デジタル庁ガイドブック「DS-203 政府情報システムにおけるサイバーセキュリティに係るサプライチェーン・リスクの課題整理及びその対策のグッドプラクティス集」の要点解説

掲載情報の概要

• 作成日: 2025年9月16日
• 掲載趣旨
  • デジタル庁が公開した「デジタル社会推進実践ガイドブック DS-203 政府情報システムにおけるサイバーセキュリティに係るサプライチェーン・リスクの課題整理及びその対策のグッドプラクティス集」は、政府情報システムのセキュリティを確保するために、製品やサービスを供給する事業者（サプライヤー）の連鎖（サプライチェーン）全体で取り組むべきリスク対策をまとめたものです。
  • 本稿では、このガイドブックの「内容構成」と「具体的に実施すべき事項のポイント」を分かりやすく要約して解説します。
• 参照元
  • 生成AIにより原稿案を作成し、編集したものです。

はじめに

政府の情報システムは、単一の組織で完結することはなく、多数の外部事業者の提供する機器、ソフトウェア、サービスを組み合わせて構築・運用されています。このため、自組織のセキュリティ対策だけでは不十分であり、部品の製造からシステムの運用に至るまで、サプライチェーン全体に潜むサイバーセキュリティ上のリスクを管理することが不可欠です。本ガイドブックは、そのための具体的な課題と実践的な対策（グッドプラクティス）を提示するものです。

ガイドブックの内容構成

本ガイドブックは、サプライチェーン・リスクの全体像を理解し、具体的な対策へと進むための論理的な構成となっています。

• 第1章：はじめに
  • ガイドブックの目的、対象読者、位置づけについて説明しています。
• 第2章：サプライチェーン・リスクの概要
  • サプライチェーン・リスクを取り巻く国内外の情勢や、対策の必要性について解説しています。
  • リスクを「ビジネス」「サービス」「機器・ソフトウェア」の3つに分類し、それぞれの定義を明確にしています。
• 第3章：サプライチェーン・リスク対応における必須事項
  • 具体的な対策を講じる前に、組織として実施すべき基本的な事項を整理しています。
  • リスクの洗い出しと評価（リスクアセスメント）
  • 委託先事業者との協力体制の構築
  • 継続的なサプライチェーンの監視
  • インシデント発生時の対応計画
• 第4章：想定される主要なサプライチェーン・リスクと対策
  • ガイドブックの核となる部分です。第2章で分類した3つのリスクごとに、想定される具体的な脅威や課題を挙げ、それらに対する管理策や技術策といった「グッドプラクティス（良い実践例）」を詳細に示しています。

具体的に実施すべき事項のポイント

認識すべきサプライチェーン・リスクの課題

ガイドブックでは、リスクを以下の3つに大別し、それぞれに潜む具体的な課題を整理しています。

• ビジネスサプライチェーンにおけるリスク
  • システムの開発や運用を委託する事業者に関連するリスクです。
  • 具体例：
  • 委託先のセキュリティ管理体制の不備
  • 委託先従業員による内部不正や情報漏えい
  • 委託先がさらに別の事業者へ再委託（二次委託）しており、管理が及ばなくなる
  • セキュリティインシデント発生時の責任分界点が曖昧
• サービスサプライチェーンにおけるリスク
  • クラウドサービス（IaaS, PaaS, SaaSなど）の利用に関連するリスクです。
  • 具体例：
  • クラウドサービス事業者と利用者との間の責任範囲の認識不足
  • 利用者の設定ミスによる情報漏えい（例：ストレージの公開設定ミス）
  • 利用しているクラウドサービスの先のサプライチェーン（例：データセンター事業者）で問題が発生するリスク
  • データの保管場所が海外である場合に、現地の法律が適用されるリスク
• 機器・ソフトウェアサプライチェーンにおけるリスク
  • サーバーやPC、ネットワーク機器、OS、アプリケーションといった製品そのものに関連するリスクです。
  • 具体例：
  • ソフトウェアに含まれる脆弱性（特にオープンソースソフトウェアの管理）
  • 開発・製造段階でマルウェア（悪意のあるプログラム）が混入する
  • 正規の製品に見せかけた偽造品が納入される
  • 機器に組み込まれたファームウェアが改ざんされる

実施すべき対策（グッドプラクティス）のポイント

課題に対して、システムライフサイクルの各段階で実施すべき対策が示されています。

基本となる考え方

• リスクの可視化と評価： どのような事業者や製品がサプライチェーンに関わっているかを全て洗い出し、それぞれのリスクを評価します。
• 委託先との協力体制構築： セキュリティ対策は発注者だけで行うものではありません。契約を通じて委託先に求めるセキュリティ要件を明確に伝え、定期的な報告や監査を通じて協力して対策レベルを維持・向上させます。
• 継続的な監視と改善： 一度対策を講じたら終わりではなく、新たな脅威や脆弱性の出現に備え、継続的にサプライチェーンを監視し、対策を見直し続けることが重要です。

ライフサイクル別の具体的な対策例

• 【調達・契約時】
  • 委託先の選定： セキュリティに関する認証（ISMSなど）の取得状況や、過去の実績を評価基準に加えます。
  • 契約要件の明確化： 実施すべきセキュリティ対策、インシデント発生時の報告義務、監査の受け入れなどを契約書に明記します。
  • ソフトウェア部品表（SBOM）の要求： システムを構成するソフトウェアのライブラリやコンポーネントの一覧（SBOM）の提出を求め、脆弱性管理に役立てます。
• 【開発・構築時】
  • セキュアな開発： 開発の初期段階からセキュリティを考慮する「シフトレフト」の考え方を取り入れます。
  • 脆弱性診断： 第三者の専門家による脆弱性診断を実施し、発見された問題をリリース前に修正します。
  • 構成管理の徹底： 導入する機器やソフトウェアの設定が、セキュリティ基準を満たしていることを確認・管理します。
• 【運用・保守時】
  • 継続的な監視： 不審な通信や不正アクセスを検知する仕組みを導入し、サプライチェーン全体を監視します。
  • 定期的な監査： 委託先が契約通りのセキュリティ対策を実施しているか、定期的に監査やヒアリングを行います。
  • 迅速な脆弱性対応： 新たな脆弱性情報（例：Log4jなど）を常に収集し、影響範囲を特定して迅速にパッチ適用などの対応を行います。
• 【全体（人的・組織的対策）】
  • 教育・訓練： サプライチェーンに関わる自組織及び委託先の担当者に対し、セキュリティに関する教育やインシデント対応訓練を定期的に実施します。
  • 情報共有体制： 脅威情報やインシデントに関する情報を、関係する事業者間で迅速かつ安全に共有する体制を構築します。

まとめ

政府情報システムの安定的な運用は、それを支える複雑なサプライチェーン全体の安全性が確保されて初めて実現します。デジタル庁の「DS-203」ガイドブックは、発注者である政府機関が、受注者である事業者と一体となってサプライチェーン・リスクに立ち向かうための羅針盤となるものです。 このガイドブックに示された課題とグッドプラクティスを理解し、自組織の状況に合わせて実践していくことが、巧妙化・複雑化するサイバー攻撃から社会基盤を守る上で極めて重要です。

引用文献

• デジタル庁. 「標準ガイドライン群」. https://www.digital.go.jp/resources/standard_guidelines