投稿:2025/12/05
更新:2025/12/01
経済産業省におけるサイバーセキュリティ政策について
皆様こんにちは。経済産業省サイバーセキュリティ課の出口と申します。本日は、経済産業省におけるサイバーセキュリティ政策の現状と今後の方向性について、特にこれからセキュリティ対策に取り組む中小企業の経営者やセキュリティ担当部署の皆様に向けてご説明させていただきます。
登壇者
経済産業省 商務情報政策局 サイバーセキュリティ課 企画官
出口 聡
ITサービス会社、シンクタンク、コンサルティング会社にて勤務した後、2012年より日立製作所でIT/セキュリティ関連の事業開発を担当。2018年よりNISC国際戦略Grに出向。主にASEAN向けの能力構築支援を担当。途上国向け能力構築支援基本方針の策定、官民連携事業の企画、国際事業者団体連盟の立上げ、外国人高度人材リテンション施策、普及啓発施策、JICA研修企画などに従事。2023年に日立製作所に出向復帰。主に海外グループ会社のITガバナンスを担当。2025年7月から現職。
サイバーセキュリティを取り巻く現状と多様化する攻撃主体
まず、現在のサイバーセキュリティ環境についてご説明します。サイバー攻撃を行う主体は、その目的や活動特性によって様々に分類されます。
-
家の支援を受けたグループ(APT攻撃グループ)
最も高度な攻撃を仕掛けてくるのがこの主体です。コストを度外視してでもミッションの達成を優先する攻撃集団であり、重要インフラ事業者や高度な技術情報を扱う企業は特に注意が必要です。 -
サイバー犯罪組織(クライム系)
金銭目的の攻撃グループであり、ほとんどの企業が標的となり得ます。攻撃ツールの制作・販売から攻撃拠点の時間貸しまで、犯罪サービスが分業化され、一大市場を形成しつつあります。
◆APT(Advanced Persistent Threat)とは
「高度で持続的な脅威」と訳される、特定の組織や国家を標的として、長期間にわたり潜伏しながら行われる執拗かつ高度なサイバー攻撃。主に国家が背景にある攻撃グループによって実行され、機密情報の窃取や重要インフラの破壊などを目的とする。
その他にも、社会的・政治的なメッセージ発信を目的とする「ハクティビスト」や、愉快犯的な「悪意のある個人」、知的財産の窃取を狙う「産業スパイ」などが存在します。自社がどの主体に狙われうるのか、リスクを分析した上で対策を進めることが重要です。
最近の国内外の事案を見ても、これらの攻撃主体による活動が活発化しています。
安全保障に関わる情報を狙うAPT攻撃グループ「MirrorFace」や「Salt Typhoon」、事業活動の停止を引き起こした(株)KADOKAWAへのランサムウェア攻撃、米国の重要インフラを標的とした中国発の「Volt Typhoon」、そしてサプライチェーンの委託先を起点に約482億円相当の暗号資産を窃取した「TraderTraitor」など、その手口は多様化し、被害も深刻化しています。
◆ランサムウェアとは
身代金(Ransom)とソフトウェアを組み合わせた造語。感染したPC等のデータを暗号化して使用不能にし、復旧と引き換えに金銭を要求するマルウェアの一種。近年では、データを暗号化した上で「盗んだ情報を公開する」と脅す二重恐喝の手口が主流。事業停止に直結する極めて深刻な脅威となっている。
地政学リスクの高まりとサプライチェーンへの脅威
AIなどのデジタル技術の発展は、サイバー攻撃をますます高度化・複雑化させています。実際に、サイバー攻撃関連の通信パケット数やフィッシングの報告件数は近年急激に増加しています。
それに加え、地政学リスクの増大とも相まって、安全保障にも関わるサイバー事案の脅威が高まっています。国家の支援を受けたグループによる高度な攻撃は、もはや対岸の火事ではなく、我が国の政府機関等への攻撃も現実に発生しています。
