各国のIoT製品セキュリティ確保のための取り組み:欧州 ―EUサイバーレジリエンス法(EU Cyber Resilience Act: CRA)―

近年、IoT機器がサイバー攻撃の標的になる事例が増加する中、2025年には、世界のサイバー犯罪による被害総額は10兆5000億ドルに達すると予測されています。2022年9月、欧州委員会はサイバーレジリエンス法(Cyber Resilience Act: CRA)を法案として提出し、2025年中の適用を目指して審議が行われています。この法律は、サイバーセキュリティ規則を強化し、より安全なデジタル製品が市場に流通されることを目的としています。本コラムでは、IoT機器を含むデジタル製品の開発や運用に関わる方のために、EUサイバーレジリエンス法の概要と目的について解説します。

EUサイバーレジリエンス法とは

EU域内の既存の法規制は医療機器や自動車などの特定製品には適用されていますが、多くのソフトウェアやハードウェア製品はEUのサイバーセキュリティ法の対象外です。近年、これらソフトウェア、ハードウェア製品がサイバーセキュリティ攻撃の標的にされる事例が増加しており、それに伴いこの攻撃に対応するための社会的、経済的コストも急増しています。EUサイバーレジリエンス法は、消費者保護を目的に制定される、EU域内で販売されるソフトウェアとハードウェア製品において、史上初の法規制とされています。EUサイバーレジリエンス法に適合した製品には以下のようなCEマークがつけられることになります。

cemark.png

出典:https://single-market-economy.ec.europa.eu/single-market/ce-marking_en

EUサイバーレジリエンス法に至る経緯

2019年6月にEUサイバーセキュリティ法が施行され、新たなサイバーセキュリティ認証制度の整備などを目的として欧州ネットワーク情報セキュリティ庁(ENISA)の権限が強化されました。2022年9月にEU域内で販売されるデジタル製品のセキュリティ対応を義務付けるEUサイバーレジリエンス法案が発表され、2025年中に適用されると言われています。2024年8月にはEU無線機器指令(RED)によりインターネットに接続される無線機器を対象とした規則が義務化される見込みです。

EUサイバーレジリエンス法に至る経緯

EUサイバーレジリエンス法の概要

EUサイバーレジリエンス法は、EU内のサイバーセキュリティ分野の法規制であるNIS 2フレームワークを補完する位置付けです。この法規制により、デジタル製品に対してセキュリティ特性要件と脆弱性処理要件を満たすことが求められます。以下は、その主な要件です。

  • 適切なサイバーセキュリティを確保する設計・開発・生産
  • 悪用可能な脆弱性が含まれない事を確認
  • リスクベースアセスメントに基づいた確認・対応
  • 製品に含まれる脆弱性とコンポーネントを特定しSBOMを作成

適合性評価

使用環境などのリスクレベル毎に「デジタル製品」、「重要なデジタル製品クラスⅠ」、「重要なデジタル製品クラスⅡ」に評価されます。

適合性評価

出典:https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/9f54b1fb-1a9f-4531-85cb-7659f0458a9b/c22fd9a6/20230911_meeting_technology_based_regulatory_reform_outline_04.pdf

サイバーレジリエンス法の主な目的

  • EU域内で販売されるデジタル製品に対し、製造業者が製品のライフサイクルを通じてサイバーセキュリティに対する責任を負う事を保証すること
  • ソフトウェアおよびハードウェア製品のセキュリティに関する透明性を高めること

対象製品

  • ソフトウェアおよびハードウェア製品
  • リモートコンピューティングソリューション

サイバーレジリエンス法により、デジタル要素を含むほとんどの製品がサイバーセキュリティ要件に関する規制の対象となります。これには、他の機器やネットワークに直接的および間接的に接続される製品も含みます。

サイバーレジリエンス法が施行されると、EU域内で製品を販売するデジタル製品製造業者は、サイバーレジリエンス法に基づく製品ライフサイクル全体における組織としての対応を求められることになります。違反に対して巨額の制裁金が科される可能性もあり(最高1,500万ユーロまたは当該企業の全世界売上高の2.5%以内)、早めに対策を始める動きが見られます。現状の製品のセキュリティ品質や今後の開発方法など、まずは対策できる部分からの検討を推奨致します。

ユビキタスAIでは、IoT製品のセキュリティ品質を向上させ、サイバーセキュリティ攻撃に対応するためのさまざまな製品を提供しています。EUサイバーレジリエンス法のセキュリティ特性要件および脆弱性処理要件には、満足すべき項目が数多くあります。これらの確認手段の一つとして、当社のIoT機器セキュリティ検証サービスをご活用頂くことも可能です。お客様の課題に沿ったご提案を用意しておりますのでお気軽にお問い合わせください。

お気軽相談をする
製品情報

デバイス脆弱性テスト

IoT機器セキュリティ検証サービス

あらゆる機器のファジングから規格準拠支援までエキスパートが伴走
製品ページを見る
製品情報

高精度バイナリSCAソリューション

CodeSentry

バイナリファイルに含まれるOSSコンポーネントを検出し、脆弱性をレポート
製品ページを見る
各国のIoT製品セキュリティ確保のための取り組み: 英国

各国のIoT製品セキュリティ確保のための取り組み: 英国

2024.04.18

コラムを読む
ソフトウェアテストの新常識:ファジング入門

ソフトウェアテストの新常識:ファジング入門

2024.04.17

コラムを読む
JIS T 81001-5-1に準拠した医療機器のセキュリティ対策

JIS T 81001-5-1に準拠した医療機器のセキュリティ対策

2023.12.19

コラムを読む
各国のIoT製品セキュリティ確保のための取り組み:米国

各国のIoT製品セキュリティ確保のための取り組み:米国

2023.12.18

コラムを読む
サプライチェーン攻撃と脆弱性テスト

サプライチェーン攻撃と脆弱性テスト

2023.12.14

コラムを読む
セキュリティ規格について

セキュリティ規格について

2023.09.01

コラムを読む
ファジングとは?

ファジングとは?

2023.09.01

コラムを読む
脆弱性検証―何をどこまで実施すれば良い?

脆弱性検証―何をどこまで実施すれば良い?

2023.09.01

コラムを読む
HEMS機器の脆弱性検証

HEMS機器の脆弱性検証

2023.07.14

コラムを読む
ファジングの限界

ファジングの限界

2023.07.14

コラムを読む
コラム トップに戻る