EMEliminator の欧州サイバーレジリエンス法 (EU CRA) への対応支援
EMEliminator の欧州サイバーレジリエンス法 (EU CRA) への対応支援
欧州サイバーレジリエンス法((Cyber Resilience Act: CRA)は、欧州向けに販売されるデジタル要素を持つ製品に対し、サイバーセキュリティ基準を強化することを目的とした規則です。サイバー攻撃が増加し被害が深刻化しているなか、消費者や企業をサイバーセキュリティの脆弱性から守るために策定されました。欧州市場で販売されるデジタル製品の製造業者に対し、サイバーセキュリティを確保することを義務付けています。 2024 年 12 月に発効し、2026 年 9 月から一部適用、2027 年 12 月から全面適用が開始される予定です。
セキュアな製品設計
CRA では、デジタル機器を製造・販売する事業者に課される義務が策定されており、付属書 I の 1 (ANNEXⅠPART1) には「デジタル製品が、リスクに応じた適切なレベルのサイバーセキュリティを確保するように設計、開発、及び製造されていること」という要件※ が記載されています。
※ 義務に違反した場合、非常に高額な制裁金が科される。また、CRA に適合しない製品は CE マークを取得できず欧州市場で販売禁止となる。
EMEliminator は、セーフリストに登録されていないプログラムの実行を許可しないため、悪意あるプログラムによる誤動作や情報の窃取を阻止し、CRA の上記の要件の達成を支援します。
CRA の要件や、サイバートラストの製品およびサービスが CRA のどの要件に役立つかについては、以下のブログ記事をご覧ください。
欧州サイバーレジリエンス法 (CRA) における製造業者への要求事項と対応方法
脆弱性への対処
CRA 対応での重点項目として、脆弱性への対処があります。脆弱性とは、コンピューターの OS やソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生するサイバーセキュリティ上の欠陥のことです。※ 悪意あるユーザーやプログラムはそれらを悪用して、機器から情報を窃取したり、機器の動作を狂わせたりします。
※ 出典:総務省「国民のためのサイバーセキュリティサイト」
脆弱性が発見されると、その情報が公開され、ソフトウェアベンダーや開発コミュニティが脆弱性を修正した修正プログラム(ソフトウェアパッチ)を公開します。ユーザーは修正プログラムを適用することで、安全にソフトウェアを利用できます。
しかし、修正プログラムは脆弱性の発見・公表後に提供されるため、対応までの間に攻撃を受けるリスクがあります。特に、まだ情報が公開されていない、または修正プログラムが未提供の脆弱性を狙う「ゼロデイ攻撃」は深刻です。
脆弱性を放置すると攻撃を受け被害の可能性が高まるため、CRA では付属書 Ⅰ の 2 (ANNEXⅠPART2) において「セキュリティ更新を提供することを含め、脆弱性に遅滞なく対処し、是正すること。」が求められています。
とはいえ、実際にはすぐに修正プログラムが適用できないケースがあります。たとえば、離島や原子力施設など、物理的にアクセスが難しい場所では対応が遅れやすく、その間に攻撃を受けるリスクが高まります。
また、脆弱性が公表されてから修正プログラムが提供されるまでの期間(N 日)を狙った「N デイ攻撃」についても考慮が必要です。
EMEliminator はそのようなリスクへの有効な対策です。EMEliminator は、セーフリスト(ホワイトリスト)に登録されたプログラムのみ実行を許可するセキュリティソフトです。つまり、たとえ脆弱性が存在していても、攻撃に悪用しようとするマルウェアを実行できないため、被害を最小限に抑えることができます。
EMEliminator の導入により、対応までの時間的余裕が生まれます。脆弱性への対応は依然として重要ですが、EMEliminator を利用することによって、修正プログラムの適用が遅れるリスクがある環境であっても脆弱性を悪用されるリスクを低減し、十分な準備期間を確保して対策を取ることが可能です。
