各国のIoT製品セキュリティ確保のための取り組み:欧州 ―EUサイバーレジリエンス法(EU Cyber Resilience Act: CRA)―

公開:2024年1月26日
更新:2024年10月23日

近年、IoT機器がサイバー攻撃の標的になる事例が増加する中 、2025年には、世界のサイバー犯罪による被害総額は10兆5000億ドルに達すると予測されています。2022年9月、欧州委員会はサイバーレジリエンス法(Cyber Resilience Act: CRA)を法案として提出し、2024年10月10日に欧州評議会に正式に採択されました。欧州理事会・欧州議会議長による署名後数週間でEU官報に公示され、それから20日後に発効、36ヶ月後に適用される予定です(早期適用の一部規定を除く)。

この法律は、サイバーセキュリティ規則を強化し、より安全なデジタル製品(IoT機器など)が市場に流通されることを目的としています。デジタル製品の製造業者をはじめ関係する企業は、CRAに対する理解と対応策の検討が急務となっています。本コラムでは、IoT機器を含むデジタル製品の開発や運用に関わる方のために、EUサイバーレジリエンス法の概要と目的について解説します。

1. EUサイバーレジリエンス法とは

EU域内の既存の法規制は医療機器や自動車などの特定製品には適用されていますが、多くのソフトウェアやハードウェア製品はEUのサイバーセキュリティ法の対象外です。近年、これらソフトウェア、ハードウェア製品がサイバーセキュリティ攻撃の標的にされる事例が増加しており、それに伴いこの攻撃に対応するための社会的、経済的コストも急増しています。EUサイバーレジリエンス法は、消費者保護を目的に制定される、EU域内に投入されるソフトウェアとハードウェア製品において、史上初の法規制とされています。EUサイバーレジリエンス法に適合した製品には以下のようなCEマークがつけられることになります。

cemark.png

2. EUサイバーレジリエンス法に至る経緯

2019年6月にEUサイバーセキュリティ法が施行され、新たなサイバーセキュリティ認証制度の整備などを目的として欧州ネットワーク情報セキュリティ庁(ENISA)の権限が強化されました。EU域内で販売されるデジタル製品のセキュリティ対応を義務づける法律として2022年9月に発表されたEUサーバーレジリエンス法案は、2024年10月10日の欧州評議会による採択後、数週間以内にEUの官報として正式に公布されます。公布から20日後に新規制の発効、36ヶ月後に適用される予定です(早期適用の一部規定を除く)。また、2025年8月にはEU無線機器指令(RED)によりインターネットに接続される無線機器を対象とした規則が義務化される見込みです。

EUサイバーレジリエンス法に至る経緯

より詳しい技術や関連製品について知りたい方へ

お気軽相談

本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。

3. EUサイバーレジリエンス法の概要

EUサイバーレジリエンス法は、EU域内のサイバーセキュリティ分野の法規制であるNIS 2フレームワークを補完する位置づけです。この法規制により、製造業者は、デジタル製品(IoT機器)に対し、「サイバーセキュリティ要件」と「製造者の義務」を満たすことが求められます。

サイバーセキュリティ要件

  • 製品は既知の脆弱性がない状態で市場に投入されること
  • デフォルトで安全な設定が施されていること
  • 脆弱性が発見された場合、迅速に対応し、セキュリティアップデートを提供すること

製造者の義務

  • 製品の設計、開発、製造プロセスにおいてサイバーセキュリティリスクを評価し、その結果を技術文書に記載すること
  • 脆弱性が発見された場合、適切な対応を行い、必要に応じてセキュリティアップデートを提供すること
  • 製品のサポート期間中、脆弱性対応プロセスを維持すること
  • 積極的に利用されている脆弱性や重大なインシデントを指定されたCSIRT(コンピュータセキュリティインシデント対応チーム)およびENISA(欧州ネットワーク情報セキュリティ庁)に報告すること

4. サイバーレジリエンス法の主な目的

  • EU域内に投入されるデジタル製品(IoT機器)に対し、製造業者が製品のライフサイクルを通じてサイバーセキュリティに対する責任を負い、これを保証すること
  • ソフトウェアおよびハードウェア製品がより少ない脆弱性を備えた状態で市場に投入されること

5. 対象製品

  • ソフトウェアおよびハードウェア製品
  • リモートコンピューティングソリューション

サイバーレジリエンス法により、デジタル要素を含む多くの製品がサイバーセキュリティ要件に関する規制の対象となります。これには、他の機器やネットワークに直接的および間接的に接続される製品も含まれます。

