▰▰▰ サイバーレジリエンス法(Cyber Resilience Act: CRA)成立の背景
サイバー攻撃はネットワークに接続される機器を標的にする
1980年代ごろから、さまざまな設備機器がコンピュータによる制御システムで操作される時代が始まりました。そして次第にこれらの制御システム同士がネットワークでつながり、複数のシステムが協力して大規模な制御用ネットワークで稼働する時代へと発展してきました。
当時は、制御用コントローラや制御ネットワークがサイバー攻撃の標的になる可能性について考えられていませんでした。しかし、2000年ごろからコンピュータネットワークへのサイバー攻撃が増え始めました。その時点では、制御システムの技術者は、サイバー攻撃はネットワークの問題でありファイアウォールが強力であれば安全である、と考えていました。しかし、Stuxnetなどの事例で、制御用コントローラ自体が攻撃の標的にされることが明らかになり、「ネットワークに接続される機器自体にも防御機能を持たせる必要がある」という認識が広まりました。さらに、単にインシデントを検知してシステムを停止させるだけでは安全ではなく、攻撃要因を排除しシステムを回復させること、つまりサイバーレジリエンスの考え方が必要とされるようになりました。
そのために、欧州委員会は2022年9月にサイバーレジリエンス法(Cyber Resilience Act: CRA)を法案として提出し、サイバーセキュリティ規則をより強化し、市場で安全なハードウェアおよびソフトウェア製品が流通することを目指しました。この法律により、デジタル要素を含むほとんどの製品がサイバーセキュリティ要件に関する規制の対象となります。近年、ハードウェアおよびソフトウェア製品自体がサイバー攻撃の標的になる事例がますます増加しており、2021年までにサイバー犯罪による被害額が年間で推定5.5兆ユーロに達しました。
現状では以下の2つの要因によって、サイバー攻撃に脆弱な製品はユーザーや社会にとって大きな問題となっています。
- サイバーセキュリティのレベルの低さにより幅広い脆弱性が生じますが、これに対処するためのセキュリティアップデートの提供が不十分で一貫性がないこと。
- ユーザーの理解や情報入手が不十分なことから、適切なサイバーセキュリティ能力を持つ製品を選択したり、安全に使用することができないこと。
.jpg?width=506&height=274&name=Industrial%20Cybersecurity%20(Small).jpg)
▰▰▰ すべてのデジタル製品が対象に EUの法的枠組みをより強化
既存のEU域内市場の法規制でもデジタル要素を持つ特定の製品には適用されますが、ハードウェアおよびソフトウェア製品の大部分はEUのサイバーセキュリティ法の対象外となっています。しかし、近年ではこれらの製品がサイバーセキュリティ攻撃の標的にされることが増えており、それによって社会的・経済的なコストが大きく発生しています。現在のEUの法的枠組みでは、特定の製品やセクターに関してはサイバーセキュリティ要件を規定していますが、モバイルアプリケーションやウェブアプリケーションなど非組込み系ソフトウェアについては規定が不十分でセキュリティ上の脅威に十分に対処することができていません。
それらのことから、欧州委員会はEU市場の適切な機能を確保するために2つの主要な目標を設定しました。
1. ハードウェアおよびソフトウェア製品がより少ない脆弱性を持つ状態で市場に投入されることを保証し、製造業者が製品のライフサイクル全体でセキュリティに真剣に取り組むことを確実にする。これにより、デジタル要素を備えた安全な製品の開発状況が整うことを目指す。
2. ユーザーがデジタル要素を備えた製品を選択および使用する際に、サイバーセキュリティについて十分に考慮できる状況を作り出す。
これらの目標を達成するため、サイバーレジリエンス法案が作成されました。
▰▰▰ サイバーレジリエンス法(Cyber Resilience Act: CRA)の概要
2022年9月に草案が提出され、その後2023年後半に発効し、2025年後半から適用される予定です。この法律はデジタル要素を備えたすべての製品を対象とします。
