ホーム > blog > サイバーインフラ事業者ガイドライン案の責務と要求事項

サイバーインフラ事業者ガイドライン案の責務と要求事項

2025.11.02

• blog
• SBOM
• ガイドライン案
• サイバーインフラ事業者
• セキュアバイデザイン
• 改正サイバーセキュリティ基本法
• 経済産業省
• 責務

【改正サイバーセキュリティ基本法】（2025年７月施行）に基づき、新たなガイドライン案(経産省）が公開されました。自社が「サイバーインフラ事業者」として何をすべきか、具体的な責務や要求事項が分からずお困りではありませんか？

この記事では、経済産業省と内閣官房が示したガイドライン案に基づき、事業者に課される５つの責務と顧客の責務を体系的に解説します。

顧客とサイバーインフラ事業者の適切な役割分担と責務の在り方について―」の概要

サイバーインフラ事業者の５つの責務と要求事項

ガイドライン案は、ソフトウェア開発ベンダーや運用ベンダーなどの「サイバーインフラ事業者」に対し、５つの基本的な責務を定義しています。これらは全て、経営層がリーダーシップを持って実施する必要があります。

責務１：セキュリティ品質を確保したソフトウェアの設計・開発・供給・運用

ソフトウェアのライフサイクル全体で、セキュリティを確保する責務です。「セキュアバイデザイン」と「セキュアバイデフォルト」の原則に基づいた行動が求められています。

要求事項(1)：セキュアな設計・開発・供給・運用

この責務を果たすため、以下の４項目の個別要求事項が示されています。

• (1)-1 設計時のリスク評価と対策の追跡
  リスクベースでセキュリティ要件を定義し、設計レビューやリスク対応を記録・保持し、定期的に確認します。
• (1)-2 セキュアなビルド
  セキュアコーディングのプロセスを定義・実施します。設定ファイルを含むコードベース全体をレビューし、検証とフィードバックを行います。
• (1)-3 テスト
  脅威モデルとリスク分析に基づきテスト計画を立てます。機能テスト、脆弱性テスト、ファジング、侵入テストなどを実施します。
• (1)-4 サービスのモニタリング
  資産管理やモニタリング環境を整備し、セキュリティメカニズムの継続的な評価を行います。

責務２：ソフトウェアサプライチェーンの管理

自社が提供するソフトウェアだけでなく、それ含まれる外部コンポーネントも含めたサプライチェーン全体を管理する責務です。特にSBOM（ソフトウェア部品表）の活用が鍵となります。

要求事項(2)：ライフサイクル管理、透明性の確保

サプライチェーンの透明性を確保し、顧客がリスクを判断できる情報を提供する必要があります。

• (2)-1 セキュアなコンポーネントの手配
  外部調達コンポーネントの安全性を確認し、公知の脆弱性を定期的にチェックします。
• (2)-2 リリースファイルやデータのセキュアなアーカイブ
  コードベースを保護し、各リリースをアーカイブ化します。SBOM（ソフトウェア部品表）を通じて出所データを収集・共有することが重要です。
• (2)-3 関係者間のセキュリティ要件の確立
  サードパーティとの契約にセキュリティ要件を明記し、不適合時のリスク対処プロセスを整備します。
• (2)-4 利用者への適切な情報提供
  ソフトウェアの導入・設定・操作・廃棄に関する情報や、整合性検証情報を継続的に提供します。

責務３：残存脆弱性への速やかな対処

ソフトウェアのリリース後に発見された「残存脆弱性」に対し、迅速かつ誠実に対応する責務です。脆弱性情報を収集し、迅速に分析・対処し、顧客へ通知する体制が求められます。

要求事項(3)：残存する脆弱性の速やかな対処

脆弱性を「見つけ、直し、改善する」ための具体的な取組は以下の通りです。

• (3)-1 継続的な脆弱性調査
  脆弱性対応体制を設置し、公知情報や利用者からの通知を通じて情報を収集します。
• (3)-2 検知した脆弱性への対処
  脆弱性の影響を分析し、リスク対応計画を実装します。セキュリティ勧告を作成し、供給先への情報提供や制度報告を行います。
• (3)-3 対処結果を組織のプロセス改善に活用
  根本原因を特定し、再発防止のために開発プロセスを見直します。