こうした状況は、IPA(情報処理推進機構)が毎年公表する「情報セキュリティ10大脅威」にも如実に表れています。2025年版では、1位に「ランサム攻撃による被害」、2位に「サプライチェーンの弱点を悪用した攻撃」がランクインしました。特にサプライチェーン攻撃は、セキュリティ対策が相対的に弱い中小企業を起点とし、取引関係のある大企業にまで被害が及ぶケースが多発しています。
また、7位には新たに「地政学的リスクに起因するサイバー攻撃」が選出されており、社会全体の脅威認識が変化していることが見て取れます。
このような脅威に対抗するため、国際的にも政策の動きが加速しています。欧米を中心に、製品の設計段階からセキュリティを確保する「セキュア・バイ・デザイン」の概念に基づく法規制や、重要インフラ事業者に対するインシデント報告の義務化、企業全体のセキュリティ対策水準を可視化する認証制度などが整備されています。
本日ご紹介する日本の政策も、こうした国際的な動向と軌を一にするものです。
中小企業が直面するサイバー攻撃の現状と対策の課題
本日は、サプライチェーンの要である中小企業の皆様に特に焦点を当ててお話ししたいと思います。
警察庁の公表資料によれば、ランサムウェア攻撃は高止まりの状況が続いており、令和6年には被害企業の6割以上を中小企業が占めました。
さらに深刻なのは、その影響です。IPAが実施した実態調査では、サイバー攻撃の被害に遭った中小企業の約7割が、「インシデントにより取引先にまで影響があった」と回答しています。中小企業への攻撃が、サプライチェーン全体を揺るがす事態に発展しているのです。
では、中小企業のセキュリティ対策はどのような状況にあるのでしょうか。同じくIPAの実態調査で、中小企業が取り組むべき対策をまとめた「SECURITY ACTION」の各項目の実施状況を調べたところ、課題が明らかになりました。
◆SECURITY ACTIONとは
中小企業自らが、情報セキュリティ対策に「取り組む」ことを自己宣言する制度。「情報セキュリティ5か条」に取り組む一つ星と、自社診断を経て基本方針を策定する二つ星の2段階がある。各種補助金の申請要件にもなっている。
「OSやソフトウェアを最新の状態にする」「ウイルス対策ソフトを導入する」といった基本的な対策は多くの企業で実施されていました。しかしその一方で、「緊急時の体制整備」や「情報セキュリティ対策のルール化」といった組織的な対策については、半数以上の企業が実施できていない状況でした。個別の技術的対策だけでなく、組織全体としての取り組みが大きな課題となっていることが分かります。
サイバー安全保障の議論と新たな法整備
こうした脅威の深刻化を受け、政府全体としても法整備を含めた体制強化を進めています。本年5月に成立した「サイバー対処能力強化法」及び同整備法は、その中核となるものです。
この法律は、国家安全保障戦略に基づき、我が国のサイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させることを目的としています。
主なポイントとして、基幹インフラ事業者からのインシデント報告義務などを通じた「官民連携の強化」、攻撃者の特定などに向けた「通信情報の利用」、そして攻撃者のサーバー等への「アクセス・無害化措置」といった、より能動的な対応を可能にするための法的な枠組みが整備されました。これらを実行するための組織体制の強化も図られています。
経済産業省が推進するサイバーセキュリティ政策の全体像
ここからは、私たち経済産業省が現在取り組んでいるサイバーセキュリティ政策の全体像についてご説明します。
私たちは、
1. サプライチェーン全体での対策強化
2. セキュア・バイ・デザインの実践
3. 政府全体でのサイバーセキュリティ対応体制の強化
4. サイバーセキュリティ供給能力の強化
という4つの柱を軸に、各種施策を推進しています。それぞれの施策を詳しくみていきましょう。
サプライチェーン全体での対策強化制度の新設と中小企業支援
まず、サプライチェーン全体の対策強化です。この中核となるのが「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」です。
