生成AIの進化や地政学リスクの高まりを背景に、サイバー攻撃はますます高度化・複雑化している。サプライチェーン全体でのレジリエンス強化が急務となるなか、企業は今、何をすべきか。

9月9日~11日に開催されたオンラインイベント「TECH+フォーラム セキュリティ 2025 Sep. 自社にとっての最適解を探る」において、経済産業省 商務情報政策局 サイバーセキュリティ課 企画官の出口聡氏は、国内外の最新の攻撃動向から、それに対応すべく政府が進める政策の全体像、そして特に経営層が果たすべき役割について解説した。

ますます深刻化・巧妙化するサイバー攻撃の現状

講演の冒頭、出口氏はサイバー攻撃を取り巻く現状について説明した。攻撃主体は多様化しており、なかでも高度な攻撃を仕掛けてくるのが、国家の支援を受けたAPT(Advanced Persistent Threat)攻撃グループである。「APTグループは、コストを度外視して必要かつ高度な攻撃を行う。多くの企業が直接の標的になることはないが、重要インフラ事業者や高度な技術情報を取り扱う企業は特に注意が必要」と同氏は警鐘を鳴らす。近年、安全保障や先端技術に関する情報を狙った攻撃が実際に発生しており、地政学リスクの増大とともにその脅威は高まっている。

一方で、より多くの企業にとって身近な脅威となるのが、金銭目的のサイバー犯罪組織による攻撃だ。攻撃ツールの販売から攻撃拠点の時間貸しまで、犯罪がサービス化・産業化しており、あらゆる企業が標的になり得る。2024年6月に発生したKADOKAWAのランサムウェア被害のように、事業活動の停止に追い込まれる深刻な事例も後を絶たない。

こうした状況を裏付けるデータとして、情報処理推進機構(IPA)が発表する「情報セキュリティ10大脅威 2025」が紹介された。組織向け脅威の第1位は「ランサム攻撃による被害」、そして第2位には「サプライチェーンや委託先を狙った攻撃」が挙げられている。これは、セキュリティ対策が比較的脆弱な中小企業を踏み台にして取引先の大企業へ侵入する手口であり、サプライチェーン全体での対策がいかに重要かを示唆している。

4本柱で進める経産省のサイバーセキュリティ政策

サイバーセキュリティを巡る動向は、国際的にも活発化している。欧米を中心に、製品やサービスの企画・設計段階からセキュリティを確保する「セキュア・バイ・デザイン」の概念が浸透し、重要インフラ事業者に対するインシデント報告の義務化など、法制度の整備も加速している。

こうした国際動向を踏まえ、経済産業省では、サイバーセキュリティ政策を以下4本の柱で推進している。

  • 1. サプライチェーン全体での対策強化
  • 2. セキュア・バイ・デザインの実践
  • 3. 政府全体でのサイバーセキュリティ対応体制の強化
  • 4. サイバーセキュリティ供給能力の強化
    • 経済産業省が進める4本柱のサイバーセキュリティ政策

      経済産業省が進める4本柱のサイバーセキュリティ政策

    【施策1】サプライチェーン全体での対策強化

    Society 5.0の実現に向けてサプライチェーンが拡張するなか、その全体を守るための指針として2019年に策定されたのが「サイバーフィジカルセキュリティ対策フレームワーク(CPSF)」である。現在、2025年度中の国際規格化を目指して手続きが進められている。このCPSFを軸に、工場分野や半導体分野など、各領域に特化したガイドラインの整備も進む。

    特に大企業・中堅企業の経営層に向けては、「サイバーセキュリティ経営ガイドライン」の活用が強く推奨された。出口氏は、「経営者がリーダーシップを発揮し、自社だけでなくサプライチェーン全体を守るという意識を持つことが重要。取引先に一方的に対策を押し付けるのではなく、積極的なコミュニケーションを通じて良好な関係を構築し、共にセキュリティレベルを高めていく姿勢が求められる」と訴えかけた。

