に沿って、専門組織間で必要な情報を共有することの意義等について被害組織と共通の認識を醸成する努力をお願いしたい。