これは、Society5.0時代の複雑なサプライチェーンに求められるセキュリティの考え方を体系化したもので、現在、国際規格化を目指して手続きを進めています。
◆Society 5.0(ソサエティ5.0)とは
日本政府が提唱する、情報社会(Society 4.0)に続く未来社会のコンセプト。サイバー空間とフィジカル空間を高度に融合させ、AIやIoT等を活用して経済発展と社会的課題の解決を両立する。物理世界へのサイバー攻撃リスク増大に備えた新たなセキュリティ対策の構築が不可欠とされる。
このCPSFを基に、経営層向けの「サイバーセキュリティ経営ガイドライン」の策定、半導体関連産業のセキュリティ対策水準の見直し、企業向けの各種支援策を展開しています。
大企業・中堅企業向け「サイバーセキュリティ経営ガイドライン」
サプライチェーンの中でも上位に位置する大企業・中堅企業の皆様にぜひご活用いただきたいのが「サイバーセキュリティ経営ガイドライン」です。
このガイドラインは、経営者が自らリーダーシップを発揮し、組織的なセキュリティ対策を実践するために策定したもので、サイバーセキュリティ対策をリスク回避のコストとしてではなく、企業価値向上のための「投資」として捉える点がポイントです。
大企業の経営者の皆様は、自社の対策を主導するとともにサプライチェーン全体を守るという意識を持って、取引先との積極的なコミュニケーションをお願いいたします。一方的な対策の押し付けではなく、共にセキュリティレベルを向上させていく姿勢が重要です。
中小企業支援施策の3点セット
中小企業の皆様には、それぞれの課題やステップに応じた3つの施策を用意しています。
1. SECURITY ACTION
最初に行うべき対策をまとめた「きっかけづくり」で、現在41万社の企業がこのアクションを自己宣言されています。この宣言は補助金の要件ともなりますので、ぜひとも取り組んでいただきたいと思います。
SECURITY ACTIONサイト
https://www.ipa.go.jp/security/security-action/
2. サイバーセキュリティお助け隊サービス
何をすべきか分からない、コストをかけられないという企業様向けに、監視・駆付け・保険などを月額1万円程度の安価なワンパッケージで提供するサービスです。既に全国で約8,500件の利用実績があります。
サイバーセキュリティお助け隊サービス
https://www.ipa.go.jp/security/otasuketai-pr/
3. 中小企業の情報セキュリティ対策ガイドライン
自社の状況に応じた、より具体的な対策を進めるための手引書です。
「サプライチェーン対策評価制度」の新設
そして、今後のサプライチェーン対策の核となるのが、現在検討を進めている「サプライチェーン企業のセキュリティ対策評価制度」です。
「三つ星」から「五つ星」の基準で可視化する仕組みです。受注側は「どのレベルを目指せばよいか」が明確になり、発注側は「取引先の対策レベル」を客観的に把握できるようになります。
サプライチェーン全体での対策の底上げを図り、2026年度中の制度開始を目指しています。この制度の基準に準拠できるよう、先述の「中小企業向けガイドライン」も改訂を進めており、ガイドラインが実質的に評価制度の星を取得するための手引書となるよう整備していきます。
また、対策を進める上で専門家の助言が必要な場合は、国家資格者である「登録セキスペ(情報処理安全確保支援士)」を活用できるマッチング支援も行っています。
セキュア・バイ・デザインの実践:製品の安全性を可視化する
2つ目の柱は、セキュア・バイ・デザインの実践です。現在、ソフトウェアのセキュリティ確保に向けた各種ガイドラインの整備に取り組んでいます。
概念的な枠組みとして、NISC(内閣サイバーセキュリティセンター)とも連携し、「サイバーインフラ事業者に求められる役割」などを整理したガイドラインを策定中です。
さらに、より具体的な実践手法として、米国NIST(国立標準技術研究所)が策定したSSDF(Secure Software Development Framework)をベースに日本企業が導入しやすい形にした「導入ガイダンス」の策定も進めています。
