産業界へのメッセージ
全体版
①経営層向け
②実務層向け
③提供事業者向け
④専門組織向け
⑤支援機関向け
- 経済産業省「産業界へのメッセージ(令和8年4月3日)」
①経営層向け
- リーダーシップを取ってサイバーセキュリティ対策を推進していただくため、「サイバーセキュリティ経営ガイドライン」に沿った対応をお願いしたい。その中でも、最近の国内外の動向を踏まえ、特に以下の取組を強化していただきたい。
- ITサービス・製品等提供事業者に対してセキュリティ慣行を求める(JC-STARラベル取得済み製品の優先購入等)。
- 大企業においては、SCS評価制度※を中小企業等との契約時に活用し、当該取引先に対し★取得に向けた準備や「サイバーセキュリティお助け隊サービス」等の施策活用を促す。 ※「サプライチェーン強化に向けたセキュリティ対策評価制度」。2026年度末頃運用開始予定。
- 中小企業等においては、中小企業向け施策の活用も検討する。
- サイバーセキュリティに対する投資を、中長期的な企業価値向上に向けた取組の一環として位置付ける。その関連性について、投資家を含む利害関係者から理解を得るための活動(対話・情報開示等)を積極的に行う。
②実務層向け
- 最近の国内外の動向を踏まえ、特に以下の取組を強化していただきたい。 ※経済産業省が策定した実務担当者向けガイドラインや関係制度概要など各種政策文書(SCS評価制度構築方針、JC-STAR等)については、参考1のリンクや経済産業省ウェブサイトを参照いただきたい。
- 自組織のシステム運用に係るリスク管理についてITサービス等提供事業者との役割分担を明確化するとともに、「セキュア・バイ・デザイン」や「セキュア・バイ・デフォルト」の製品の購入(例えば、JC-STARのラベル取得製品)を優先するなど、ITサービス・製品等提供事業者に対してセキュリティ慣行を求める
- ITサービス等を外部委託する際には、委託元として自組織で判断や調整を行わなければならない事項を把握するとともに、ITサービス等提供事業者に委託した業務の結果の品質を自社で評価できるよう必要な人材を確保する
- VPN機器等の脆弱性関連情報を収集し対応するとともに、ASM(Attack Surface Management)等の外部サービスを活用して自社のIT基盤やIT資産の現状を把握する
- 特に大企業においては、サプライチェーンに参加する中小企業等への助言・支援を行う(「サイバーセキュリティお助け隊サービス」などの支援施策の紹介、対策状況調査・改善に向けた対話等)
- 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参照し、サイバー攻撃の被害に遭った場合等には、適時の専門組織・所管省庁等への相談・報告等を行う(一定の要件に該当する個人データの漏えい等の場合には個人情報保護委員会に報告する)
- 特に国家支援型と推定される標的型サイバー攻撃の場合は、まず警察やIPA等に相談する
③提供事業者向け
- 提供する製品・サービスのセキュリティ対策に責任を持ち、「セキュア・バイ・デザイン」※1や「セキュア・バイ・デフォルト」※2の考え方に沿った対応(「サイバーインフラ事業者に求められる役割等に関するガイドライン」への準拠や、JC-STARのラベル取得等)をお願いしたい。
- また、自組織も「サイバーセキュリティを実践する企業」であり、かつ、ユーザー企業にも影響を及ぼし得る存在であることを認識して、サイバーセキュリティ対策に取り組むことをお願いしたい。 ※1 「セキュア・バイ・デザイン」:IT 製品(特にソフトウェア)が、設計段階から安全性を確保されていること ※2 「セキュア・バイ・デフォルト」:ユーザー(顧客)が、追加コストや手間をかけることなく、購入後すぐに IT 製品(特にソフトウェア)を安全に利用できること。
- 「セキュア・バイ・デザイン」は、セキュリティの責任は製造者等が負うべきである(「責任のリバランス」)、という欧米諸国を中心に提唱されている概念。2023年10月に我が国を含む13か国が共同署名したセキュアバイデザイン・セキュアバイデフォルトの実践に向けた推奨事項をまとめたガイダンスの中でも、組織の変革を実行できる経営層の意思決定者による、製品開発の重要な要素としてセキュリティを優先させるというコミットメントの重要性が言及されている。今後、当該提言を踏まえた対応が全世界レベルで求められていくことが想定される。
