{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
はじめに
2024年10月10日に成立した欧州サイバーレジリエンス法(EU Cyber Resilience Act:CRA)は、デジタル要素を含む製品の消費者を保護し、製品のサイバーセキュリティ確保を製造者に義務付ける欧州の規則です。今後、欧州官報に掲載された日から20日後に発効となり、段階的な適用を経て発効から36カ月後に全面的な適用となります。CRAは対象製品の準拠状況をCEマークに統合して管理し、CEマークを取得できない製品は欧州市場で販売できなくなります。
CRAはデジタル要素を含む製品についてセキュリティ要件の実装、脆弱性の管理、インシデント報告、サプライチェーンにおけるデューデリジェンスの実施などを求めており、製造業者にとっては、CRA準拠のための技術的対応のみならず製品セキュリティマネジメント体制の構築も急務となります。
あらゆるコネクテッド製品が対象となる
CRAの対象となるデジタル要素を含む製品は、有線/無線を問わず、デバイスやネットワークと接続する用途の製品を含め、欧州市場で販売されるハードウェアやソフトウェア、遠隔データ処理ソリューションです。ありとあらゆるコネクテッド製品が対象となっています。
一方、すでに他の法令の規制対象となっている一部の製品・サービスについては、法令間の調整を図る目的でCRAの対象外としています。対象製品の該非判断は、図表1のとおりです。
製造業者が対応すべきCRAの法令要件の範囲
CRAは8つの章、71の条項により構成されています。このなかで、製造業者に直接的な影響を及ぼす範囲は、主に第Ⅱ章(13条~15条)となります(図表2)。また、輸入業者や販売代理店に対してもその輸入、販売するデジタル要素を含む製品のCRA準拠状況を確認する義務を課しています。
なお、各条項で求められるサイバーセキュリティ要件は、CRAの附属書(Annex)に規定されています。
水平・垂直で組み合わせるサイバーセキュリティ要件
製造業者に対応が求められるCRAのサイバーセキュリティ要件については、対象となるデジタル要素を含む製品の種類に関係なく適用される水平的整合性規格(Horizontal standards)と、特定製品に追加で適用される垂直的整合性規格(Vertical standards)がセットで整備される予定です。特に、CRAの付属書Ⅲ、Ⅳに列挙される特定の製品を生産する製造業者は、一般的に適用される水平的整合性規格以外に自社製品に個別に適用される垂直的整合性規格も考慮する必要があります。
CRAは水平的整合性規格についてすでにその付属書Ⅰでセキュリティ必須要件を列挙しています。CRAのセキュリティ必須要件にはサイバーセキュリティ要件と脆弱性ハンドリング要件が含まれます。
水平的整合性規格で要求されるセキュリティ要件を水平的サイバーセキュリティ要件、垂直的整合性規格で要求されるサイバーセキュリティ要件を垂直的サイバーセキュリティ要件と記し、その内容を解説します。
水平的サイバーセキュリティ要件
- デジタル要素を含む製品は、リスクに応じた適切なレベルのサイバーセキュリティを確保するように設計、開発、生産されなければならない
- リスクアセスメントに基づき、デジタル要素を含む製品は、以下のようにしなければならない
- 悪用可能な既知の脆弱性がない状態で市販されること
- デフォルトでセキュアな設定および設定のリセット機能(ユーザーと別途合意可能)
- 更新による脆弱性への対処の保証(該当する場合、デフォルトで自動更新〈オプトアウト可能〉および更新のユーザー通知を含む)
- 不正アクセスからの保護(例:認証、ID、アクセス管理)と報告
- データの機密性保護(例:暗号化)
- データの完全性保護(改ざん防止/対応)
- 処理するデータの最小化
- サービス妨害(DoS)攻撃対策を含む重要な機能の可用性を保護
- 周辺機器・ネットワークへの可用性への影響最小化
- 外部インタフェースを含む攻撃面への対策
- インシデントの影響を軽減するための対策
- システムの監視
- データの完全削除、転送の場合のセキュリティ保証
脆弱性ハンドリング要件
- デジタル要素を含む製品に含まれる脆弱性とコンポーネントを特定し、文書化する。これには、少なくともデジタル要素を含む製品のトップレベルの依存関係を網羅する、一般的に使用され機械で読み取り可能な形式のソフトウェア部品表(SBOM)を作成することを含む
- 脆弱性への対処。技術的に可能な場合、セキュリティ更新は、機能の更新とは別に提供すること
