採用情報

お問い合わせ

BLOG

IoT 技術コラム

2024 年 03 月 26 日

欧州サイバーレジリエンス法案がもたらす影響とは? IoT 機器が狙われる理由と CRA で押さえておくべき条文

~ 押さえておきたい!IoT サイバーセキュリティ対策最前線シリーズ ~

日本では近年 DX 化推進による効率化により、設備管理の自動化や無人化が進んできています。この流れが製造業からインフラまで進んでおり、攻撃者が対象にするシステムが増えてきています。さらに産業制御機器やインフラ、自動車などは可用性が失われると経済的被害も大きく、場合によっては人的被害も生じるため金銭目的の攻撃者の対象となりやすいリスクがあります。

PowerPoint スライド「なぜ、IoT 機器が狙われるのか?」

こういった背景から各国とも脆弱性対策を最優先で規制が必要な課題として挙げています。主要な国際標準である IEC62443 の策定作業が開始されたのが 2018 年~2020 年であり、十分な脆弱性対応プロセスが記載できていなかったため、各国法規制に追加で含まれてきていることには注意しておく必要があります。

欧州サイバーレジリエンス法(EU Cyber Resilience Act:CRA)が及ぼす影響とは

欧州サイバーレジリエンス法の適用範囲は、欧州無線機器指令(RED)も包含し CRA に統一される予定となっています。RED ではインターネットに直接または間接的に接続する無線製品のみが対象でしたが、欧州サイバーレジリエンス法では有線・無線、直接・間接を問わず「デバイスまたはネットワークとのデータ接続を有する、市場で入手できる全てのデジタル製品」が適用範囲となっています。これはネットワークへ接続する機器だけではなく、リモコンのように他の機器にデータを送受信する単純なデジタル機器なども含まれることを意味します。さらに欧州企業へ納品している部品類も対象となるため最終メーカーはもとより部品メーカーも影響を受けることになります。日本企業は部品納品が多いため影響が大きいと想定されます。

PowerPoint スライド「EU Cyber Resilience Act(CRA)」

出典:IoT 製品に対するセキュリティ適合性評価制度構築に向けた検討会 (EU CRA と他の EU 法令との対象機器の関係性)に基づいてサイバートラストが作成

2025 年から順次適用が開始され、2027 年には全面適用となる予定の CRA には、厳しい罰則規定が強いられています。

PowerPoint スライド「EC サイバーレジリエンス法がもたらす影響について」

CRA における対象機器の範囲(クラス)と求められる対応について以下にまとめました。自社が関わる製品がどのクラスに対応するか正確に把握する必要があります。

PowerPoint スライド「CRA における対象機器の範囲と求められる対応」

CRA 草案でのクラス分類は以下の通りですが、クラス分類については流動的な要素が残っており 2023 年 11 月 30 日の発表内容には最終法案やクラス分けについては未公表です。最終的にどのようなクラス分けで決定したのかは適宜確認することを強く推奨します。以下に分類されないものはデジタル製品と仕訳され EN303 645 対象となります。

CRA におけるクラス分類

CRA で押さえておくべき条文

CRA で押さえておくべき条文は 3 つあります。

注: ここでの解説は 2024 年 3 月 12 日に欧州議会で採択された  CRA ドラフト P9_TA(2024)0130 を基にしています。

  1. 欧州サイバーレジリエンス法第 13条
  2. 付属書 I-1「セキュリティ特性要件」
  3. 付属書 I-2「脆弱性処理要件」

まず欧州サイバーレジリエンス法の第 13 条で「製造業者の義務」が明記されています。

 欧州 CRA 第 10 条 製造業者の義務

本条文では、日本の製造業に最もインパクトがある規制となる、設計開発前に必ずリスクアセスメントを実施する必要が明記されています。機能要件を最優先するあまり「サイバーセキュリティは設計後に必要な内容を可能な範囲で実装する」というのが多くの製造業の方々が取られているアプローチではないでしょうか?
サイバーレジリエンス法では、リスクアセスメントの結果を設計文書にどのように反映されているか監査されるため、前述の手法ではサイバーセキュリティが担保されない製品と見做されるため、設計プロセスの大幅な変更が必要になります。
サプライチェーンリスクに対しても対応する必要があり、第三者の部品を利用した製品を使っている場合はこの部品の適正性を保証する義務が生じます。この部品は有形財に限らず無形財にも適用されます。
このほか、出荷前のセキュリティ検査(Penetration Test や Fuzzing Test)も必要で、これらはリスクアセスメントを行った結果に基づいて実施される必要があります。
設計時からセキュリティを考慮していない製品は排除され、脆弱性についても製品寿命もしくは最大 5 年間は対応する事が義務化されます。セキュリティ事業者が古くから警鈴を鳴らしていたことが法規制化され義務化された形になります。

次回は 、欧州サイバーレジリエンス法案がもたらす具体的な影響として、対応に要する工程や時間と求められる要件について解説します。

関連 Web サイト
  • IoT・組込み Linux 向け SBOM 管理 & 脆弱性通知サービス「Timesys Vigiles
  • 脆弱性・脅威から長期に渡り産業機器を守る IoT・組込み開発向け Linux ディストリビューション「EMLinux
  • ゼロトラスト環境で不正なデバイス、コードから産業機器を守る「 セキュア IoT プラットフォーム
  • 省電力化、機器の小型化と産業機器の DX を拡大する組込み Linux 超高速起動ソリューション「Warp!!
  • 突然の瞬断や停電から産業機器を守る高信頼性ファイルシステム「Tuxera
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime