2024 年 03 月 04 日
対応急務!2024 年に施行される「欧州サイバーレジリエンス法案」とは
~ 押さえておきたい!IoT サイバーセキュリティ対策最前線シリーズ ~
背景
EU の主たる決定機関である欧州連合理事会(EU 理事会、または閣僚理事会)と欧州議会は 2023 年 11 月 30 日にデジタル製品のサイバーセキュリティ対応を義務づけるサイバーレジリエンス法案に関して暫定的な 政治合意に達したと発表 しました。EU 理事会と欧州議会の正式な採択を経て、2024 年前半には施行される見込みとなりました。
同法案の対象製品は、「直接・間接を問わずデバイスまたはネットワークとのデータ接続を有する、市場で入手できる全てのデジタル製品」(ただし既存の EU 規制で定められている医療機器や航空、自動車を除く)となっています。現代のデジタル機器はほぼ全てが他の機器とデータをやり取りする機能を持つことから、おもちゃなども含めソフトウェア制御が含まれているほぼ全ての製品が対象になります。同法案は、" デジタル機器 " のサイバーセキュリティの欠陥からユーザーや消費者を守るためのもので、違反した企業には巨額の罰金が科される可能性があります。
欧州サイバーレジリエンス法の施行は 2024 年前半で、報告義務など早いものではその 18 ヶ月後から適用が開始され、36 ヶ月後には全面的に適用すると定められています。まだ対応に時間があると感じる方が多いと思いますが、同法に適応するには組織的な対応が必要となり、認定機関の試算では 適合認定までに必要な期間は 28 ヶ月~32 ヶ月程度 とされています。同法の施行が 7 月からと仮定すると移行期間は 2027 年 8 月までとなり、 逆算すると 2024 年 10 月には始めないと間に合いません。
本稿では、サイバーレジリエンス法が及ぼす影響とその対策について概要をまとめて連載で解説します。皆様の対策検討が一日も早く開始され、期日までに対応が完了できる一助となれば幸いです。
実は欧州だけではないサイバーセキュリティ規格
サイバーセキュリティに関しては 2018 年 10 月 4 日に ペンス副大統領がハドソン研究所で対中政策に関する演説 を行った事から端を発しています。米中経済摩擦に対し「関税戦争」と「先端技術を巡るテクノロジー覇権争い」の 2 つの側面があります。この演説の中で「優位性を求める競争(Competition for Pre-eminence)」が強調されており、その後 G7 で協調したサイバーセキュリティ法規性の策定へ進み米国政権が交代した後もこの方針は維持され今日に至っています。
以下の図は、法規制に関する流れを時系列でまとめたものです。
2018 年から開始された膨大な規格策定作業は概ね 2022 年に各国で完了し、2023 年では法規制化する立法プロセスまで進みました。G7 の中で先行しているのが欧州であるのは事実ですが、米国、イギリス、日本でも罰則規定等強制力にはバラつきはあるものの規格要件としては同じものを採用しています。
欧州、米国、イギリス、日本とも一見バラバラに策定しているように見えますが、実は規制内容は IEC62443 で共同作業をしており(米国では IEC ではなく ANSI と呼ばれる)、業界問わず IEC62443 がサイバーセキュリティの根幹をなしています。
この規格では、(1)製品を製造する会社のサイバーセキュリティ対応(IEC62443-1 と -2)に加え、(2)製造プロセス制御システムに対する規格(IEC62443-3)、(3)製造する商品の設計開発プロセス、セキュリティ要件(IEC62443-4)と多岐にわたります。
IEC62443 については、組織全体が適応する事が求められていることがご理解いただけると思います。これが適合認定までに 28 ヶ月~32 ヶ月を必要とする所以です。詳細は 続編 で解説します。
関連 Web サイト
- IoT・組込み Linux 向け SBOM 管理 & 脆弱性通知サービス「Timesys Vigiles」
- 脆弱性・脅威から長期に渡り産業機器を守る IoT・組込み開発向け Linux ディストリビューション「EMLinux」
- ゼロトラスト環境で不正なデバイス、コードから産業機器を守る「 セキュア IoT プラットフォーム 」
- 省電力化、機器の小型化と産業機器の DX を拡大する組込み Linux 超高速起動ソリューション「Warp!!」
- 突然の瞬断や停電から産業機器を守る高信頼性ファイルシステム「Tuxera」