昨今、ソフトウェアサプライチェーンのセキュリティ確保は、産業界全体の重要な課題となっています。この動向を理解するため、今回は経済産業省が公開している「第16回サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」の関連資料を読み解き、そこから得られた知見を自身の学びとして整理しました。
概要
2025年7月30日にオンライン形式で開催されたこの会議では、サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法の検討の方向性が主要な議題となっています。具体的には、SSDF(セキュアソフトウェア開発フレームワーク:SP800-218 Secure Software
Development Framework)の導入ガイダンス案の策定や、ソフトウェアの安全な利活用に関する海外動向の共有、そして本年度に実施される調査・実証の詳細な進め方などが議論の中心となっています。
SSDF導入に向けた本年度の取り組み
ここでの目標は、米国国立標準技術研究所(NIST)のSSDFを国内事業者が実践するための文書を策定し、将来的には政府調達等での要件化を通じて実効性を高め、QUAD共通原則を履行することにあると述べられています。昨年度に初版が作成された「SSDF導入ガイダンス案(中間整理)」を基に、本年度は内容の拡充と成案化が進められます。
特に、本年度は産業分野ごとの実態に即して効果的にSSDFを導入・実践できること等を目的に、複数分野における調査・実証も行った上で、ガイダンス案の拡充などを進める方針が示されています。ガイダンスの拡充においては、ツール等を活用した効率的な導入策や、分野特性に応じた活用策の提示、さらにはSSDFタスクを実施しないことのリスク明確化といった、より実践的な内容が盛り込まれる計画であることが読み取れました。
ソフトウェアの安全利用に関する海外の動向
ソフトウェアの安全利用に関する海外動向についても議論されています。英国とカナダは、SSDFなどを参照した「サイバーセキュリティ行動規範」を発表し、セキュアな設計・開発を強く推奨しています。一方、G7ではAIサプライチェーンのリスクに対応するため、AIにおけるSBOM(ソフトウェア部品表)の共有ビジョンを打ち出しており、透明性確保の動きが加速していることがわかります。
米国では、政権交代に伴いソフトウェア調達要件の一部見直しがあったものの、SSDFの更新や関連ガイダンスの作成は引き続き推進される見込みです。また、開発者の90%がコーディングアシスタントを利用している現状を踏まえ、生成コードの脆弱性やライセンス違反、インプット情報の漏洩といったリスクへの具体的な推奨事項が提示されています。
同様にドイツとフランスは共同で、AIコーディングアシスタントの安全な活用に関するホワイトペーパーを発表しています。
AI活用における新たなセキュリティ課題への対応が国際的に進んでいることがわかりました。
本年度における調査・実証の進め方
最後に、本年度の調査・実証計画の詳細資料では主に3つの実証要件が挙げられています。
一つ目は、ツール等を活用したSSDF導入・実践の効果検証です。ツール未使用時と使用時の工数を比較することで、その有効性を客観的に評価されます。
二つ目は、個別産業分野の要求事項に対応したSSDFの活用策の確認であり、特に高度なセキュリティが求められる金融分野を対象に、セキュリティ・バイ・デザインやサードパーティリスク管理といった重点課題との対応関係が整理されます。
三つ目は、これらの実証結果を踏まえた、妥当なSSDF達成プラクティスレベルの段階数の確認です。現状の3段階レベル設定が導入のハードルとなる可能性を考慮し、リスクレベルに応じた柔軟な目標設定が検討されています。
おわりに
今回、産業サイバーセキュリティ研究会の公開資料群を体系的に読み解くことを通じて、ソフトウェア管理とサプライチェーンセキュリティというテーマの複雑さと、その対策が国内外で急速に進展している現状を改めて認識しました。
特に、NISTのSSDFを国内の実情に合わせて導入し、ツール活用による効率化や産業分野ごとの特性を考慮した実践的なガイダンスを策定しようとする取り組みは、非常に重要であると感じます。
また、米国や欧州主要国がAIとSBOMの連携といった先進的な課題に取り組んでいる動向からは、私たちが直面するセキュリティリスクが常に進化しており、継続的に最新の情報を追い、自身の知識をアップデートしていくことの重要性を再確認する機会となりました。
引き続き、各国の動向にも注目していきたいと思います。
