ではまず、1番目の柱であるサプライチェーン全体の対策強化についてご説明します。経産省ではこれまで、サイバー・フィジカル・セキュリティ対策フレームワーク（ＣＰＳＦ）に基づいて、経営層向け、分野共通と産業分野個別双方の実務層向け等、多様なガイドラインを数多く策定してきました。例えばサイバーセキュリティ経営ガイドラインでは、経営者がリーダーシップを取ってセキュリティ対策を推進すること、サプライチェーン全体に目配りすること、社内外関係者との積極的なコミュニケーションを取ること等の基本原則を指摘した上で、リスク管理体制の構築やリスクの特定と対策の実装など、セキュリティ責任者等に指示すべき10点の重要事項を列記しています。

　これら業種別ガイドラインのうち、例として半導体関連産業のセキュリティ対策を取り上げてみたいと思います。現在、経産省は半導体産業の国内投資を推進していますが、一方で先端技術の塊である半導体は常にサイバー攻撃の脅威にさらされていると言っても過言ではありません。現実として台湾の大手半導体企業ＴＳＭＣはサイバー攻撃によって工場停止に追い込まれ、１９０億円もの損失が発生したという事例もあります。

　そこで経産省では25年10月に「半導体デバイス向上におけるＯＴ（オペレーションテクノロジー）セキュリティライン」を公表しました。ここでは半導体工場の特色を踏まえつつ、リスクの抽出に向けた取り組みなどを明記しています。また同ガイドラインの内容を、経産省の投資促進関係施策の要件等にひも付けることも検討しています。

　そのほか、サプライチェーン企業のセキュリティ対策評価制度の構築に向けて検討を進めており、26年度中の制度開始を目指しています。例えば大企業ですと関連企業にセキュリティアクションのチェックリスト等を送付し確認してもらったりしているのですが、その評価基準がまちまちで、どこに準拠すべきか分かりにくいという課題がありました。そこで国の方から、ベースとなる対策について松竹梅３段階に分類した評価基準を提示し、各企業間で共有してもらうことで、効率化が図られ評価を取得した企業にとっても信頼性が高まるのではないかと考えています。この評価基準制度は現在多くの産業分野から関心を寄せられており、それに応えられるよう具体化を図っていきたいと思います。

　一方、サプライチェーンを構成する主体となるのは中小企業ですので、これら中小のサイバーセキュリティを整備しないとサプライチェーンにおける脆弱性となってしまいリスクが高まります。が、中小企業サイドとすると「サイバーセキュリティの必要性を感じない」「具体的に何をすればよいかわからない」「十分にコストをかけられない」等の課題によって十分に進んでいないのが現状です。

　そこで経済産業省では、地域の支援機関とも連携しながら中小各社それぞれの課題やステップに沿った施策を推進しています。具体的には「SECURITY ACTION」制度、「サイバーセキュリティお助け隊サービス」の整備、「中小企業の情報セキュリティ対策ガイドライン」の策定などに取り組んでいます。

　中でも「お助け隊」は見守り、駆け付け、保険等のサイバーセキュリティ対策に不可欠な各種サービスを、ワンパッケージでかなり安価で提供するサービスとして注目されています。すでに25年３月末時点で約８４００件の利用実績を積みました。ＩＴ導入補助金の「セキュリティ対策推進枠」を活用することで、最大１５０万円、導入費用の２分の１、小規模事業者は３分の２まで補助を受けられます。そして経産省では今後、前述のサプライチェーン・セキュリティ評価制度に沿った新サービスの創設も予定しています。

ＩｏＴセキュリティ適合性評価制度（ＪＣ－ＳＴＡＲ）

　次いで２番目の柱、セキュア・バイ・デザインの実践について。現在広く普及しているＩｏＴ機器は他方でサイバー攻撃の起点になりやすく、安全性の高い機器の導入・活用がリスク低減の第１歩となります。しかしユーザーからは、どれが安全性の高い機器なのか判断しにくい、という声がありました。

　そこで国では、どのＩｏＴ製品がセキュリティ基準に適合しているか可視化する「セキュリティ適合性評価制度（ＪＣ－ＳＴＡＲ）を設けました。将来的には、１～４段階での適合性評価を目指すこととしており、まずは25年５月から最低限の技術基準に当たる★１つラベルの「適合ラベル取得製品リスト」を公開しています。政府機関、重要インフラ事業者、地方公共団体等に関連するガイドラインにはすでにＪＣ－ＳＴＡＲが位置付けられ、ラベルの取得が資源エネルギー庁の補助金交付の要件となっています。

