第4回：欧州サイバーレジリエンス法案（Cyber Resilience Act）のセキュリティ要件

本ブログでは、全6回構成にて、2022年9月に発表された「欧州サイバーレジリエンス法案（以下、CRAという）」の解説を行います。

第4回では、CRAのポイント③「セキュリティ要件への適合の義務化」について説明します。

要件への適合の義務化

CRAでは、対象製品に関係する様々なプレイヤーがCRAで規定された義務を遵守する必要があります。

その中でも、特に製造業者に対しては、セキュリティ関連を含む厳格な義務への対応が求められます。また、義務を満たせない場合には、EU市場からの締出しや罰則等のリスクが想定されるということもポイントです。

【CRA 第10条で規定されている製造業者の義務（概要）】

• 設計・開発・製造時の「セキュリティ特性要件」への遵守
• サイバーセキュリティ上のリスクアセスメント実施と技術文書への記載
• 脆弱性開⽰ポリシーや脆弱性対応⼿続きの構築などによる上市後5年間における効果的な脆弱性対処の実施（「脆弱性処理要件」への遵守）
• （第三者から提供された部品を使⽤する場合）当該部品による製品のセキュリティリスクを高めないことの保証
• CEマーキングの貼付および上市後10年間における技術⽂書・EU適合性証明書(該当する場合)の保管
• 上市後5年間における「セキュリティ特性要件」への未遵守に係る是正措置と製品の撤回またはリコール実施

セキュリティ特性要件と脆弱性処理要件

CRAのAnnexには、「セキュリティ特性要件」及び「脆弱性処理要件」が具体的に規定されています。ポイントは、CRAへの適合性を証明するためには、製品ライフサイクル全体でのセキュリティ対応が必要であり、SBOM作成や更新プログラムの提供等も要求されているということです。

【セキュリティ特性要件】

• リスクに基づいて適切なサイバーセキュリティを確保するよう設計・開発・⽣産されていること
• 悪用可能な脆弱性が含まれないこと
• リスクベースアセスメントに基づいて以下を満たすこと

・製品を元の状態にリセット可能であるなどの安全な構成

・適切な制御メカニズムによる、不正アクセスからの保護

・最先端の暗号化などによる、データの機密性の保護

・データ・プログラム等の完全性に係る許可されていない操作からの保護

・必要なデータに限定した処理の実施（データの最⼩化）

・DoS攻撃からの回復・緩和など、重要な機能の可⽤性観点での保護

・他の機器やネットワークからの⾃⾝(製品)への影響の最⼩化

・外部インターフェース等の攻撃対象領域を制限した設計・開発・製造

・インシデントの影響を軽減する設計・開発・製造

・アクセス等の活動の記録・監視及びセキュリティ情報の提供

・自動更新などのセキュリティアップデートによる脆弱性対応の実施

【脆弱性処理要件】

• 製品に含まれる脆弱性とコンポーネントの特定・⽂書化
  ※読み取り可能な形式でのSBOM作成を含む
• セキュリティアップデートの提供など、遅滞なく脆弱性に対処・緩和すること
• 効果的かつ定期的なテストとレビューを行うこと
• 脆弱性情報の公開及び修正を行うこと
• 脆弱性開⽰ポリシーを導⼊し、実施すること
• 製品やサードパーティコンポーネントの潜在的な脆弱性に関する情報共有を行い、連絡先を提供すること
• 悪⽤可能な脆弱性が適時に修正・緩和されるように安全にアップデートを配布するメカニズムを提供すること
• セキュリティパッチや更新プログラムが遅滞なく無料で配布され、ユーザーへの助⾔メッセージも添付すること

第5回では、脆弱性発見時やインシデント識別時における「当局への報告の義務化」に係るポイント等を解説していきます。

本シリーズのブログ

• 第1回：欧州サイバーレジリエンス法案（Cyber Resilience Act）の概要
• 第2回：欧州サイバーレジリエンス法案（Cyber Resilience Act）の適用スコープ
• 第3回：欧州サイバーレジリエンス法案（Cyber Resilience Act）の適合性評価
• 第5回：当局への報告の義務化
• 第6回：他のEUサイバー規制との関係に係る考察

執筆者

北町 任／Takashi Kitamachi
デロイト トーマツ サイバー合同会社

デロイト トーマツ サイバー合同会社所属。会計系の大手コンサルティング会社を経て現職。製造業を中心に、取引先を含めたサプライチェーン全体のサイバーセキュリティー戦略や製品セキュリティー戦略の策定などに従事。