経済産業省及び内閣官房国家サイバー統括室は10月30日、「サイバーインフラ事業者に求められる役割等に関するガイドライン(案)」の日本語版・英語版を公開した。10月30日から12月30日まで、パブリックコメントを募集している。
同ガイドライン(案)は、ソフトウェアの開発・供給・運用を行う「サイバーインフラ事業者」に求められる役割等について整理・解説し、当該事業者やその顧客がサイバーセキュリティ対策の実効性を確保するための参考となる考え方を示したもの。
同ガイドライン(案)では、ソフトウェア・サプライチェーンのサイバーセキュリティに関するレジリエンス向上のために求められる責務と、責務を果たすための要求事項(具体的取組)について、下記の6つのカテゴリで整理している。
【6つの責務】
・サイバーインフラ事業者が認識すべき責務
1.セキュリティ品質を確保したソフトウェアの設計・開発・供給・運用
2.ソフトウェアサプライチェーンの管理
3.残存脆弱性への速やかな対処
4.ソフトウェアに関するガバナンスの整備
5.サイバーインフラ事業者・ステークホルダー間の情報連携・協力体制の強化
・顧客に求められる責務
6.顧客の経営層のリーダーシップによるリスク管理とソフトウェア調達・運用
【6つの要求事項】
・サイバーインフラ事業者に求められる要求事項
1.セキュアな設計・開発・供給・運用
2.ライフサイクル管理、透明性の確保
3.残続する脆弱性の速やかな対処
4.人材・プロセス・技術の整備
5.サイバーインフラ事業者・ステークホルダー間の関係強化
・顧客に求められる要求事項
6.顧客によるリスク管理とセキュアなソフトウェアの調達・運用
サイバーインフラ事業者は、同ガイドライン(案)の要求事項をチェック項目として、自組織及びソフトウェア・サプライチェーンに関連する事業者の取組の過不足を確認することで、当該サプライチェーン上のサイバーセキュリティ対策の成熟度を向上させるツールとして活用できる。
顧客は、同ガイドライン(案)の要求事項をチェック項目として、ソフトウェアの調達先となるサイバーインフラ事業者の取組を把握することで、適切な調達先の選定が可能となり、サイバーセキュリティ上のリスク管理につなげること等が期待できる。
同省では今後、パブリックコメントの意見を踏まえ、当該ガイドラインを成案化するとともに、ガイドラインの活用促進に向けた付属文書としてのチェックリストの拡充等の取組を行っていく予定。
