（2026年5月14日付、政府デジタルサービス、科学・イノベーション・技術省（DSIT）の標記発表の概要は以下のとおり）

ソースコード悪用リスクの主な要因は、システムに存在するセキュリティ上の弱点（パッチ未適用の脆弱性、安全でない実装、安全でない構成や展開など）と、それらを迅速に修復できないことにある。ソースコードの公開によりそうした弱点が新たに生じるわけではないが、攻撃者側での不確実性を多少軽減し、分析を迅速化してしまう可能性がある（AIの支援によりこの効果はさらに高まり得る）。特に、保守体制が不十分で修正に時間がかかる場合には、その効果が顕著になる。この指針は、一般公開されているサービスを安全に運用するために既に想定されている最低限の運用能力を改めて強調するものである。

■ 推奨事項

・公開システムに関する最低基準を満たすこと。明確な所有権、設計段階からのセキュリティ確保、自動化されたセキュリティ点検・管理、信頼できる修復能力を確保すること（非公開性を代替的な管理策として用いるべきではない）。

・デフォルトでは公開設定を維持すること。すべてを非公開にすると、提供上および政策上のコストが増加し、再利用性や外部からの精査が低下する可能性がある。公開はデフォルトの姿勢として維持し、非公開化は必要最小限にとどめ慎重に行うべきである。

・例外事項は明確にし、レビュー可能なものにする。コードを非公開にする場合は、攻撃者、公開によって追加される内容、および現実的な被害経路を示す簡潔な脅威モデルを要求する。例外事項は限定的かつ期限を設け、定期的に再承認されるようにする。

・修復能力を強化する。発見から悪用までの期間が短くなることを前提に、脆弱性修正の対応期限を設定し、依存関係と脆弱性の管理を自動化する。チームが報告に迅速に対応できる体制も整える。これは、コードが公開か非公開かを問わず不可欠である。

[DW編集局]