(3) サプライチェーンリスク対策に関する取組
総務省では、2019年度(平成31年度)から2021年度(令和3年度)にかけて5Gネットワークにおけるセキュリティ確保に向けた調査検討を実施している。仮想化基盤・管理系を含む5Gネットワーク全体を考慮した技術的検証を通じて、オペレータが留意すべきセキュリティ課題やその対策を整理し、2022年(令和4年)4月、その成果の一部として「5Gセキュリティガイドライン第1版8」を公表した。同ガイドラインは、2022年(令和4年)9月、ITU-T SG17において新規作業項目として採用され、現在、専門機関と連携して国際標準化に向けた取組を推進している。
また、通信分野においては、システムに求められる機能の高度化、多様化に伴いシステムの構成が複雑化しており、多様な商用ソフトウェアやオープンソースソフトウェア(OSS)9がソフトウェア部品として利用されるようになっている。このようなソフトウェア・サプライチェーンの変化に伴い、ソフトウェア部品への悪意のあるコードの混入やソフトウェア部品の脆弱性を標的としたサイバー攻撃が発生しているが、システム内のソフトウェア部品の構成を把握できていない場合、攻撃に対して迅速に対応することが困難となる。
このような状況を踏まえ、総務省では、SBOM10を活用したソフトウェア・サプライチェーンの把握によるサイバーセキュリティの強化に資するように、2023年度(令和5年度)から、通信分野におけるSBOMの導入に向けた実証事業を実施している。
さらに、2023年度(令和5年度)からは、スマートフォンが広く普及している一方で、スマートフォンアプリがユーザーの意図に反してユーザー情報を送信しているのではないかなどの懸念が生じた場合にその実態を確認する手法が限られている現状を踏まえ、第三者によるアプリの技術的解析等を通じたアプリ挙動の実態把握に係る実証事業を実施している。
8 5Gセキュリティガイドライン第1版:https://www.soumu.go.jp/main_content/000812253.pdf
9 ソースコードが無償で公開され、誰でも利用や改良、再配布が可能なソフトウェア。
10 Software Bill of Materials.ソフトウェア部品構成表。
Copyright © 2009 Ministry of Internal Affairs and Communications All Rights Reserved.