6. 対象外製品

既存のEU法でカバーされている製品

  • 医療機器:Regulation (EU) 2017/745
  • 体外診断用医療機器:Regulation (EU) 2017/746
  • 航空機器:Regulation (EU) 2018/1139
  • 自動車:Regulation (EU) 2019/2144
  • 海洋機器:Directive 2014/90/EU

国家安全保障または軍事目的のために開発された製品

  • 国家安全保障や防衛目的のためにのみ開発または修正されたデジタル要素を有する製品
  • 機密情報を処理するために特別に設計された製品

非営利なオープンソースソフトウェア

  • 商業活動の一環として提供されない無料のオープンソースソフトウェア

他のEU規則の適用を受けるデジタル要素を含む製品

  • 他のEU規則が同等またはそれ以上のサイバーセキュリティ要件を提示する場合、それらの製品はCRAから除外される可能性があります。

7. まとめ

サイバーレジリエンス法が施行されると、EU域内で製品を販売するデジタル製品製造業者は、サイバーレジリエンス法に基づく製品ライフサイクル全体における組織としての対応を求められることになります。違反に対して巨額の制裁金(基本的なサイバーセキュリティ要件の不遵守は、1,500万ユーロまたは当該企業の全世界売上高の2.5%のいずれか高い方)が科される可能性もあり、早めに対策を始める動きが見られます。現状の製品のセキュリティ品質や今後の開発方法など、まずは対策できる部分からの検討を推奨します。

ユビキタスAIでは、IoT機器のセキュリティ品質を向上させ、サイバーセキュリティ攻撃に対応するためのさまざまな製品を提供しています。EUサイバーレジリエンス法のセキュリティ特性要件および脆弱性処理要件には、満足すべき項目が数多くあります。これらの確認手段の一つとして、当社のIoT機器セキュリティ検証サービスをご活用頂くことも可能です。お客様の課題に沿ったご提案を用意しておりますのでお気軽にお問合せください。

第三者としての報告書を含むデバイス脆弱性テストには:
IoT機器セキュリティ検証サービス 詳細ページ

SBOM生成(SCA)ツールをお探しなら:
高精度バイナリSCAソリューション CodeSentry 詳細ページ

SBOM作成については:
SBOM作成サービス 詳細ページ

このコラムの著者
株式会社ユビキタスAI エンベッデッド第3事業部 永井玲奈

株式会社ユビキタスAI

エンベデッド第3事業部

永井 玲奈​(ながい れな)

長年、組込みソフトウェアの営業・製品マーケティングに携わる。現在はユビキタスAIでIoT機器セキュリティ検証サービス事業の営業およびプロダクトマーケティングを担当。医療機器、車載製品、民生品などあらゆる機器を製造する大手製品ベンダーの多岐に渡るセキュリティ課題解決に取り組む。

より詳しく技術や関連製品について知りたい方へ

お気軽相談

本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。


製品情報

デバイス脆弱性テスト

IoT機器セキュリティ検証サービス

あらゆる機器のファジングから規格準拠支援までエキスパートが伴走
製品ページを見る
製品情報

OSS管理ツール

CodeSentry

バイナリファイルに含まれるOSSコンポーネントを検出し、脆弱性をレポート
製品ページを見る

もう待てない、サイバーレジリエンス法対策

コラムを読む

各国のIoT製品セキュリティ確保のための取り組み:シンガポール ―サイバーセキュリティラベリングスキーム(CLS)

コラムを読む

太陽光発電と蓄電池システムの脆弱性:安全なエネルギーのためのセキュリティ対策

コラムを読む

各国のIoT製品セキュリティ確保のための取り組み:日本

コラムを読む

各国のIoT製品セキュリティ確保のための取り組み: 英国

コラムを読む

ソフトウェアテストの新常識:ファジング入門

コラムを読む

JIS T 81001-5-1に準拠した医療機器のセキュリティ対策

コラムを読む

各国のIoT製品セキュリティ確保のための取り組み:米国

コラムを読む

サプライチェーン攻撃と脆弱性テスト

コラムを読む

セキュリティ規格について

コラムを読む

ファジングとは?

コラムを読む

脆弱性検証―何をどこまで実施すれば良い?

コラムを読む

HEMS機器の脆弱性検証

コラムを読む

ファジングの限界

コラムを読む