日本政府の産業のサイバーセキュリティ戦略に対して企業はどのような対応が求められるか

近年、デジタル技術の急速な進展に伴い、サイバー攻撃の高度化・複雑化が著しく、産業界におけるサイバーセキュリティ対策は国家レベルの安全保障課題へと発展しております。経済産業省を中心とした政府機関は、サプライチェーン全体の強化から国際連携まで多角的な政策を展開し、産業競争力の維持とサイバー空間の安定化を両立させる戦略を推進しています。企業経営層がこれらの政策動向を的確に把握し、官民連携の枠組みに能動的に参画することが、持続可能な事業運営の鍵となります。本稿では、省庁の政策体系を国際的動向との関連性から解釈し、経営戦略に組み込むべき具体的手法を考察します。

1．サプライチェーン全体のレジリエンス強化

経済産業省が2019年に策定した「サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）」は、製品の設計から廃棄までを対象としたリスク管理のガイドラインです。三層構造モデルを用いて物理空間とサイバー空間の相互作用を可視化し、攻撃経路の分析と対策要件の標準化を推進しています。重要インフラ分野では、ビルシステム向けにインシデント対応ガイドラインを追加するなど、2023年にかけて分野別の実装指針を拡充しています。

サプライチェーン対策では、トヨタ自動車やルネサスエレクトロニクスがSBOM（Software Bill Of Materials）の導入を先行し、ソフトウェア構成の可視化を通じた脆弱性管理を実践しています。経済産業省はこれを受けてSBOM作成を義務化する方針を打ち出す可能性があります。

IoT機器については「JC-STAR適合性評価制度」を運用し、2025年3月からSTAR-1レベルの認証が開始されます。

2．官民連携によるインシデント対応基盤の構築

内閣サイバーセキュリティセンター（NISC）は、重要インフラ14分野を対象に「横断的アタックサーフェスマネジメント事業」を2024年度に開始し、政府機関のIT資産監視を強化しています。能動的サイバー防御については、2025年1月に自民党が法案審査を了承し、2027年の施行を目指す法整備が進行中です。

ランサムウェア対策を含むサイバー攻撃対策として、警察庁は「サイバーインテリジェンス情報共有ネットワーク（CCIネットワーク）」を通じた情報分析を実施しています。2023年12月末時点で、全国約8,600の事業者等がこのネットワークに参加し、標的型メール攻撃をはじめとする情報窃取を企図したとみられるサイバー攻撃に関する各種情報を共有しています。警察は、これらの情報を総合的に分析し、事業者等に対して分析結果に基づく注意喚起を行っています。

一方、中小企業向けのサイバーセキュリティ対策支援として、経済産業省が推進する「サイバーセキュリティお助け隊サービス」があります。このサービスでは、UTM（統合脅威管理）やEDR（エンドポイント検知・対応）などのセキュリティ監視ツールの設置と24時間365日の監視、相談窓口の設置、リモート支援、必要に応じた駆けつけ支援などを提供しています。ただし、「お助け隙」は主に中小企業向けの予防的・継続的なサービスであり、被害企業への専門家派遣を主目的としたものではありません。

人的資源開発では、情報処理推進機構（IPA）が「CYDER演習」を活用し、年間約3,000名のセキュリティ人材を育成しています。製造業向けにはNICTが「模擬プラント演習」を実施し、OT（Operational Technology）分野の専門家育成と生産ラインのセキュリティ強化を両立させています。

3．多国間枠組みを活用したルール形成

外務省は国連オープンエンド作業部会（OEWG）において、2021年に発表した「サイバー行動に適用される国際法に関する日本政府の基本的な立場」に基づき、国連憲章を含む既存法の適用解釈を主導しています。

日米豪印「クアッドサイバーセキュリティ・パートナーシップ」では、主要な目標として、インド太平洋地域のサイバーセキュリティを包括的に強化する取り組みが行われています。この取り組みの中核には、重要インフラの保護が位置づけられており、サイバー攻撃に対する防御能力の向上と、インフラのレジリエンス強化が重視されています。同時に、サプライチェーンのセキュリティ確保も重要な目標とされ、リスク管理と評価の改善に焦点が当てられています。さらに、ソフトウェアセキュリティの向上も重要視されており、特に政府調達におけるセキュリティ基準の統一と強化が目指されています。これらの技術的側面に加えて、人材育成にも力を入れており、サイバーセキュリティの専門家集団の形成と能力向上を通じて、地域全体のサイバーレジリエンスを高めることを目指しています。最終的には、これらの目標を通じて、インド太平洋地域の安全性と安定性を確保し、自由で開かれた強靭な地域の実現に貢献することが、このパートナーシップの究極の目標となっています。

