このページでは、サイバーセキュリティ製品・サービスを提供する企業・組織の方向けに、経済産業省で検討している政策の方向性や各種制度等を紹介しています。
サイバーセキュリティ対策についての産業界へのメッセージ
急速に普及しつつある生成AIをはじめとするデジタル化の進展や世界的な地政学リスクの高まり、サイバー攻撃の深刻化・巧妙化、米欧等におけるサイバーセキュリティ対策強化に向けた制度整備の動きの活発化などを踏まえ、2024年4月5日、産業サイバーセキュリティ研究会において、「産業界へのメッセージ」を発出しました。
産業界へのメッセージ(令和6年4月5日)
産業サイバーセキュリティ研究会
サイバーセキュリティに関する課題が多岐に及ぶ中、経済産業省では、我が国の産業界が直面するサイバーセキュリティの課題を洗い出し、関連政策を推進していくため、産業界を代表する経営者、インターネット時代を切り開いてきた学識者等から構成される「産業サイバーセキュリティ研究会」を開催しています。
また、本研究会で示された政府として取り組むべき政策の方向性を踏まえ、本研究会下のワーキンググループにおいて、関係省庁と連携して政策の具体化を進めています。
サイバーセキュリティ産業振興戦略
我が国サイバーセキュリティ産業・技術基盤を強化するための包括的な政策パッケージである「サイバーセキュリティ産業振興戦略」を取りまとめました。本戦略では、国内で活用されるセキュリティ製品の多くを海外製が占めている現状や、導入実績が重視される商慣習、十分に開発投資が行われにくい事業環境といった課題に対応するため、政府機関等による有望なセキュリティ・スタートアップの製品・サービスの試行的な活用や、大規模な研究開発の推進、国内商流を担うSI事業者とベンダーとのマッチングの場の創出などの包括的な政策対応を提示しています。
サイバーセキュリティ産業振興戦略
ITセキュリティ評価及び認証
「ISO/IEC 15408(JIS X 5070:情報技術セキュリティの評価基準)」に基づく 「ITセキュリティ評価及び認証制度」として、IT関連製品のセキュリティ機能の適切性・確実性を、第三者(評価機関)が評価し、その評価結果を認証機関が認証する制度を運営しています。
ITセキュリティ評価及び認証制度(JISEC)(独立行政法人情報処理推進機構(IPA))
(参考)ITセキュリティ評価及び認証
IoT製品に対するセキュリティ適合性評価制度
経済産業省では、IoT機器の脆弱性を狙ったサイバー脅威の高まりを踏まえて、適切なセキュリティ対策が講じられているIoT製品が広まる仕組みを構築するため、「IoT製品に対するセキュリティ適合性評価制度構築方針」を公表しました。
上記の方針に基づき、独立行政法人情報処理推進機構(IPA)が2025年3月から「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」を運用します。
IoT機器を開発する中小企業向け製品セキュリティ対策ガイド
経済産業省では、IoT機器等のセキュリティ対策を行おうとする企業が第一歩として取り組む対策を提示した「IoT機器を開発する中小企業向け製品セキュリティ対策ガイド」を策定しました。
本ガイドは設計や開発段階からセキュリティを考慮することの重要性について認識いただくために、機器のライフサイクルフェーズを通じた対策を整理し、セキュリティ対策を進める際、最初に取り組む事項を示しています。
また、予算や人員等のリソースに限りのある中小企業がセキュリティ対策を効果的に進める事例集等、セキュリティ対策を実施する際の事項をわかりやすく示していますので、セキュリティ対策に取り組もうとしているIoT機器等を開発する企業の経営者及びセキュリティ対策担当者・開発担当者・品質管理者はご活用ください。
IoT機器を開発する中小企業向け製品セキュリティ対策ガイド(2023年6月6日)
IoT機器を開発する中小企業向け製品セキュリティ対策ガイド概要版
IoT機器を開発する中小企業向け製品セキュリティ対策ガイド経営者向け概要版
ソフトウェア管理に向けたSBOM導入に関する手引
近年、ソフトウェアの脆弱性管理に関し、ソフトウェアの開発組織と利用組織双方の課題を解決する一手法として、「ソフトウェア部品表」とも呼ばれるSBOM(Software Bill of Materials)を用いた管理手法が注目されています。