責務４：ソフトウェアに関するガバナンスの整備

セキュリティ対策を属人的な努力に頼るのではなく、組織全体としての仕組み（ガバナンス）を整備する責務です。経営層のコミットメントが不可欠です。

要求事項(4)：人材・プロセス・技術の整備

「人」「プロセス」「技術」の３つの側面から、合計６項目の要求事項が定義されています。

• (4)-1 人材：経営層のコミットメントと人員の整備
  経営層が役割と責務を定義・周知し、必要なトレーニングを提供します。
• (4)-2 プロセス：開発ポリシーの確立と法令順守
  開発インフラのセキュリティポリシーを文書化し、法令遵守と予算確保を行います。
• (4)-3 プロセス：運用ポリシーの確立と法令順守
  サービス運用インフラのセキュリティポリシーを定義し、監査によって確認します。
• (4)-4 プロセス：開発・運用基準の策定
  セキュリティ確認基準を定義し、適合性を追跡・監査します。
• (4)-5 技術：セキュアな開発ツールの整備
  リスクを軽減するツールを特定・配備し、証跡（ログ）が生成されるよう構成します。
• (4)-6 技術：セキュアな開発環境の整備
  各環境（開発・テスト・本番など）を分離・保護し、開発用エンドポイントの保護を強化します。

責務５：サイバーインフラ事業者・ステークホルダー間の情報連携・協力体制の強化

自社単独ではなく、他の事業者や関係当局、専門組織（ISACなど）と積極的に連携し、脅威情報や脆弱性情報を共有する責務です。

要求事項(5)：サイバーインフラ事業者・ステークホルダー間の関係強化

エコシステム全体でセキュリティレベルを向上させるため、以下の取組が必要です。

• (5)-1 情報連携のための組織体制
  民間企業同士や関係当局と情報連携体制を構築し、脆弱性情報通知サービスなどを活用します。
• (5)-2 協力体制の強化
  セキュリティコミュニティや協力体制を活用し、積極的に貢献します。

顧客の責務と要求事項

ガイドライン案は、事業者側だけでなく、ソフトウェアを利用する「顧客」（政府機関、重要インフラ事業者など）にも責務があると言及しています。

責務６：顧客の経営層のリーダーシップによるリスク管理とソフトウェア調達・運用

顧客は単なる受動的な利用者ではありません。セキュリティ要件を明確に提示し、調達基準を設定し、運用時のリスク管理を主体的に実施する責務を負います

要求事項(6)：顧客によるリスク管理とセキュアなソフトウェアの調達・運用

顧客には、主体的なリスク管理とセキュアな調達・運用のために、以下の７項目が求められています

• (6)-1.1 リスク管理
  主体的な取組と、事業者との契約に基づく協力的な取組を統合します。
• (6)-1.2 リソース整備
  既知の脆弱性への対処（SBOM活用を含む）のため、リソースを割り当てます。
• (6)-1.3 協力体制の活用
  セキュリティ改善目的のコミュニティや協力体制を活用します。
• (6)-2.1 セキュリティ要件の定義
  ソフトウェア設計計画に必要なセキュリティ要件を定義し、事業者に事前提示します。
• (6)-2.2 セキュリティ慣行の要求開示
  調達・導入前に、事業者に求めるセキュリティ慣行の開示を要求します。
• (6)-2.3 リスク評価に基づく意思決定
  リスク評価に基づいて調達・導入の意思決定を行います。
• (6)-2.4 予算確保
  ライフサイクルを考慮したソフトウェア運用、リスク対応、契約に係る継続的な予算を確保します。

【カード型レイアウト】責務と要求事項の対応構造

今回のガイドライン案は、「責務（基本理念）」と「要求事項（具体的取組）」が１対１で対応する形で整理されています。

---

ガイドライン導入の重要性と今後の展開

このガイドライン案は、合計６つの責務、６つの要求事項カテゴリ、28の個別要求事項（事業者向け21、顧客向け7）で構成されています。これにより、事業者と顧客が協力してレジリエンス（回復力）を向上させる枠組みが提供されます。

「セキュリティは誰の責任か」という曖昧さを解消し、経営層のリーダーシップの下で具体的な対策を実践することが可能になります。

今後の取組：

• パブリックコメント（2025年10月30日～12月30日）を経て、2025年中にガイドラインが成案化される予定です。
• 今後はチェックリストの拡充や、政府機関・重要インフラの調達基準での参照といった普及策が検討されます。

本ガイドラインは、米国やEUサイバーレジリエンス法など国際的な枠組みと整合性を図りつつ、【改正サイバーセキュリティ基本法】に基づく日本初の体系的な指針となります。

ご相談はこちらから