4．セキュリティ技術の国際標準化戦略

総務省が推進する「5Gセキュリティ認証スキーム」では、国際相互認証に向けた技術基盤を整備しています。2025年2月に開始予定の欧州ENISA「EU Cybersecurity Certification（EUCC）」との整合性を確保するため、2024年度にNICTが中心となり5Gコアネットワークの脆弱性検証を実施し、セキュリティガイドラインを改定しました。

量子耐性暗号技術では、NICTが開発した格子暗号ベースの「LOTUS」は、CRYPTREC（電子政府推奨暗号リスト策定プロジェクト）の活動を通じて国内標準化の検討対象となりました。ただし、国際標準化に関しては、米国NISTの耐量子暗号標準化プロジェクトに2017年に提案されたものの、2019年の候補絞り込み段階で、公開鍵サイズが大きく実用性に課題があることから選外となっています。2025年現在、国際標準化の主導権はNISTが選定したKyber（格子暗号）やSPHINCS+（ハッシュベース）などの方式に集中しています。

5．経営層が取るべき戦略的対応

5−1　ガバナンス体制の再構築

経営層は「サイバーセキュリティ経営ガイドライン」に準拠したリスク管理体制を確立する必要があります。具体的には取締役会内に専門委員会を設置し、四半期ごとに①サプライチェーンリスク評価 ②インシデント対応訓練結果 ③規制対応状況の3分野を監査対象とすることが推奨されます。CISO（最高情報セキュリティ責任者）の権限強化が必須であり、予算編成権限と緊急時の事業停止権限を付与することで、機動的な意思決定を可能とする組織設計が求められます。

リスクの定量化においては、一般社団法人JCICが開発した「サイバーリスク指標モデル」を活用し、最大想定損害額（PML）を算定する動きが広がっています。

経済産業省の「サイバーセキュリティ経営ガイドラインVer3.0」は、算定結果を経営報告書に記載するよう推奨しており、経営層は監査役と連携したガバナンス体制の構築が急務です。

5−2　官民連携プラットフォームの戦略的活用  

NISCが運用する「情報共有プラットフォーム（JISP）」は、約360の参加組織が脅威情報を共有する官民連携基盤です。製造業では、IPAが作成した「サプライチェーンセキュリティ手引書」を参照し、調達先のセキュリティ評価を調達条件に組み込む動きが広がっており、JISPで得られる脅威情報を補完データとして活用する事例が増加しています。  

5−3　国際認証取得と人材グローバル化

ISO/IEC 42001（AIマネジメントシステム認証）は2023年12月に発行されました。経済産業省はこの国際規格がAIシステムを開発、提供、または使用する組織にとって、安全で信頼性の高いAIシステムの構築に役立つと期待しており、主要企業への普及を支援していくことが考えられます。

欧州展開企業では、ISO 42001とEU AI法を組み合わせることで、コンプライアンスプロセスを効率化し、コスト削減につなげる動きがあります。両者は、AIガバナンスにリスクベースのアプローチを採用しており、EU AI法はAIシステムをハイリスクと禁止カテゴリーに分類しています。ISO 42001に準拠することで、EU AI法の要件を満たすための基盤を構築できます。例えば、ISO 42001は透明性、説明責任、倫理的信頼性を重視しており、これらはEU AI法の要求事項と整合しています。さらに、ISO 42001とEU AI法の要求事項には重複する部分があり、一方に対応することで他方の要件も部分的に満たすことができます。

6．結論

日本政府のサイバーセキュリティ政策は、国内産業の保護と国際的なルール形成を両輪とした総合戦略として進化を続けています。経営層がこれらの政策動向を戦略的に活用するためには、3つの核心的アプローチが有効です。第一に、省庁が提供するフレームワークを自社のガバナンス体系に組み込み、規制対応を超えた競争優位性の源泉とすること。第二に、官民連携プラットフォームを積極活用し、業界横断的な情報共有ネットワークを構築すること。第三に、国際認証取得と人材グローバル化を経営戦略の中核に据え、地政学リスクを軽減することです。デジタルと物理の境界が曖昧になる新たな産業時代において、官民の協働は単なるリスク管理ではなく、価値創造のエンジンとして機能し得ます。今まさに、経営層のリーダーシップが問われる時であると言えるでしょう。