- 経済産業省では、本文書も踏まえ、「サイバーインフラ事業者に求められる役割等に関するガイドライン」を2026年3月に公表したところ。この中で、ITサービス・製品提供事業者に求められる責務として、セキュリティ品質を確保したソフトウェアの設計・開発・供給・運用等についても提示している。加えて、 IoTに対するセキュリティ要件適合評価・ラベリング制度(JC-STAR)を2025年3月に運用開始し、セキュアなIoT製品を容易に選択できる環境整備を進めているところ。積極的にこれらのガイダンスや制度を活用いただきたい。さらに足下では、生成AIの台頭等を受けて、AIコーディングなどのAI駆動開発を通じたサービス提供に係るセキュリティリスクが懸念される状況にある。経済産業省としても、こうした新たな課題に対する対応を進めていく。
- また、近年、ITサービス・製品提供事業者におけるサイバー事案もみられるところ、自らも「サイバーセキュリティを実践する企業」であり、ユーザー企業にも影響を及ぼし得る存在であることを認識して、対策に取り組んでいただく必要がある。 2026年度末頃に制度運用開始を予定している「サプライチェーン強化に向けたセキュリティ対策評価制度」の”★”取得に向け準備を進めていただきたい。
④専門組織向け
- サイバー攻撃の被害組織に対するより効果的・効率的な支援を可能とする観点から、「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の成果物である「攻撃技術情報の取扱い・活用手引き」を活用して専門組織間で必要な情報を積極的に共有することをお願いしたい。
- その前提として、情報共有活動のメリットにも触れつつ、「秘密保持契約に盛り込むべきモデル条文案」を活用して、
攻撃技術情報の共有について被害組織と合意する努力をお願いしたい。
- サイバー攻撃が高度化する中、攻撃の全容の把握や被害の拡大を防止する等の観点から、被害組織を直接支援する専門組織を通じたサイバー被害に係る情報の速やかな共有が重要。
- 経済産業省では、既存の情報共有活動の枠組みも活用しながら、更に円滑な情報共有を可能とするために、被害組織の同意を個別に得ることなく速やかな情報共有が可能な情報の考え方を整理し、検討会の最終報告書として2023年11月に公表。具体的には、通信先情報やマルウェア情報、脆弱性関連情報等の「攻撃技術情報」から被害組織が推測可能な情報を非特定化加工した情報が対象となり得ると整理。
- その補完文書として、①専門組織間で効果的な情報共有を行うために、どのような形で非特定化加工を行えば良いかなど専門組織として取るべき具体的な方針について整理した「攻撃技術情報の取扱い・活用手引き」と、②上記考え方についてユーザー組織と専門組織が共通の認識を持ち、専門組織が非特定化加工済みの攻撃技術情報を共有したことに基づく法的責任を原則として負わないことを合意するための秘密保持契約に盛り込むべきモデル条文案を提示。
- 経済産業省として、これらの成果物について、専門組織やユーザー企業の経営層への意識啓発も含めた周知・啓発活動を行う。
⑤支援機関向け
- 中小企業等の「主治医」としてデジタル化やDX化等を伴走的に支援する役割が期待される支援機関(商工会議所、商工会、地域金融機関、ITベンダー、士業等)の皆様には、以下の取組をお願いしたい。
- 中小企業等に対するデジタル化・DX化や経営支援、それらに関連するセミナーの開催等に当たっては、「サイバーセキュリティ」の観点も考慮(セミナーにおいて一枠設ける等)いただきたい。その際、IPAのセミナー開催支援制度や、中小企業にとって身近なサイバー事案を基にした机上演習コンテンツ等も活用いただくことが可能。
- その上で、SECURITY ACTION宣言(SA宣言)の実践やSCS評価制度の”★”取得に向けた準備、最低限必要なセキュリティ対策(監視・駆付け・保険)を安価でワンパッケージにまとめた「サイバーセキュリティお助け隊サービス(1類・2類)」の導入※、中小企業の情報セキュリティ対策ガイドラインの参照を中小企業等に促していただきたい。 ※SCS評価制度の”★”取得を伴走支援するサイバーセキュリティお助け隊サービス(新類型)の創設に向けた実証事業への参加呼びかけもお願いしたい。
- 中小企業に対する外部専門家の派遣や紹介・相談会の開催を検討する場合、サイバーセキュリティに課題を抱える中小企業を外部から支援することが可能な情報処理安全確保支援士(登録セキスペ)のリストを積極的に活用いただきたい。
- 支援機関の相談窓口にも同リストの人材を配置する等、支援機関自身でも同リストを活用いただきたい。
- 地域の中小企業経営者向け演習やセキュリティ担当者向けセミナー、情報発信、人材育成等、地域でサイバーセキュリティの普及・啓発活動を実施している地域SECUNITYの活動に参加し、身近な中小企業等にも周知いただきたい。
産業界へのメッセージに対応した政府文書・窓口等
