よむ、つかう、まなぶ。
資料3-2:事務局参考資料 (28 ページ)
出典
| 公開元URL | https://www.digital.go.jp/councils/digital-cybersecurity/b37edb39-2a1c-4a1f-8c5e-431fcc299cd5 |
| 出典情報 | デジタル・サイバーセキュリティワーキンググループ(第1回 2/3)《デジタル庁》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
サイバーセキュリティ政策に関する国際的な動向
⃝ 欧米を中心に、①セキュア・バイ・デザイン*の概念に基づく製品のサイバーセキュリティ対策に対する要請や、②重
要インフラ事業者等に対するインシデント報告等の義務化、③企業のサイバーセキュリティ対策水準を整備・可視
化等する動きが加速。* IT 製品(特にソフトウェア)が、設計段階から安全性を確保されていることを指す。
①IoT・ソフトウェア製品に対するセキュリティ要件
EU サイバーレジリエンス法(EU Cyber Resilience Act)
• デジタル要素を備えた製品(ソフトウエア含む)の製造者に対し、
①セキュリティ特性要件に従った上市前の設計製造、②上市後に積
極的に悪用された脆弱性・インシデントの報告等を義務付け。
• 2024年12月に発効。報告義務の運用開始は2026年9月、その
他は2027年12月開始。
サイバー・トラスト・マーク(U.S. Cyber Trust Mark)
• 消費者向け無線IoT製品が対象の任意ラベリング制度。ルータ、
スマートメーター等一部製品については、個別のセキュリティ要件
が定義される見込み。2024年7月に最終規則公表。
PSTI法
(Product Security and Telecommunication Infrastructure Act)
• 2022年12月に、消費者向けIoT機器の製造者等に対するセ
キュリティ基準への自己適合宣言を義務付けるPSTI法が成立。
•
2024年4月に、適用が開始され、英国内で製造や流通、販売を行う場
合には、3つのセキュリティ要件を含む同法で規定されたセキュリティ対策の
遵守が義務づけられた。
※PSTI法で規定されている3つのセキュリティ要件とは、共通パスワード設定の禁止、脆弱性
情報の提供、セキュリティサポート期間の明示。
②重要インフラ事業者等に対するインシデント報告等の義務
重要インフラに係るサイバーインシデント報告法
(Cyber Incident Reporting for Critical Infrastructure Act of 2022)
• 「重要インフラ」に対し、①重大なサイバーインシデントの認知後72時間以内、②ランサム支
払後24時間以内に米CISAへの報告等を義務付け。
• 2022年3月成立、2024年4月規則案公表。
NIS 2指令(Directive (EU) 2022/2555)
• 2016年NIS指令から対象セクターを拡大。対象の主要/重要エンティティに対し、①サイ
バーセキュリティ・リスクマネジメントの強化、②重大なサイバーインシデントの認知後24時間
以内に早期警告、72時間以内にCSIRT又は管轄省庁に報告等を義務付け。2023年1月
発効、2024年10月18日より執行。
※豪州においても、特定の事業者に対しランサム支払い後72時間以内の報告を義務付けるサイバーセキュリティ
法(下位法の制定を経て2025年5月30日より適用予定)が存在。
③企業のサイバーセキュリティ対策水準の整備・可視化
サイバー・エッセンシャルズ(UK Cyber Essentials)
• 英NCSCが全ての企業に対し、一般的なサイバー攻撃への防御策を提供することを目的として
設計した、自己適合、第三者診断の二段階で構成される認証制度。
• 一部政府及び公的機関の調達において必須要件として課される場合がある。
※豪州においても、すべての組織を対象とする4段階の基準(エッセンシャル・エイト)が存在。
※米国においても、米国防省がその請負業者等と共有する機密性の高い情報の保護を目的に設計したサイバーセ
キュリティ成熟度モデル認証(CMMC。2023年12月に2.0版が発効。)が存在。
28
⃝ 欧米を中心に、①セキュア・バイ・デザイン*の概念に基づく製品のサイバーセキュリティ対策に対する要請や、②重
要インフラ事業者等に対するインシデント報告等の義務化、③企業のサイバーセキュリティ対策水準を整備・可視
化等する動きが加速。* IT 製品(特にソフトウェア)が、設計段階から安全性を確保されていることを指す。
①IoT・ソフトウェア製品に対するセキュリティ要件
EU サイバーレジリエンス法(EU Cyber Resilience Act)
• デジタル要素を備えた製品(ソフトウエア含む)の製造者に対し、
①セキュリティ特性要件に従った上市前の設計製造、②上市後に積
極的に悪用された脆弱性・インシデントの報告等を義務付け。
• 2024年12月に発効。報告義務の運用開始は2026年9月、その
他は2027年12月開始。
サイバー・トラスト・マーク(U.S. Cyber Trust Mark)
• 消費者向け無線IoT製品が対象の任意ラベリング制度。ルータ、
スマートメーター等一部製品については、個別のセキュリティ要件
が定義される見込み。2024年7月に最終規則公表。
PSTI法
(Product Security and Telecommunication Infrastructure Act)
• 2022年12月に、消費者向けIoT機器の製造者等に対するセ
キュリティ基準への自己適合宣言を義務付けるPSTI法が成立。
•
2024年4月に、適用が開始され、英国内で製造や流通、販売を行う場
合には、3つのセキュリティ要件を含む同法で規定されたセキュリティ対策の
遵守が義務づけられた。
※PSTI法で規定されている3つのセキュリティ要件とは、共通パスワード設定の禁止、脆弱性
情報の提供、セキュリティサポート期間の明示。
②重要インフラ事業者等に対するインシデント報告等の義務
重要インフラに係るサイバーインシデント報告法
(Cyber Incident Reporting for Critical Infrastructure Act of 2022)
• 「重要インフラ」に対し、①重大なサイバーインシデントの認知後72時間以内、②ランサム支
払後24時間以内に米CISAへの報告等を義務付け。
• 2022年3月成立、2024年4月規則案公表。
NIS 2指令(Directive (EU) 2022/2555)
• 2016年NIS指令から対象セクターを拡大。対象の主要/重要エンティティに対し、①サイ
バーセキュリティ・リスクマネジメントの強化、②重大なサイバーインシデントの認知後24時間
以内に早期警告、72時間以内にCSIRT又は管轄省庁に報告等を義務付け。2023年1月
発効、2024年10月18日より執行。
※豪州においても、特定の事業者に対しランサム支払い後72時間以内の報告を義務付けるサイバーセキュリティ
法(下位法の制定を経て2025年5月30日より適用予定)が存在。
③企業のサイバーセキュリティ対策水準の整備・可視化
サイバー・エッセンシャルズ(UK Cyber Essentials)
• 英NCSCが全ての企業に対し、一般的なサイバー攻撃への防御策を提供することを目的として
設計した、自己適合、第三者診断の二段階で構成される認証制度。
• 一部政府及び公的機関の調達において必須要件として課される場合がある。
※豪州においても、すべての組織を対象とする4段階の基準(エッセンシャル・エイト)が存在。
※米国においても、米国防省がその請負業者等と共有する機密性の高い情報の保護を目的に設計したサイバーセ
キュリティ成熟度モデル認証(CMMC。2023年12月に2.0版が発効。)が存在。
28