経済産業省では、SBOMの企業による活用を推進しており、企業がSBOMを導入するメリットや実際に導入するにあたって実施すべきポイントをまとめた手引書を策定し、公開しています。
システム監査制度
「システム監査基準」及び「システム管理基準」 に基づいて運営される制度で、経済産業省では「システム監査」を行う主体を登録する「システム監査企業台帳」を整備し、公開しています。
情報セキュリティ監査制度
経済産業省では、国際標準に準拠した「情報セキュリティ監査基準」(平成15年経済産業省告示第114号)及び「情報セキュリティ管理基準」(平成28年経済産業省告示第37号)を定め、これに基づく情報セキュリティ監査制度を運用しています。
情報セキュリティ監査制度
情報セキュリティサービス審査登録制度
「情報セキュリティサービス基準」及び「情報セキュリティサービスにおける技術及び品質確保に資する取組の例示」として情報セキュリティサービスに関する一定の技術要件及び品質要件を整備するとともに、第三者が基準への適合状況を客観的に判断し、結果を台帳等でとりまとめて公開する制度を運用しています。
情報処理安全確保支援士制度
情報処理安全確保支援士は、サイバー攻撃の急激な増加に対し、政府機関や企業等のセキュリティ対策強化に向けて、サイバーセキュリティに関する実践的な知識・技能を有する専門人材の育成と確保を目的とした国家資格です。
登録事務(受付・実施等)については、IPAにおいて実施しています。
情報処理安全確保支援士の登録
情報処理安全確保支援士は、情報処理安全確保支援士試験に合格するなどにより、登録資格を得た方が、登録を受けることによりなることができる国家資格です。令和2年5月より、登録に3年間の有効期限を設け、義務講習を受講した方のみ更新を認め、更新が行われない場合には、登録が失効する更新制を導入しました。
登録を更新するためには、更新期限の60日前までに、申請を行う必要があります。登録更新の手続きについては、IPAにおいて実施しています。
情報処理安全確保支援士の義務講習
サイバーセキュリティに関するリスクは日々、高度化・多様化していることを踏まえ、情報処理安全確保支援士には、最新の知識・技能を維持、向上するための講習の受講を義務づけています。令和2年5月より、IPAが行う講習に加えて、IPAの講習と同等以上の効果を有すると認められる講習(特定講習)が対象になりました。
セキュリティ・キャンプ
高度IT人材の早期発掘と育成に向けて、情報セキュリティに関する高い意識と技術力を持った人材の発掘と育成を行うべく、25歳以下の若者を対象に、合宿形式での講習会を実施しています。
コラボレーション・プラットフォーム
経済産業省とIPAは、企業の経営に携わる方々や関係機関等に所属する方々が、サイバーセキュリティ対策に関する情報交換、交流を行っていただける「場」を提供することを目的に「コラボレーション・プラットフォーム」を共催しています。
- TOP
-
- サイバーセキュリティ対策を強化したい
-
- サイバーセキュリティ対策を強化したいTOP
- 産業界へのメッセージ
- 産業サイバーセキュリティ研究会
- サイバー・フィジカル・セキュリティ対策フレームワークとその展開
- サイバーセキュリティ経営ガイドラインと支援ツール
- サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)
- サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナシップの構築に向けて
- 地域SECUNITY(セキュリティ・コミュニティ)
- IPA産業サイバーセキュリティセンター(ICSCoE)
- 情報セキュリティガバナンス
- 暗号技術評価
- 電子署名法制度
- インド太平洋地域向け日米EU産業制御システムサイバーセキュリティウィーク
- ASM導入ガイダンス
- ECサイト構築・運用セキュリティガイドライン
- コラボレーション・プラットフォーム
お問合せ先
商務情報政策局 サイバーセキュリティ課
電話:03-3501-1511(内線)3964
最終更新日:2025年3月26日