セキュリティ機能の可視化につながる欧州サイバーレジリエンス法とは

trend-m-cyber_resilience.png

情報漏洩などのニュースが毎日のように報道され、対策に追われている企業は多いものです。しかし、利用者の立場では、どのハードウェアやソフトウェアを導入すれば適切なセキュリティを確保できるのか、判断が難しいのが現実です。

そんな中、製品が持つセキュリティ機能を可視化する取り組みが進んでいます。国内でのIoTセキュリティ適合性評価制度に加え、海外での例として欧州サイバーレジリエンス法について紹介します。

これまでの評価制度からの変化

さまざまな企業が提供するハードウェアやソフトウェアについて、共通の指標でセキュリティ機能を評価することはこれまでも考えられてきました。たとえば、CC(コモンクライテリア)に基づくセキュリティ評価や認証制度、CSA(Component Security Assurance)認証制度などがあります。

しかし、これらの認証制度は求められる水準が高く、認証を取得するハードルが非常に高いため、それほど普及しているとは言い難い状況でした。利用者としては、提供している企業の過去の実績や、セキュリティポリシーやプライバシーポリシーなどを見て判断していることも多いものです。

そんな中、日本国内では、2024年8月に「IoT製品に対するセキュリティ適合性評価制度構築方針」が公表されました。

参考

この適合性評価制度では、製品が満たしているレベルを「適合性評価レベル」として星の数で認証し、ラベルとして付与するなどわかりやすく表現できることが期待されています。
このような流れは日本国内にとどまらず、EUでは2024年3月に欧州サイバーレジリエンス法(CRA;Cyber Resilience Act)が議会で承認されました。

参考

サイバーレジリエンス法とは

2024年3月に議会によって承認されたため、このまま2024年中に正式に採択された場合、サイバーレジリエンス法の要求事項がすべて実際に適用されるのは2027年と言われています。まだ先のことのように思われるかもしれませんが、その適用範囲の広さから注目されています。

この法律では、インターネットに接続されるすべての機器と、EUで販売されるソフトウェアについて、より高いレベルのセキュリティを保証することを目的としています。さらに、製品のライフサイクル全体において、メーカーにセキュリティの責任を負わせることを義務付けています。

この規制が発効すると、インターネットに接続するハードウェアやソフトウェアをEUで販売するためには認証を受ける必要があり、認証を受けた製品には新しい基準に準拠していることを示すためにCEマークが付けられます。

参考

CEマークは、EUで製品を販売するときに、安全や健康、環境保護といった基準を満たしていることを示すマークであり、適用される製品は電子機器や産業機器、医療機器、玩具など多岐にわたります。
ここにセキュリティの基準が加わることで、利用者はより安心して選択できるようになるのです。

サイバーレジリエンス法の主な内容

サイバーレジリエンス法は、EU内で流通するすべてのデジタル製品やサービスに適用されます。特に、IoTデバイスやソフトウェア、クラウドサービスなど、サイバーセキュリティが重要な役割を果たす製品が対象となります。

この法律では、製品やサービスが満たすべきサイバーセキュリティ要件が定められています。具体的には、次のような要件が含まれます。

セキュリティの設計製品やサービスは、開発段階からセキュリティを考慮して設計される必要があります。
アップデートの提供攻撃手法の変化や判明した脆弱性に対応するため、定期的なソフトウェアアップデートが求められます。
脆弱性の報告発見された脆弱性については、迅速に報告し、対策を講じる義務があります。

また、サイバーセキュリティに関する認証制度が設けられていることが特徴です。これにより、製品やサービスが定められた基準を満たしていると証明でき、利用者にとっては信頼性の高い指標となることが期待されています。

サイバーレジリエンス法に違反した場合、企業や組織には罰則が科される可能性があります。これにより、企業は法令を遵守し、サイバーセキュリティの向上に努めることが求められます。

日本企業への影響

サイバーレジリエンス法はEU内でのサイバーセキュリティ強化を目的とした法律ですが、サイバーセキュリティに国境はないため、日本企業にとっても無視できない影響がある可能性があります。

日本企業がEU市場に製品やサービスを提供する際、サイバーレジリエンス法に適合する必要があります。
たとえば、EUのセキュリティ基準を満たすために、製品の設計や開発プロセスを見直す必要があります。また、EU市場で販売するには認証を取得しなければなりません。

この認証を取得するためには、金銭的なコストがかかるだけでなく、セキュリティを強化するためのソフトウェアやハードウェアへの投資も必要です。さらに、専門知識を持つ人材の育成や、従業員への教育も求められます。

加えて、EUの法律を遵守するための体制を整える必要があります。EUの法律に詳しい弁護士などとの契約やコンサルタントの採用が必要になる場合もあり、効果を評価するための監査が求められるかもしれません。

日本企業が取るべき対策

脆弱性対応要件のポイントは、SBOM(Software Bill of Materials: ソフトウェア部品表)を作成し、デジタル製品を構成するコンポーネントの種類や依存関係をリストアップすることです。SBOMを作成することで、脆弱性情報が公表された際に、自社の製品に対する脆弱性の影響有無を確認し、利用者に対して脆弱性に対応した修正プログラムを迅速に提供できます。

関連記事

また、自社のデジタル製品の脆弱性が悪用されていることや、製品のセキュリティに影響を及ぼすインシデントを発見した場合、24時間以内にENISA(European Network and Information Security Agency:欧州連合サイバーセキュリティ機関)に報告することが義務付けられています。

また、定期的にセミナーやワークショップを開催するなど、従業員への教育やトレーニングを実施することで、サイバーセキュリティに対する意識を高めることが重要です。
これにより、企業全体でのセキュリティ意識を向上させ、法令遵守を確実にすることが可能になります。

まとめ

サイバーレジリエンス法は、製品を開発する企業にとって新たな挑戦となる一方で、利用者側の企業としてもセキュリティを強化するための重要な機会でもあります。企業は、法令遵守だけでなく、セキュリティへの取り組みを企業文化の一部として根付かせることにつながります。

評価制度などで認証された製品を使用することで、顧客からの信頼を確保することができ、業界全体の信頼性を向上させることができるかもしれません。
まだ法律や制度が変わる可能性がありますが、今後の動向に注目してください。

著者プロフィール
増井 敏克氏(ますい としかつ)
増井技術士事務所代表。技術士(情報工学部門)、情報処理技術者試験にも多数合格。
ビジネス数学検定1級。

「ビジネス」×「数学」×「IT」を組み合わせ、コンピューターを「正しく」「効率よく」使うためのスキルアップ支援や各種ソフトウェア開発、データ分析などをおこなっている。

著書に『図解まるわかり セキュリティのしくみ』『図解まるわかり プログラミングのしくみ』『図解まるわかり アルゴリズムのしくみ』『IT用語図鑑』『IT用語図鑑[エンジニア編]』『Pythonではじめるアルゴリズム入門』『プログラマ脳を鍛える数学パズル』『プログラマを育てる脳トレパズル』(以上、翔泳社)、『プログラマのためのディープラーニングのしくみがわかる数学入門』『プログラミング言語図鑑』(以上、ソシム)、『基礎からのプログラミングリテラシー』(技術評論社)、『RとPythonで学ぶ統計学入門』(オーム社)などがある。