• 会員限定
  • 2024/12/06 掲載

EUサイバーレジリエンス法とは何か?製造業者が無視できない「重要規制」を解説

連載:第4次産業革命のビジネス実務論

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
18
会員になると、いいね!でマイページに保存できます。
2024年10月、デジタル要素を含んだ製品に対するセキュリティ要件を定めた新規則「EUサイバーレジリエンス法(EU Cyber Resilience Act:CRA)」がEU理事会で採択されました。これは、IoTデバイスなどのデジタルコンポーネントを備えた製品の安全性について、製品のライフサイクル全体およびサプライチェーン全体で確保することを目的に導入された規制です。今回は、EUサイバーレジリエンス法をわかりやすく解説します。
photo
サイバーレジリエンス法とは何か?
(Photo/Shutterstock.com)

EUサイバーレジリエンス法とは

 EUサイバーレジリエンス法(以下、CRA)とは、サイバーセキュリティを確保し、より安全なハードウェアとソフトウェアを保証するためのEUの新たな規則です。

 現在、デジタルコンポーネントを含むIoTデバイスやソフトウェアが我々の日常生活に遍在しています。そうした中で、新規制となるCRAを定めることで、デジタルコンポーネントを含む製品・ソフトウェアを購入・使用するユーザーを保護する目的があります。

 具体的には、このような製品を提供する製造業者や輸入・販売業者に対してサイバーセキュリティに関する義務的な要件を課すことになります。それにより、セキュリティ機能の確保と、ユーザーの保護を製品ライフサイクル全体にわたって拡大していく狙いがあります。

 近年、IoTデバイスが急増し、定期的なアップデートや継続的なサポートの提供が、サイバーセキュリティにおいて重要になってきています。そうした時代で、デジタル部品を含むハードウェア・ソフトウェア製品の製造業者に適用される、一連のサイバーセキュリティ要件を定めた画期的な法令と言えるのです。

画像
サイバーレジリエンス法が導入された背景とは
(Photo/Shutterstock.com)

製造業者に求められるアセスメント

 CRAは、製造業者に対し、デジタルコンポーネントを含む製品に関連するサイバーセキュリティリスクのアセスメントを実施し、サイバーセキュリティリスクの最小化、セキュリティインシデントの防止、当該インシデントの影響の最小化を目指すことを課しています。

 製造業者は、デジタルプロダクトを含む製品の企画、設計、開発、製造、引き渡し、保守の各段階において、当該アセスメントの結果を考慮に入れなければなりません。

 また、製品は重要度に応じて3段階に分類されており、重要なデジタル製品に該当するものは、第三者によるアセスメントが必要になります。下記が製品の分類になります。

■製品の分類

【重要な製品以外】
●該当製品例
クラスⅠ、Ⅱに該当しないもの

●アセスメント機関
自社または第三者によるアセスメント

【クラスⅠ】
●該当製品例
  • アイデンティティマネージャー
  • スタンドアロンおよび組み込みブラウザ
  • パスワードマネージャー
  • 悪意のあるソフトウェアの検索、削除、隔離を行うソフトウェア
  • バーチャルプライベートネットワーク(VPN)の機能を持つデジタルコンポーネント
  • ネットワーク管理システム
  • セキュリティ情報・イベント管理(SIEM)システム
  • ブート・マネージャー…など

●アセスメント機関
  • EN規格およびEU サイバーセキュリティ認証制度 (EUCC:EU Cybersecurity Certification)の対象製品を除き第三者によるアセスメント

【クラスⅡ】
●該当製品例
  • オペレーティング・システムや類似環境の仮想化実行をサポートするハイパーバイザーやコンテナ・ランタイム・システム
  • ファイアウォール、侵入検知・防止システム…など

●アセスメント機関
  • 第三者によるアセスメント

CRAが対象とする2つの問題

 CRAが対象とする問題は2つあります。

 1つ目は、多くの製品に内在するサイバーセキュリティのレベルが不十分であることや、製品やソフトウェアのセキュリティ更新が不十分であることです。

 2つ目は、消費者や企業が現在、どの製品がセキュアであるかを判断できないことです。また、サイバーセキュリティが確実に担保されるように製品を必ずしも設定できないことです。

 これに対し、CRAが提供しようとしていることは以下になります。

■2つの課題に対するCRAの解決の方向性
  • デジタルコンポーネントを含む製品やソフトウェアを市場に投入する際の、調和のとれたルール
  • それらの製品の企画・設計・開発・保守を統制するサイバーセキュリティ要件の枠組み
  • それらの製品のライフサイクル全体、サプライチェーン全体に対する注意義務の提供

 CRAという新制度が発効されることで、インターネットに直接または間接的に接続されるすべての製品・ソフトウェアには、CRAに適合していることを示す「CEマーク」が付けられることになります。

 製造業者や輸入・販売業者にサイバーセキュリティの確保を求めることで、消費者や企業はCEマークに基づく製品やソフトウェアの選択ができるようになるのです。

 また、提供するサポート期間に関しては5年または製品寿命のうち短い方の期間とすることが求められています。 【次ページ】事業者に求められる「報告義務」とは
関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます