(3) サプライチェーンリスク対策に関する取組
総務省では、2019年度から2021年度にかけて仮想化基盤・管理系を含む5Gネットワーク全体を考慮した技術的検証を行い、2022年4月、オペレータが留意すべきセキュリティ課題やその対策を整理した「5Gセキュリティガイドライン第1版9」を公表した。同ガイドラインは、2024年9月にITU-T SG1710において、国際標準として承認された。
また、通信分野においては、機能の高度化等に伴いシステム構成が複雑化しており、OSS11がソフトウェア部品として利用されるようになっている。このようなソフトウェア・サプライチェーンの変化に伴い、ソフトウェア部品への悪意のあるコードの混入等が発生しているが、ソフトウェアの構成を把握できていない場合、攻撃に対する迅速な対応が困難となる。
このような状況を踏まえ、総務省では、SBOM12の活用によるサイバーセキュリティの強化に資するように、2023年度から、通信分野におけるSBOMの導入に向けた実証事業を実施し、SBOMを作成及び活用するに当たっての留意点をまとめた留意事項(案)を作成した。
さらに、2023年度からは、スマートフォンアプリを対象に、第三者によるアプリ挙動に関する技術的解析等を実施し、我が国の解析能力の水準や利用者情報の取扱慣行等を把握する実証事業を実施した。2025年度からは、「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律」(令和6年法律第58号)の施行により、我が国においてスマートフォンのOS事業者が運営する公式ストア以外のアプリ代替流通経路の利用が進むと見込まれるため、アプリ代替流通経路の事業者等がSPSI13に準拠して、セキュリティ等の確保に向けた取組が実施されているかについての調査を実施している。
9 5Gセキュリティガイドライン第1版
https://www.soumu.go.jp/main_content/000812253.pdf
10 国際電気通信連合 電気通信標準化部門Study Group17
11 オープンソースソフトウェアを指し、ソースコードが無償で公開され、誰でも利用や改良、再配布が可能なソフトウェア。
12 Software Bill of Materials.ソフトウェア部品表。
13 スマートフォン プライバシー セキュリティ イニシアティブ(SPSI)(https://www.soumu.go.jp/main_content/000981875.pdf)
Copyright © 2009 Ministry of Internal Affairs and Communications All Rights Reserved.