具体的な役割と要求事項を整理

サイバーセキュリティ基本法は、サイバー関連事業者にサイバーセキュリティを確保するための努力義務を求めている。今年7月の法改正により、情報システム供給者に対し、利用者のサイバーセキュリティ確保を支援するための努力義務を盛り込んだ。

これを踏まえて、経産省はガイドライン（案）を策定。ソフトウェアやクラウドサービスなどの開発・供給・運用を行う情報システム供給者を「サイバーインフラ事業者」と位置づけて、具体的な役割と要求事項を整理した。

ガイドライン（案）はソフトウェア開発ベンダー、ソフトウェア販売会社、ソフトウェア運用ベンダーなどのサイバーインフラ事業者の責務を示している。責務として、セキュリティ品質を確保したソフトウェアの開発・供給・運用、ソフトウェアサプライチェーンの管理、残存脆弱性への速やかな対処などがある。

事業者に5点の要求事項

必要となるサイバーセキュリティ対策として、（1）セキュアな設計・開発・供給・運用、（2）ライフサイクル管理と透明性の確保、（3）残存する脆弱性の速やかな対処、（4）人材・プロセス・技術の整備、（5）サイバーインフラ事業者・ステークホルダー間の関係強化――を求めている。

セキュアな設計・開発・供給・運用の要求事項は、設計時のリスク評価と対策の追跡、テスト、サービスのモニタリングなど。残存する脆弱性の速やかな対処では、継続的な調査、検知した脆弱性への対応などを挙げた。

また、サイバーインフラ事業者の顧客に対しても、経営層のリーダーシップによるリスク管理と、セキュアなソフトウェアの調達・運用を要求している。