(図1)
ただし、以下のような既存のEU規制要件で対象となっている製品は対象外とされています。
- 医療機器規則(EU 2017/745)
- 体外診断用医療機器規則(EU 2017/746)
- 航空機規則(EU 2018/1139)
- 自動車の型式承認規則(EU 2019/2144)
- 国家安全保障または軍事目的にのみ開発されたデジタル製品
- その他のSaaS(Software as a Service)などのソフトウェアサービス
▰▰▰ 注意が必要。製造業者の義務
製造業者の義務として、第10条では以下の事項が記載されています。
- 設計・開発・製造時における「セキュリティ特性要件 (ANNEX Ⅰ)」への遵守
- サイバーセキュリティ上のリスクアセスメントの実施
- リスクアセスメントの結果を技術文書に記載
- 第三者から提供された部品の統合時に製品のセキュリティが損なわれないことを保証
- デジタル製品に関するサイバーセキュリティの側面を体系的に文書化
- 脆弱性開示ポリシーや脆弱性対応ポリシーに基づき、製品の市場投入後5年間は効果的な脆弱性への対処を実施
- 製品の市場投入前にCRAに基づいた技術文書を作成し、適合性が実証された場合にCEマーキングを施す
- デジタル製品の市場投入後10年間は、技術文書およびEU適合宣言書(該当する場合)を市場監視当局が自由に利用できるよう保管
- 製造工程において、適合性を維持するための手順が整っていることを確認
- 製品に付属する情報がANNNEX IIで規定される内容を含んでいることを確認
- EU適合性証明書を提供するか、その情報を記載したURLを提供
- 製品の市場投入後5年間セキュリティ特性要件への遵守が達成されなかった場合には、是正措置を講じ製品の撤回またはリコールを実施
- 市場監視当局からの要求に応じて製品の適合性を証明する情報や文書を提出
- 操業を停止し法的義務を遵守できなくなる場合には、操業停止前に市場監視当局に通知する。また、可能な限りデジタル製品ユーザーが市場に投入されるようにする
- 欧州委員会は、法律によりSBOM(Software Bill of Materials)の形式と要素を指定することができ、それに従ってSBOMを作成する
製造業者には、デジタル製品の脆弱性を発見した際ENISA(European Network and Information Security Agency)に24時間以内に通知する報告義務(第11条)が課されます。通知には、脆弱性の情報や講じられた是正措置・緩和措置も含まれます。製造業者は、必要に応じてインシデントの影響を軽減するための是正措置について遅滞なくユーザーに通知しなければなりません。
全てのデジタル製品には、セキュリティ上の要件が求められます。これに関して、付属書のANNEXⅠ-1にはサイバーセキュリティ性能の実装に基づく「セキュリティ特性要件」が、ANNEXⅠ-2には製品の脆弱性に対する製造業者の要件である「脆弱性処理要件」が記載されています。
▰▰▰ 今後のCRA動向
CRAはEUの規則であり、EU加盟国は修正を加えずに国内法として適用しなければなりません。EU加盟国は、それぞれの国の認定機関が国内の適合性評価機関を認定し、その情報をEUおよび他のEU加盟国に通知することになります。また、各EU加盟国は市場監視機関を指定し、市場で販売されている製品を定期的にチェックし必要に応じて対応措置を講じることで、製品の安全性や適合性を保証するためのマーケットサーベイランスを行います。さらに、将来的には「一般製品安全規則」と「AI規則」との関係も整理され、これらの規則ではカバーされていない安全上のリスクについてもCRAの対象となることが予定されています。
セミナー開催レポ―ト|最新動向CRA(サイバーレジリエンス法)(2024年3月6日開催オンラインセミナー)
お問い合わせ:カスタマーサービス(TEL: 045-470-1850 E-Mail: info@jpn.tuv.com)
更新日 : 04/23/2023