各企業・団体向け
経営層向け
- 経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」(令和5年3月改訂)
- 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」」(令和8年3月制度構築方針公表)
- IPA「サイバーセキュリティお助け隊サービス制度」
実務層向け
- 経済産業省「サイバーセキュリティ政策」
(1.詳細)
- 国家サイバー統括室「国際共同ガイダンス「セキュアバイデザイン・セキュアバイデフォルト原則」」に署名(令和5年10月)
- 経済産業省/国家サイバー統括室「サイバーインフラ事業者に求められる役割等に関するガイドライン」(令和8年3月)
- IPA「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」
(2.詳細)
- 経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
- 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」」(令和8年3月制度構築方針公表)
- IPA「重要なセキュリティ情報」
- 経済産業省「「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を取りまとめました」
- IPA「サイバーセキュリティお助け隊サービス制度」
- 中小企業庁「『パートナーシップ構築宣言ポータルサイト』」
- 経済産業省「サプライチェーン全体のサイバーセキュリティ向上のための 取引先とのパートナーシップの構築に向けて」(令和4年10月)
- 中小企業庁「中小企業の情報セキュリティ」
- IPA「ここからセキュリティ!」
- IPA「中小企業の情報セキュリティ」
(3.詳細)
- サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会「サイバー攻撃被害に係る情報の共有・公表ガイダンス」(令和5年3月)
- 経営ガイドラインの付録C「サイバーセキュリティインシデントに備えるための参考情報」(令和5年3月)
- 個人情報保護委員会「漏えい等の対応とお役立ち資料」
- 警察署又は都道府県警察本部「相談窓口」
- IPA「コンピュータウイルス・不正アクセスに関する届出」「企業組織向けサイバーセキュリティ相談窓口」
- JPCERT/CC「インシデント対応依頼」
ITサービス等提供事業者向け
- 国家サイバー統括室「国際共同ガイダンス「Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security by Des…」に署名(令和5年10月)
- 経済産業省/国家サイバー統括室「サイバーインフラ事業者に求められる役割等に関するガイドライン」(令和8年3月)
- IPA「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」
サイバー被害組織を直接支援する専門組織向け
- 経済産業省「サイバー攻撃による被害に関する情報共有の促進に向けた検討会 報告書等」(令和6年3月)
- 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」」(令和8年3月制度構築方針公表)
中小企業支援機関向け
- TOP
-
- サイバーセキュリティ対策を強化したい
-
- サイバーセキュリティ対策を強化したいTOP
- 産業界へのメッセージ
- 産業サイバーセキュリティ研究会
- サイバー・フィジカル・セキュリティ対策フレームワークとその展開
- サイバーセキュリティ経営ガイドラインと支援ツール
- サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)
- サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナシップの構築に向けて
- 地域SECUNITY(セキュリティ・コミュニティ)
- IPA産業サイバーセキュリティセンター(ICSCoE)
- 情報セキュリティガバナンス
- 暗号技術評価
- 電子署名法制度
- インド太平洋地域向け日米EU産業制御システムサイバーセキュリティウィーク
- ASM導入ガイダンス
- ECサイト構築・運用セキュリティガイドライン
- コラボレーション・プラットフォーム
お問合せ先
商務情報政策局 サイバーセキュリティ課
電話:03-3501-1511(内線)3964
最終更新日:2026年4月22日