政府は2019年5月23日、サイバーセキュリティ戦略本部の会合を開いた。2018年度の取り組みを総括するとともに、2019年度の重点計画を盛り込んだ全369ページの年次報告・計画書「サイバーセキュリティ2019」を決定した。

 同書の特徴は特定の国名や企業名を名指ししないものの、悪意のある第三者が政府が調達する情報システムにデータを窃取するスパイ機能などを密かに埋め込むリスクを「サプライチェーン・リスク」と名付け、その対策に重点を置いた点だ。同書に先立ち、政府は2018年12月に「IT調達に係る国の物品等又は役務の調達方針及び調達手続に関する申合せ」を決定し、IT調達に内閣サイバーセキュリティセンター(NISC)が介在してサプライチェーン・リスクを検証するルールを定めている。

「サイバーセキュリティ2019」に盛り込んだサプライチェーン・リスク対策の概要
(出所:内閣サイバーセキュリティセンター)
[画像のクリックで拡大表示]

 サイバーセキュリティ2019は今後の取り組みも具体的に示した。内閣官房は「国産技術の確保・育成」や「政府調達における活用も可能な、産学官連携による、サプライチェーン・リスクに対応するための技術検証体制の整備」に取り組む。防衛省は「防衛省の『保護すべき情報』を取り扱う契約企業に適用される情報セキュリティ基準について、米国の新たな基準と同程度まで強化する改正を行うべく、官民間での議論を行いながら検討を進める」とした。

 米国政府は中国政府との結びつきが強いとされるファーウェイ(華為技術)を政府調達から排除したり、米国企業による取引を規制したりする動きを強めている。