製造業にも遵守義務、EUサイバーレジリエンス法とは？

　サイバー攻撃が世界規模で激化しています。ひとたびセキュリティ事故が発生すると組織全体やサプライチェーン全体に短期間で多大な影響を与えることも珍しくありません。デジタル製品は国を問わず使用されることを踏まえると、「国境を越えたセキュリティ対策」は急務と言えるでしょう。EU（欧州連合）では、2022年9月に「欧州サイバーレジリエンス法（CRA,cyber resirience act）」の草案が提出され、2025年後半から同法が適用される見込みです。

　2023年11月30日にEU理事会が発表した内容によると、同法は、インターネットに接続された家庭用カメラ、冷蔵庫、テレビ、おもちゃなどの製品が市場に流通する前に安全であることを保証することを目的としています。例外を除き、デジタル技術が使われたすべての製品について、消費者が商品の安全性を簡単に識別できるようにすることを事業者に求めます。

　具体的には、機械的に読み取り処理可能なSBOM^※1の作成や更新プログラム提供など、セキュリティ要件への適合が義務付けられます。そのほか、一定のセキュリティ特性要件を満たし、適切に運用していることや脆弱性処理要件に適合していることを技術文書として作成し、10年間保管することが求められます。
※1 SBOM…Software Bill of Materials。ソフトウェアコンポーネントやそれらの依存関係の情報も含めて一覧化したソフトウェア部品表のこと

　この背景には、「脆弱性に対応するためのセキュリティアップデートが徹底されていない」といったレベルの低いサイバーセキュリティの現状が少なからず見られることや、ユーザーがセキュリティ対策の備わった製品をうまく選べていないことが挙げられます。

　サイバーレジリエンス法は、一部の例外を除いてデジタル要素を有するすべての製品に適用され、デバイスやネットワークに直接的、間接的に接続されるものも含まれます。これらの製品に対してどのセキュリティ要件を適合させるかどうかは、使用環境、データの機密性、影響の範囲によって異なります。その分類は、セキュリティリスクの高いものから順に並べると以下の3つになります。

・重要なデジタル製品「クラスⅡ」（高リスク）

・重要なデジタル製品「クラスⅠ」（低リスク）

・重要なデジタル製品以外

　最もリスクレベルが高い、「重要なデジタル製品（クラスⅡ）」は必ず第三者認証が求められます。その次の「重要なデジタル製品（クラスⅠ）」は、EUCC^※2やEN^※2規格の対象であればそちらで適合性が評価されて第三者認証は不要になりますが、対象外であればクラスⅡと同様に第三者認証が求められます。最もリスクレベルが低い「重要なデジタル製品以外」については、第三者認証は必須要件でなく、自己適合宣言で代替できます。
※2…EUCCとは、IoT製品を対象とする欧州サイバーセキュリティ認証。EN規格とは、欧州整合化規格

　重要なデジタル製品とは、以下の要素を備えたものを指し、これらに該当しないものが、重要なデジタル製品以外に分類されます。

・アドミニスター権限が実行できるもの

・ネットワークやコンピューティングリソースにアクセスできるもの

・データやOTへのアクセス制御ができるもの

・ネットワーク制御やエンドポイントセキュリティやネットワーク保護のための重要な機能を有するもの

・産業環境など機密性の高い環境下で使用されるものやNIS2指令（改正ネットワーク及び情報システム指令）に関連のあるもの

・個人データなど重要性と機密性の高い機能を実施するもの

・広範囲に悪影響を及ぼすか複数の人へ影響を与えるもの

　一部の例外としてサイバーレジリエンス法の対象にならない製品もあります。例えば、医療機器規則、体外診断用医療機器規則、民間航空機規則、自動車の型式承認規則などのように別途規則が設けられている製品です。そのほか、国家安全保障に関するデジタル製品や軍事目的・機密情報処理目的のものも除外されます。SaaSなどのソフトウェアサービスや研究開発目的のOSS（オープンソースソフトウエア）なども対象外です。

まるっと解説、「工場（OT）セキュリティ」の課題から対応まで

製造業は、ランサムウェア被害の報告件数第1位。製造業にて、工場のデジタル化や自動化の動きが活発化している現在、サイバー攻撃者がセキュリティに弱い工場を狙っています。課題や対策の必要性、ITとの違いなどまるっと解説します。

　サイバーレジリエンス法の第10条には「製造業者の義務」が記されています。その内容には、セキュリティ特性要件の遵守はもちろん、リスクアセスメントの実施やセキュリティ対策の文書化が含まれています。そのほか、製品のリリース後5年間または製品寿命のうち短い期間の間、脆弱性に効果的に対処すること、リリース後10年間は技術文書とEU適合性証明書を市場監視当局が自由に使えるように保管することなど、具体的な期間を定めたものも含まれます。

　また、同法の第11条では「製造業者の報告義務」を定めています。デジタル製品の中に積極的に悪用された脆弱性を発見してから24時間以内にENISA（The European Union Agency for Cybersecurity）に通知すること、インシデントを認識してから24時間以内にENISAに通知すること、インシデントの影響を緩和するための是正措置について遅滞なくユーザーに通知することなどが、事業者に義務付けられます。

　こうした義務の順守は、EU市場と関係のある事業者にも求められ、同法の施行開始前に対応できる体制の構築が必要になります。同法で定められている義務を自社が果たすために求められる対策、自社のセキュリティ環境の客観的な評価を行うソリューションを提供するベンダーも見られるようになりました。自社に知見を持つ人材が不足している場合は、こうしたソリューションをうまく活用してセキュリティ体制を構築しましょう。

OTセキュリティ導入に役立つ資料をご用意しました

工場をサイバー攻撃から守るために、OTセキュリティ導入を検討しましょう。導入検討の参考となる資料をご用意いたしましたので、ぜひご活用ください