経団連「サイバーセキュリティ強化 WG」報告

　一般社団法人日本経済団体連合会（経団連）は12月21日、東京・大手町の経団連会館で12月1日に開催した「サイバーセキュリティ委員会サイバーセキュリティ強化ワーキング・グループ」について、発表した。『週刊 経団連タイムス』2023年12月21日No.3618で報告を行っている。

　日本政府が2023年10月に、米国サイバーセキュリティ・インフラストラクチャー安全保障庁（CISA）等が策定した「セキュアバイデザイン・セキュアバイデフォルトに関する文書」の改訂版の署名に加わった同文書について、同ワーキング・グループでは、内閣サイバーセキュリティセンター（NISC）の垣見直彦参事官、山口勇参事官、村田健太郎参事官と経済産業省商務情報政策局の武尾伸隆サイバーセキュリティ課長が説明を行っている。

　「セキュアバイデザイン」は、IT製品（特にソフトウェア）が、設計段階から安全性を確保されていることを指し、同文書では、セキュアバイデザイン手法の導入にあたって、「1.メモリー安全性を備えたプログラミング言語の採用」「2.アプリケーションセキュリティのテスト実施」「3.コードレビューやソフトウェア部品表（SBOM＝Software Bill of Materials, エスボム）の採用」「4.脆弱性の報告を奨励する開示プログラムの導入」「5.侵害をシステム全体に広げないための多層防御の導入」を推奨している。

　「セキュアバイデフォルト」は、ユーザー（顧客）が追加コストや手間をかけることなく、購入後すぐにIT製品を安全に利用できることを指し、同文書ではセキュアバイデフォルト手法の導入にあたって、「1.デフォルトパスワードの排除」「2.多要素認証の導入」「3.高品質の監査ログの追加料金なしでの提供」「4.シングルサインオン（SSO）の実装」「5.古いシステムとの互換性よりも優先されるセキュリティ」「6.セキュリティ強化ガイドの簡素化」を提言している。

　SBOMを活用することで脆弱性やライセンスの管理、生産性向上等のメリットがあるが、導入に際しさまざまな障壁が存在するため、経産省ではSBOMに関する基本的な情報を提供するとともに、導入に向けた主な実施事項や認識すべき留意点等を示した手引を作成している。

　また経産省では、IoT機器の脆弱性を狙ったサイバー脅威が高まっている現状を踏まえ「IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」を開催し、2023年5月に中間報告を取りまとめ、23年度中の最終報告、24年度中の制度の一部運用開始に向けて議論を継続している。