    また、サプライチェーンの重要な担い手である中小企業への支援策も複数展開されている。事業者が自ら対策を宣言する「SECURITY ACTION」制度や、何をすべきか分からない企業向けに必要不可欠なサービスを月額1万円程度の低価格でパッケージ化した「サイバーセキュリティお助け隊サービス」などが紹介された。後者はすでに全国で8500社以上の導入実績があるという。

    さらに、新たな取り組みとして「サプライチェーン企業のセキュリティ対策評価制度」の構築が進められている。これは、取引先ごとに異なる対策要求に疲弊する企業や、取引先の対策状況を把握できない企業を支援するための仕組みだ。脅威レベルに応じた3つ星から5つ星の基準を設け、対策状況を可視化することで、サプライチェーン全体の底上げを図る。2026年度中の制度開始を目指している。

    【施策2】セキュア・バイ・デザインの実践

    セキュア・バイ・デザインの実践に向けた具体的な取り組みとして、2025年3月から運用が開始された「IoTセキュリティ適合性評価制度(通称:JC-STAR)」がある。これは、IoT製品のセキュリティレベルを評価し、ラベルによって可視化する制度である。すでに約500製品がラベルを取得済みだという。今後は、より高度な基準の策定も進められる。

    ソフトウェア分野では、ソフトウェア部品表(SBOM)の活用が促進されている。SBOMはソフトウェアを構成するコンポーネントを一覧化したものであり、脆弱性が発見された際に迅速な影響範囲の特定と対応を可能にする。2024年8月には、脆弱性管理プロセスなどを具体化した改訂版の「SBOM導入の手引き」が公表された。

    【施策3・4】政府の体制強化と国内産業の育成

    政府全体の対応体制強化として、IPA内に設置されたAPT攻撃への対策に特化したチーム「J-CRAT」の機能強化が進められている。被害企業への支援実績も着実に積み上がっており、今後も産業界全体の防御力強化に貢献していく。

    そして、長期的な視点では、セキュリティ製品・サービスを供給する国内産業の競争力強化が不可欠である。現状、国内で利用される製品の多くを海外製品が占めている。この状況を打破するため、「サイバーセキュリティ産業振興戦略」が策定された。有望な国内スタートアップ製品を政府機関が率先して活用することで実績づくりを支援したり、約300億円規模の研究開発プロジェクトを推進したりすることで、国内企業の売上高を2035年までに現在の3倍超に増やすという野心的な目標を掲げている。

    人材育成も急務であり、トップレベルの能力を持つ人材から、中小企業の対策を支える人材まで、各層に応じた育成・確保策が検討されている。

    産業界への3つのメッセージ

    最後に出口氏は産業界、特に経営者に向けて3つのメッセージを送った。

    1. セキュア・バイ・デザインの実践
    ITサービスや製品の提供事業者に対し、調達の段階からセキュリティ対策を明確に要求すること。JC-STARラベル取得済み製品を優先的に購入するなど、市場原理を通じてセキュアな製品が選ばれる文化を醸成する必要がある。

    2. 中小企業向け施策の積極的活用
    サプライチェーンを構成するパートナーである中小企業に対し、「サイバーセキュリティお助け隊サービス」のような支援策の活用を積極的に促すこと。大企業はパートナーシップの観点から、中小企業との対話を密にし、共に成長していく視点が不可欠である。

    3. 価値創造経営の一環としての位置付け
    サイバーセキュリティへの投資を、単なるコストとしてではなく、中長期的な企業価値向上に向けた取り組みと位置付けること。そして、その取り組みについて、投資家を含む利害関係者から理解を得るため、積極的な情報開示を行うことが求められる。

    同氏は「サプライチェーン全体でのサイバーレジリエンスを強化するためには、これらの取り組みが必要不可欠。ぜひ、積極的な取り組みをお願いしたい」と述べ、産官連携によるサイバーセキュリティ対策の重要性を改めて強調して講演を締めくくった。