Posted: 16 Dec. 2022 3 min. read

第4回:欧州サイバーレジリエンス法案(Cyber Resilience Act)のセキュリティ要件

<シリーズ>経営agendaとして取り組むべきEUのサイバーセキュリティ法規制動向 ~欧州サイバーレジリエンス法案(Cyber Resilience Act)

本ブログでは、全6回構成にて、2022年9月に発表された「欧州サイバーレジリエンス法案(以下、CRAという)」の解説を行います。

第4回では、CRAのポイント③「セキュリティ要件への適合の義務化」について説明します。

欧州サイバーレジリエンス法案(CRA)のセキュリティ要件について今回は紹介する

要件への適合の義務化

CRAでは、対象製品に関係する様々なプレイヤーがCRAで規定された義務を遵守する必要があります。

その中でも、特に製造業者に対しては、セキュリティ関連を含む厳格な義務への対応が求められます。また、義務を満たせない場合には、EU市場からの締出しや罰則等のリスクが想定されるということもポイントです。

EU域内/域外に関わらず、CRA対象商品に関係する様々なプレイヤーがセキュリティ義務の順守を要求されている
【CRA 第10条で規定されている製造業者の義務(概要)】
  • 設計・開発・製造時の「セキュリティ特性要件」への遵守
  • サイバーセキュリティ上のリスクアセスメント実施と技術文書への記載
  • 脆弱性開⽰ポリシーや脆弱性対応⼿続きの構築などによる上市後5年間における効果的な脆弱性対処の実施(「脆弱性処理要件」への遵守
  • (第三者から提供された部品を使⽤する場合)当該部品による製品のセキュリティリスクを高めないことの保証
  • CEマーキングの貼付および上市後10年間における技術⽂書・EU適合性証明書(該当する場合)の保管
  • 上市後5年間における「セキュリティ特性要件」への未遵守に係る是正措置と製品の撤回またはリコール実施
実施法の中で欧州委員会は「SBOMの形式と要素を指定することができる」と規定されている

セキュリティ特性要件と脆弱性処理要件

CRAのAnnexには、「セキュリティ特性要件」及び「脆弱性処理要件」が具体的に規定されています。ポイントは、CRAへの適合性を証明するためには、製品ライフサイクル全体でのセキュリティ対応が必要であり、SBOM作成や更新プログラムの提供等も要求されているということです。
 

【セキュリティ特性要件】
  • リスクに基づいて適切なサイバーセキュリティを確保するよう設計・開発・⽣産されていること
  • 悪用可能な脆弱性が含まれないこと
  • リスクベースアセスメントに基づいて以下を満たすこと

  ・製品を元の状態にリセット可能であるなどの安全な構成

  ・適切な制御メカニズムによる、不正アクセスからの保護

  ・最先端の暗号化などによる、データの機密性の保護

  ・データ・プログラム等の完全性に係る許可されていない操作からの保護

  ・必要なデータに限定した処理の実施(データの最⼩化)

  ・DoS攻撃からの回復・緩和など、重要な機能の可⽤性観点での保護

  ・他の機器やネットワークからの⾃⾝(製品)への影響の最⼩化

  ・外部インターフェース等の攻撃対象領域を制限した設計・開発・製造

  ・インシデントの影響を軽減する設計・開発・製造

  ・アクセス等の活動の記録・監視及びセキュリティ情報の提供

  ・自動更新などのセキュリティアップデートによる脆弱性対応の実施

 

【脆弱性処理要件】
  • 製品に含まれる脆弱性とコンポーネントの特定・⽂書化
    ※読み取り可能な形式でのSBOM作成を含む
  • セキュリティアップデートの提供など、遅滞なく脆弱性に対処・緩和すること
  • 効果的かつ定期的なテストとレビューを行うこと
  • 脆弱性情報の公開及び修正を行うこと
  • 脆弱性開⽰ポリシーを導⼊し、実施すること
  • 製品やサードパーティコンポーネントの潜在的な脆弱性に関する情報共有を行い、連絡先を提供すること
  • 悪⽤可能な脆弱性が適時に修正・緩和されるように安全にアップデートを配布するメカニズムを提供すること
  • セキュリティパッチや更新プログラムが遅滞なく無料で配布され、ユーザーへの助⾔メッセージも添付すること

第5回では、脆弱性発見時やインシデント識別時における「当局への報告の義務化」に係るポイント等を解説していきます。

執筆者

北町 任/Takashi Kitamachi
デロイト トーマツ サイバー合同会社

デロイト トーマツ サイバー合同会社所属。会計系の大手コンサルティング会社を経て現職。製造業を中心に、取引先を含めたサプライチェーン全体のサイバーセキュリティー戦略や製品セキュリティー戦略の策定などに従事。
 

※所属などの情報は執筆当時のものです。

プロフェッショナル

岩本 高明/Takaaki Iwamoto

岩本 高明/Takaaki Iwamoto

デロイト トーマツ サイバー合同会社 執行役員

大手インテグレーター、戦略系コンサルファームを経て現職。企業に対するサイバーセキュリティ戦略立案、リスク分析・対応方針立案等の業務を歴任。CISO等の経営アジェンダを広くカバーする一方、技術対策までサイバー全体に一貫整合した経験を有する。