予算委員会第七分科会

○上野主査　これにて和田有一朗君の質疑は終了いたしました。 　　　　〔主査退席、伊藤（達）主査代理着席〕

○伊藤（達）主査代理　次に、鈴木英敬君。

○鈴木（英）分科員　鈴木英敬です。 　今日、大変感慨深い思いであります。私は、通産省に採用していただいた齋藤大臣にこの経済産業省の分野で質問をさせていただく機会が来たということで、大変感慨深く思いますので、一生懸命頑張ります。どうぞよろしくお願い申し上げたいと思います。 　まず初めに、大臣、被災地も、能登半島、何回か行っていただいておりますけれども、是非、なりわいの再生に向けて引き続き全力で御指導いただければと思います。 　それでは、今日は、サイバーセキュリティーと中小企業政策とエネルギーについて聞きたいと思います。 　まずは、サイバーセキュリティーについて。 　サイバー空間は常時有事であります、常時有事。そういう中で、また、サイバー攻撃も高度化、多様化をしている、弱いところを必ず狙ってくる。ですので、全体としてこの強化をしていく必要があるということの中で、今日は質問を進めていき

○上村（昌）政府参考人　お答えいたします。 　サイバー攻撃が高度化、多様化する中で、サイバーセキュリティー対策を担う人材の育成は極めて重要であります。一方、委員御指摘のとおり、我が国の企業などにおいて、サイバーセキュリティー人材を十分に確保できないといった声があることも承知をしております。 　このため、経済産業省では、ＩＰＡを通じまして、経済社会を支える重要インフラや産業基盤などのセキュリティーリスクに対応する人材を育成する中核人材育成プログラム、それから、若年層を対象に、第一線の技術者からの高度な技術教育を提供するセキュリティ・キャンプ、また、サイバーセキュリティーの国家資格であります情報処理安全確保支援士制度などの取組を進め、サイバーセキュリティー人材の育成、確保に努めているところであります。 　今後とも、これらの施策の拡充をすることも含めまして、サイバーセキュリティー人材の育成

○鈴木（英）分科員　ありがとうございます。 　是非、加速度的に、質の高い人材と量が必要だと思いますので、強化をしていただければと思います。 　続きまして、今、各省庁とかＩＰＡが独自にガイドラインを作っていて、上位概念から具体的な対策まで体系化されていない、そういう状況だと思いますし、例えば、複数の業界に携わる下請企業とかは、複数の取引先から水準の違うセキュリティーを求められて非常に困って、全体で見れば社会的なコストが高まっているというようなことも聞いたりしています。 　そこで、ＩＰＡにおいて、アメリカのＮＩＳＴを参考にして、是非、ガイドラインの作成機能の管理一元化を行いながら業種横断的なセキュリティー対策水準を定義して、それを可視化をする、そういうような取組が必要だと思いますし、そのためにＩＰＡを強化をするということが必要だというふうに考えております。あわせて、作ったガイドラインを例

○上村（昌）政府参考人　あらゆるものがネットワークにつながって、サイバー攻撃が社会や産業に大きな影響を及ぼし得るようになっている中で、サプライチェーン全体のセキュリティー向上の推進は必要不可欠だと認識をしております。 　経済産業省では、これまで産業界と協業しつつ、サイバーセキュリティ経営ガイドライン、それから産業分野別のガイドラインなどの整備を推進をいたしまして、各企業などによる積極的な取組を促してまいりました。 　他方で、ガイドラインに基づいて、では具体的にどこまで対策を進めるべきなのかが企業などに必ずしも分かりにくいということ、それから、委員御指摘のように、取引先から様々な対策水準を要求されるといった課題もあることは承知をしております。 　このために、諸外国による取組も参考といたしまして、既存ガイドラインなどと整合性を図りつつ、各企業の業種、規模ごとに実施すべき対策水準の設定や、

○鈴木（英）分科員　ありがとうございます。 　是非、ＩＰＡ体制強化について検討していただきたいというふうに思います。 　次の質問に行きたいと思います。 　令和三年度に経産省が実施した調査におきましても、大企業、中堅企業の約五社に一社が取引先を経由したサイバー攻撃の被害の経験があるということでありますので、サプライチェーン全体のサイバーセキュリティーをしっかり高めていくということが重要です。中小企業が被害を受けた場合、その影響は自社にとどまらず、先ほど言いましたように、取引先を含めたサプライチェーン全体の事業活動に影響することが懸念されます。 　そのためには、サプライチェーン全体のセキュリティーレベルを上げていくためには、そのセキュリティーレベルがどれぐらいなのかというのを把握すること、そしてそれを評価をすること、それによって全体を高めていくということが極めて重要だと思いますが、経済

○上村（昌）政府参考人　サイバーセキュリティー対策は企業の規模に関係なく大変重要であります。中小企業を含めまして、サプライチェーン全体でセキュリティーレベルを上げていくことが必要となります。特に、大企業と同じような対策を講じることが難しい中小企業に対してのきめ細やかな支援が必要不可欠だと考えています。 　中小企業においては、セキュリティー対策の実践に当たりまして、具体的な対策が分からないといった課題、あるいは必要な予算の確保が難しいといった課題があると認識をしております。 　このため、経済産業省では、ＩＰＡを通じまして、中小企業向けのセキュリティーガイドラインの作成、それから異常監視やサイバー攻撃を受けた際の初動対応支援、保険など、中小企業に必要な対策を安価かつワンパッケージにまとめましたサイバーセキュリティお助け隊サービスの普及、それから、各種補助金の申請要件などにセキュリティー対策

○鈴木（英）分科員　ありがとうございます。 　中小企業といっても、その中小企業の中のどういうところを強化すればいいのかというのをやはりきめ細かくやる必要があると思うんです。災害対応でいえばトリアージみたいな形で、絶対に抜けたらあかんところは赤、ここはもうとにかく強化をする。それで、黄色、青みたいな形でやっていって、リソース、お金や人材を投入するというような形で、中小企業がきめ細かくしっかりやっていけるような支援を、それがサプライチェーン全体を守ることにつながりますので、是非お願いしたいと思います。 　続いて、国際連携などについてもお聞きしたいと思います。 　ソフトウェアのセキュリティーを確保するための管理手法の一つとして注目されるＳＢＯＭ、これは経済産業省において導入に向けた課題検証を実施していると聞いておりますけれども、今後、ＳＢＯＭの活用が更に産業界に浸透をしていくように、これも

○上村（昌）政府参考人　委員御指摘のとおり、サイバーセキュリティーを確保するための制度構築に当たりましては、産業界と連携した普及促進をきちっと進めていくことが極めて大事かと思っておりますし、政府調達などを通じました活用の促進、また国際的な制度調和を促すことで実効性を強化していくことが重要であります。 　ソフトウェアなどを製造する企業が設計段階から安全性を確保されている製品を責任を持って提供をする、いわゆるセキュア・バイ・デザイン、この概念が国際的に提唱をされてきております。昨年十月に、委員御指摘のとおり、我が国政府もそのガイダンスに共同署名をしております。 　こうした国際的な議論、また近年のサイバー攻撃の実態を踏まえまして、経済産業省では、ソフトウェアの部品構成表であるいわゆるＳＢＯＭの活用促進、それから、一定のセキュリティー基準を満たすＩｏＴ製品にラベルを付与するラベリング制度の構築