◆セキュア・バイ・デザイン(SBD)とは
製品やサービスの企画・設計段階からセキュリティを確保するという考え方。開発の最終段階でセキュリティ機能を追加するのではなく、最初から安全な状態を組み込むことで、脆弱性の作り込みを減らし、より安全な製品を実現することを目指す。
この実践に向けた取り組みの第一弾が、「IoTセキュリティ適合性評価制度(通称:JC-STAR)」です。
どのIoT製品が安全なのかを客観的に評価し、星の数でセキュリティレベルを可視化するラベリング制度で、本年3月から最低限の基準である「★1」の運用を開始しました。今後はより高度な基準(★2以上)の策定を進めるとともに、政府調達の要件化などを通じて普及を図っていきます。
また、ソフトウェアの構成情報を可視化する「SBOM(Software Bill of Materials)」の活用も促進しています。脆弱性が発生した際に、自社の製品に影響があるかを迅速に把握するために不可欠な取り組みであり、その導入を手助けする手引書も公開しています。
◆SBOM(ソフトウェア部品表)とは
ソフトウェアを構成するコンポーネント(ライブラリ、モジュールなど)の一覧。各部品の名称、バージョン、提供元などの情報が記述されており、ソフトウェアの“成分表示表”に例えられる。SBOMがあることで、特定の部品に脆弱性が発見された際に、自社製品への影響を迅速に特定し、対応することが可能になる。
政府の体制強化と国内セキュリティ産業の供給能力強化
3つ目と4つ目の柱は、政府の体制強化と、国内セキュリティ産業そのものの力を高める取り組みです。
政府としては、IPAの「J-CRAT」と呼ばれる専門チームを中心に、国家背景のAPT攻撃などに対する情報集約・分析能力を強化しています。また、国内産業の供給能力強化については「サイバーセキュリティ産業振興戦略」を推進し、国内企業の売上高を足元の約0.9兆円から3倍超に増やすことを目指します。
さらに、セキュリティ人材の育成も急務です。若年層を発掘する「セキュリティ・キャンプ」の拡充や、OT・ITの知見を融合した「中核人材育成プログラム」などを通じ、あらゆる層での人材育成・確保を進めてまいります。
産業界へのメッセージ:経営層に求められる3つの取り組み
最後に、本日ご参加の産業界の皆様、特に経営層の皆様にお伝えしたいメッセージです。
サイバーセキュリティを取り巻く環境が厳しさを増す中、対策の強化は待ったなしの状況です。私たちは各種施策の普及啓発や新たな施策の展開に努めてまいりますが、その上で、皆様には「サイバーセキュリティ経営ガイドライン」に沿った対応、特に以下の3つの取り組みの強化をお願いいたします。
1. セキュア・バイ・デザインの実践
皆様がITサービスや製品を調達する際に、その提供事業者に対してセキュリティ慣行を求めてください。例えば、先述のJC-STARラベル取得済み製品を優先的に購入するなど、買い手側からの要求が市場を変える力になります。
2. 中小企業向け施策の積極的活用(促進)
自社だけでなく、サプライチェーンを構成する取引先の中小企業に対して、「お助け隊サービス」などの施策を周知し、活用を促してください。大企業と中小企業のパートナーシップ構築が、サプライチェーン全体のレジリエンス向上に不可欠です。
3. 価値創造経営の一環としての位置付け
サイバーセキュリティ対策をコストではなく、中長期的な企業価値向上に向けた「投資」として位置づけてください。そして、その取り組みの状況や考え方について、投資家を含む利害関係者との対話や情報開示を積極的に行っていただくことをお願いいたします。
これらの取り組みが、我が国全体のサイバーセキュリティ対策水準を強化する上で必要不可欠であると、私たちは考えております。是非、積極的なご協力をお願いいたします。
経済産業省のサイバーセキュリティ政策ウェブページはこちら
https://www.meti.go.jp/policy/netsecurity/index.html
