ICTで製造業はどのように変わるのか(第49回)

製造業にも遵守義務、EUサイバーレジリエンス法とは?

 サイバーセキュリティ対策を、あらゆるデジタル製品に対して施すよう事業者に義務付ける「欧州サイバーレジリエンス法」が、2025年後半からEU(欧州連合)内で適用される見込みです。デジタル製品の安全確保を大きな目的とする同法は、EU市場で取引がある日本国内の事業者も遵守しなければいけません。同法にて特に知っておくべきことについて、解説します。

EUに流通するデジタル製品に、セキュリティ機能を義務付ける

 サイバー攻撃が世界規模で激化しています。ひとたびセキュリティ事故が発生すると組織全体やサプライチェーン全体に短期間で多大な影響を与えることも珍しくありません。デジタル製品は国を問わず使用されることを踏まえると、「国境を越えたセキュリティ対策」は急務と言えるでしょう。EU(欧州連合)では、2022年9月に「欧州サイバーレジリエンス法(CRA,cyber resirience act)」の草案が提出され、2025年後半から同法が適用される見込みです。

 2023年11月30日にEU理事会が発表した内容によると、同法は、インターネットに接続された家庭用カメラ、冷蔵庫、テレビ、おもちゃなどの製品が市場に流通する前に安全であることを保証することを目的としています。例外を除き、デジタル技術が使われたすべての製品について、消費者が商品の安全性を簡単に識別できるようにすることを事業者に求めます。

 具体的には、機械的に読み取り処理可能なSBOM※1の作成や更新プログラム提供など、セキュリティ要件への適合が義務付けられます。そのほか、一定のセキュリティ特性要件を満たし、適切に運用していることや脆弱性処理要件に適合していることを技術文書として作成し、10年間保管することが求められます。
※1 SBOM…Software Bill of Materials。ソフトウェアコンポーネントやそれらの依存関係の情報も含めて一覧化したソフトウェア部品表のこと

 この背景には、「脆弱性に対応するためのセキュリティアップデートが徹底されていない」といったレベルの低いサイバーセキュリティの現状が少なからず見られることや、ユーザーがセキュリティ対策の備わった製品をうまく選べていないことが挙げられます。

セキュリティリスクに応じた、3つの分類と求められる認証

 サイバーレジリエンス法は、一部の例外を除いてデジタル要素を有するすべての製品に適用され、デバイスやネットワークに直接的、間接的に接続されるものも含まれます。これらの製品に対してどのセキュリティ要件を適合させるかどうかは、使用環境、データの機密性、影響の範囲によって異なります。その分類は、セキュリティリスクの高いものから順に並べると以下の3つになります。

・重要なデジタル製品「クラスⅡ」(高リスク)

・重要なデジタル製品「クラスⅠ」(低リスク)

・重要なデジタル製品以外

 最もリスクレベルが高い、「重要なデジタル製品(クラスⅡ)」は必ず第三者認証が求められます。その次の「重要なデジタル製品(クラスⅠ)」は、EUCC※2やEN※2規格の対象であればそちらで適合性が評価されて第三者認証は不要になりますが、対象外であればクラスⅡと同様に第三者認証が求められます。最もリスクレベルが低い「重要なデジタル製品以外」については、第三者認証は必須要件でなく、自己適合宣言で代替できます。
※2…EUCCとは、IoT製品を対象とする欧州サイバーセキュリティ認証。EN規格とは、欧州整合化規格

 重要なデジタル製品とは、以下の要素を備えたものを指し、これらに該当しないものが、重要なデジタル製品以外に分類されます。

・アドミニスター権限が実行できるもの

・ネットワークやコンピューティングリソースにアクセスできるもの

・データやOTへのアクセス制御ができるもの

・ネットワーク制御やエンドポイントセキュリティやネットワーク保護のための重要な機能を有するもの

・産業環境など機密性の高い環境下で使用されるものやNIS2指令(改正ネットワーク及び情報システム指令)に関連のあるもの

・個人データなど重要性と機密性の高い機能を実施するもの

・広範囲に悪影響を及ぼすか複数の人へ影響を与えるもの

 一部の例外としてサイバーレジリエンス法の対象にならない製品もあります。例えば、医療機器規則、体外診断用医療機器規則、民間航空機規則、自動車の型式承認規則などのように別途規則が設けられている製品です。そのほか、国家安全保障に関するデジタル製品や軍事目的・機密情報処理目的のものも除外されます。SaaSなどのソフトウェアサービスや研究開発目的のOSS(オープンソースソフトウエア)なども対象外です。

EU市場と関係のある製造業者には、報告義務が求められる

 サイバーレジリエンス法の第10条には「製造業者の義務」が記されています。その内容には、セキュリティ特性要件の遵守はもちろん、リスクアセスメントの実施やセキュリティ対策の文書化が含まれています。そのほか、製品のリリース後5年間または製品寿命のうち短い期間の間、脆弱性に効果的に対処すること、リリース後10年間は技術文書とEU適合性証明書を市場監視当局が自由に使えるように保管することなど、具体的な期間を定めたものも含まれます。

 また、同法の第11条では「製造業者の報告義務」を定めています。デジタル製品の中に積極的に悪用された脆弱性を発見してから24時間以内にENISA(The European Union Agency for Cybersecurity)に通知すること、インシデントを認識してから24時間以内にENISAに通知すること、インシデントの影響を緩和するための是正措置について遅滞なくユーザーに通知することなどが、事業者に義務付けられます。

 こうした義務の順守は、EU市場と関係のある事業者にも求められ、同法の施行開始前に対応できる体制の構築が必要になります。同法で定められている義務を自社が果たすために求められる対策、自社のセキュリティ環境の客観的な評価を行うソリューションを提供するベンダーも見られるようになりました。自社に知見を持つ人材が不足している場合は、こうしたソリューションをうまく活用してセキュリティ体制を構築しましょう。

連載記事一覧

メルマガ登録


NTT EAST DX SOLUTION


ミライeまち.com


「ビジネスの最適解」をお届けします 無料ダウンロード資料


イベント・セミナー情報

ページトップへ

ページ上部へ戻る