SBOM活用含む)を求められます。
実務への影響・企業の対応策
本ガイドライン(案)は「求められる水準」を可視化します。SIer、クラウド、機器ベンダー、SaaS、販売会社、自社開発部門を横断して、以下の整備が急務です。
・経営レベル:サイバーリスクを経営リスクに統合、KPI/KGI(例:MTTR、パッチ適用率)と監査の設定
・開発:設計リスク評価の記録化、セキュアコーディング基準、ツールチェーン指定、CIでのSCA/静的解析/署名検証
・供給:リリースごとの出所データ(SBOM含む)管理、改ざん防止アーカイブ、顧客向けセキュア設定ガイド
・運用:資産台帳・分離設計、重要サービスのモニタリング、勧告の迅速配備と検証
・サプライチェーン:契約へのセキュリティ要件組込み、非適合時のリスク対処プロセス、脆弱性情報共有ルート
業種別には、クラウド/通信は多層委託の透明化、製造は組込みSWのサポート期間と更新経路の設計、重要インフラは調達仕様でSBOMと脆弱性対応SLAの標準化が焦点です。
施行時期と今後のスケジュール
令和6年度に案を取りまとめ、令和7年度にガイドラインを成案化。付属のチェックリスト拡充や、政府機関・重要インフラの調達での参照など普及策を検討します。企業は2025年度内に自己診断とギャップ是正計画(優先度:脆弱性対応体制→SBOM運用→契約条項整備)を策定するのが実務的です。
まとめ
本ガイドライン(案)は、ソフトウェア・サプライチェーンの「見える化」と責務分担を通じ、国内の実装水準を国際レベルに揃える設計図です。経営主導でのガバナンス、SBOM等の透明性、迅速な脆弱性対処、協調的な情報連携――この4点を柱に、調達・開発・運用を再設計することが企業の競争力と信頼性を左右します。
出典:内閣官房国家サイバー統括室ほか「サイバーインフラ事業者に求められる役割等に関するガイドライン(案) 概要」(令和7年10月)。