　この適正評価の方向性は、政府・地方自治体や重要インフラ事業者についても広がりつつあり、調達における要件として活用が期待されています。また諸外国でも類似のラベリング制度が整いつつあり、今後はこれら各国間における制度の相互承認が求められていくと思われます。英国とは25年11月に相互承認文書を締結し、本年4月から施行を開始します。

　またソフトウエアについても、関連事業者がセキュリティに関し、どのような責務を負うのか取りまとめたガイドラインを成案化しているところです。その要点の一つはＳＢＯＭ（ソフトウエア部品構成表＝Software Bill of Materials） の活用促進です。脆弱性を検知するためにも、構成部品の把握・管理にＳＢＯＭを活用してもらえればと思います。23年7月にはＳＢＯＭ導入に向けた手引きも公表いたしました。

　３番目の柱、政府におけるサイバーセキュリティ体制の強化について。ＩＰＡではすでに14年７月にＪ－ＣＲＡＴことサイバーレスキュー隊を設置しており、各種サイバー攻撃の中でも国家を背景とした、逆に言えば通常ではなかなか検知しがたいような標的型攻撃を主な対象に、分析や調査など支援を実施してきました。今後は経済インテリジェンス収集の強化を図り、支援能力の一層の高度化を進めるつもりです。

サイバーセキュリティ産業振興戦略

　そして四つ目、最後の柱となるのが、25年３月に取りまとめられた「サイバーセキュリティ産業振興戦略」の推進です。サイバー攻撃が激しくなるのに相対してセキュリティビジネスの市場も国内外で伸長しています。しかし具体的なセキュリティ関連の製品やツールは主に海外からの輸入に依存しているのが現状です。例えばＥＤＲという、パソコンや携帯の中の挙動を感知し異常を検知・対応するツールは上位３社の米国企業がシェア75％を占めています。

　背景として、ユーザーはどうしてもこれまでの利用実績や価格を重視するため国産であっても需要が低く、国内企業としても事業として成り立たないという状況がありました。結果、開発投資に回らず産業として成長できないという悪循環に陥っています。

　とはいえ、市場の拡大、安全保障、デジタル赤字の解消等の観点も含め、サイバーセキュリティ産業の基盤強化が必要であるのは、これまで述べてきた通りです。「サイバーセキュリティ産業振興戦略」はこのような観点から、策定されました。

　同戦略では、現状の課題解決に向けた主たる対応として、三つの方策を掲げています。

　一つ目が、国内スタートアップが実績をつくりやすくなるよう、有望な製品やサービスがユーザーに広く認知される仕掛けをつくること。まずは政府機関がスタートアップの製品を積極的に調達して実績を積み、次なる事業展開の契機としてもらうことを考えています。また、有望な製品やサービスの情報をリスト化するのも一案です。次いで、新技術や製品が創出・発掘されやすい環境を構築することが重要です。そのためにコンテスト形式による懸賞金事業を実施したり、また既に24年７月より５年間で約３００億円規模の研究開発プロジェクトの実装を進めています。三つ目、やはり専門人材の確保が求められます。高度人材育成プログラムの拡充や海外展開の支援等を考えています。これらの施策を講じ、現在約０・９兆円規模の国内市場を、10年後に３兆円超へ拡大させることを目指しています。

　このうち研究開発プログラムに関しては、産業界中心に（一社）サイバーリサーチコンソーシアムを設立しており、未知の攻撃を早期発見する、あるいはＡＩを活用しながら自社システムの脆弱性を検知する技術の研究開発等に取り組んでいます。

　またセキュリティ人材の育成については、経産省内でも既に育成プログラムを立ち上げ、人材不足への対応を図っています。核となるのは、若年層の人材発掘の裾野を拡大しトップクラスの人材へ育成する「セキュリティキャンプ」、制御技術（ＯＴ）と情報技術（ＩＴ）の知見を結集させセキュリティの中核拠点となるＩＰＡ産業サイバーセキュリティセンターにおいて１年間集中トレーニングを行う「中核人材育成プログラム」、セキュリティに係る専門的な知識・技能を備えた国家資格「情報処理安全確保支援士」等々、です。このうち「中核人材育成プログラム」は、各重要インフラ事業分野などから人材が派遣され、海外とも協調した実践的トレーニングを積むとともに、プログラム終了後も人的ネットワークが構築・維持されるとして、非常に高い評価を得ております。ぜひ、関心ある企業の方は人材の派遣をご検討いただきたいと思います。

　サイバーセキュリティは官民の強固な連携が求められるテーマですので、経産省としても引き続き政策の強化に励むとともに、産業界のご協力を得られましたら何よりです。
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　(月刊『時評』2026年2月号掲載)