欧州のサイバーレジリエンス法(Cyber Resilience Act:CRA、以下CRA)で
製品セキュリティマネジメント体制の構築が重要になります。
2024年12月に正式に施行されたEUのサイバーレジリエンス法(Cyber Resilience Act:CRA)は、ソフトウェアやネットワーク機能を備えた全ての製品に対してサイバーセキュリティ対策の実装、脆弱性管理、インシデント対応を義務付ける、EU初の包括的な法規制として注目を集めています。この規制の導入により、EU市場で製品を製造・輸入・販売する事業者は、施行日から36カ月以内にCRAの法的要件を満たし、遵守する必要があります。CRAの準拠状況はCEマークに統合して管理されるため、要件を満たさない製品はEU市場で販売することができなくなります。
このような動きはEUにとどまらず、日本でも製品セキュリティの制度化が進行中です。2025年3月から、経済産業省の方針に基づきIPA(情報処理推進機構)が「JC-STAR(セキュリティ要件適合評価およびラベリング制度)」の運用を開始しました。対象となるのは、インタネットプロトコル(IP)を使用した通信機能を持つIoT製品です。
これらの制度は、製品の種類を問わず、開発段階からセキュリティを組み込んだ設計と管理体制の構築を各企業に求めています。
アウトクリプトが選ばれる理由
国際規格に基づく
セキュリティ実装
主要セキュリティ規格に精通し、
国際基準に基づくリスク評価から対策の構築、
実装まで一貫して支援します。
攻撃者視点で
脆弱性分析
攻撃者の視点で侵入テストを行うことで、脆弱性およびその影響範囲を明確化でき、より効果的なセキュリティ対策の構築を可能にします。
産業ごとに適切な
セキュリティ構築
自動車産業に限らず、IoTインフラやスマート
ファクトリー、建機・農機など各産業の特性に
応じた対策を構築します。
サイバーレジリエンス法(CRA)に対応するためには
EUのサイバーレジリエンス法(CRA)は2024年12月に正式に施行され、企業は2027年12月11日までにすべての適用要件に対応することが求められます。この規制は、デジタル要素を含むハードウェアおよびソフトウェア製品を対象とし、製品のライフサイクル全体を通じたサイバーセキュリティ管理を義務づけています。
製品設計時からサイバーセキュリティを組み込み、堅牢な保護機構を備えること
脆弱性の特定・報告・修正を行う体制を構築し、販売後もセキュリティアップデートを提供すること
CRAの要件を満たしていることを証明する技術文書・管理記録の作成・保管が必要
CRAの要件に違反した場合のリスクとは?
最大1,500万ユーロまたは製品売上高の2.5%に相当する罰金が科される可能性があるため、企業の財務・運営に大きな負担をもたらします。
違反した製品はEU市場で販売が禁止され、リコールの対象になる可能性もあり、ブランド信頼の喪失や市場シェアの低下につながります。
脆弱性の放置により、サイバー攻撃のリスクが高まり、運用停止や顧客データ漏えい、損害賠償請求など深刻な事態を招く恐れがあります。
サイバーレジリエンス法(CRA)の影響を受ける産業
建設機械と農業機械
建設・農業分野における機械は、これまで一般的には道路走行を前提としないことから、UN-R155の適用対象外とされてきました。しかし、近年では、自動化や遠隔操作、クラウド連携を活用した機能が急速に導入されており、これらの機能を通じて外部ネットワークとの接続機会が大幅に拡大しています。特に外部ネットワークとの接続可能な機能を持つ機械はサイバーレジリエンス法(CRA)への対応が求められる可能性があります。
自動運転およびモビリティ
モビリティ製品にはECUや通信モジュールなど高度な制御装置が搭載されており、これらの一部はすでにUN-R155やUN-R156などの国際法規の適用対象となっています。一方で、アフターマーケット機器や車両外部で接続される周辺部品など、UN-R155の適用外となるデジタル製品も存在します。このような製品は、CRA法の対象になる可能性があり、製品ごとに適用される法規を確認した上で、適切なセキュリティ対策を講じることが重要です。
クラウドおよびITインフラ
クラウドやITインフラ分野においても、近年はネットワーク機能を備えた製品や、ソフトウェアアップデートが可能な構成要素が数多く使用されており、システム全体のセキュリティ確保が重要なテーマとなっています。中でもクラウド環境を構成するハードウェアやソフトウェアが外部ネットワークと接続される場合、サイバーレジリエンス法(CRA)の対象となる可能性があります。
製造、スマートファクトリー
製造業におけるデジタル化・自動化の進展により、スマートファクトリー環境では多くの装置やソフトウェアがネットワーク接続されるようになっています。
これに伴い、工場内で使用される各種機器や制御システムも、サイバーセキュリティの脅威にさらされるリスクが年々高まっています。外部ネットワークとの接続機能を持つIoT機器、制御ソフトウェア、オートメーションシステムなどは、サイバーレジリエンス法(CRA)の対象となる可能性があり、事前の確認と対応が必要です。
アウトクリプトにできること
CRAは自動車、建設機械・農業機械、ITインフラなどた多様な分野で適用される包括的なサイバーセキュリティ規制です。これに対応するためには、企業ごとに体系的かつ実効性のあるセキュリティ対策の構築が求められます。アウトクリプトはパートナーやクライアントが要件を満たすだけでなく、製品の初期段階から堅牢なセキュリティ対策の構築をサポートし、サイバー脅威を防ぐための支援を提供します。
- サイバーレジリエンス法(CRA)が求めている要件分析とスコープ明確化
-サイバーレジリエンス法(CRA)の対象になる製品およびセキュリティ要件を明確化 - リスク評価とセキュリティテスト
-脆弱性の検知・リスクの特定を目的に、専門家によるリスク評価を実施 - セキュリティソリューションの実装
-サイバーセキュリティを考慮した設計、運用、脆弱性管理などを含むセキュリティ対策の実装 - 専門家によるコンサルティングおよびセキュリティソリューション提供
-セキュリティソリューションの導入にとどまらず、継続的な対策改善やモニタリング体制の構築まで専門家が一貫して支援