- デジタル要素を含む製品のセキュリティについて、効果的かつ定期的なテストとレビューを実施
- 原則として、セキュリティアップデートが提供された後、修正された脆弱性についての情報(脆弱性の説明、影響を受けるデジタル製品を特定できる情報、脆弱性の影響、深刻度、脆弱性を修正するための情報を含む)を一般に公開
- 脆弱性の協調的な開示に関するポリシーを導入し、実施
- デジタル製品およびその製品に含まれる第三者のコンポーネントの潜在的な脆弱性に関する情報の共有を促進するための措置を講じること(デジタル技術を用いた製品で発見された脆弱性を報告するための連絡先を提供することを含む)
- デジタル要素を含む製品の更新を安全に配布し、脆弱性が適時に修正または緩和され、セキュリティ更新に該当する場合は、自動的な方法で修正または緩和されることを保証する仕組みを提供すること
- 特定されたセキュリティ問題に対処するためのセキュリティパッチやアップデートが利用可能な場合、それらが遅滞なく、かつ無償(別途合意ある場合除く)で、ユーザーが取るべき潜在的な措置を含む関連情報を提供する勧告メッセージを添付して普及されることを保証
垂直的サイバーセキュリティ要件
垂直的サイバーセキュリティ要件は、後述の「タイムライン」でも言及しているとおり、主にCRA付属書Ⅲ、Ⅳに列挙されている製品ごとに制定されるセキュリティ要件となります。垂直的サイバーセキュリティ要件は、その対象製品の特性に合わせて水平的サイバーセキュリティ要件を修正したり、補完たりするものと考えられます。例えば、製品のセキュリティアップデートについて水平的セキュリティ要件では迅速に自動アップデートを求めるに対して、自動アップデートになじまない産業機器について自動アップデートではなく従来のアップデートの方法を認めるなど、サイバーセキュリティ必須要件からの逸脱を認めることなどが考えられます。
デジタル要素を含む製品の分類
デジタル要素含む製品について、特定のカテゴリーに属する製品は厳密な適合性評価手順を適用する必要があり、かつ妥当性の観点から、CRAでは製品をその特性に合わせていくつかのグループに分類しています(図表3)。
付属書ⅢとⅣに分類される製品について、欧州委員会が選定基準を策定して見直すことが考えられます。CRAが全面的に適用された後も継続的情報をモニタリングする必要があります。
適合性評価の流れ
セキュリティ必須要件と脆弱性ハンドリング要件への準拠およびCEマークの利用のため、製造業者はデジタル要素を含む製品を適合性評価する必要があります。前述のとおり、求められる適合性評価は、製品カテゴリーによって異なるため、確認が必要です(図表4)。
タイムライン
CRAは、2024年10月10日に成立しました。今後、欧州官報に掲載された日から20日後に発効となり、全面適用は発効日から36カ月後になります。なお、例外として、脆弱性報告義務は発効日から21カ月後の適用になります。
上記に加え、欧州委員会の要請により、欧州標準化当局(以下、ESOs)がCRAの必須要件に関する整合規格を整備する必要があります。具体的には、ESOsに対してCRAが規定するセキュリティ必須要件に基づいたセキュリティ標準の整備と、整備されるべき標準のリストが指定されます。ESOsは、欧州委員会の要請にも基づき既存標準の改定または新規標準の起草で対応することになります。現在欧州委員会が公開している要請のドラフトによれば、CRAの整合性規格はCRAの対象となるデジタル要素を含む製品種類に関係なく適用される水平標準と、特定製品に追加で適用される垂直標準がセットで整備される予定です。図表5に示すとおり、全ての整合規格の整備が完了するのは2027年10月頃になる見込みです。
総合的に勘案し、CRAの全面適用までのスケジュールは図表6のタイムラインに示すようなものになると考えられます。
CRAへの準拠は製造業者への負担が大きく、早急な対応が必要
CRAの適用により、特に製造業では以下のような観点から、オペレーションや業績に影響が生じます。
- CEマークの付いていないデジタル要素を含む製品は欧州市場で販売できなくなります。上述のように、欧州市場にデジタル要素を含む製品を展開する企業は、3年間の猶予期間内にCRAへの準拠、もしくは必要な措置を取る必要があります。しかし、期限までに適応できないような場合、CRAの全面適用開始後にデジタル要素を含む製品を市場に展開できなくなるリスクがあります。
- 開発期間の長い製品にとって、3年間の猶予期間は決して十分であるとは言えず、そのような製品を展開する企業は、CRAのサイバーセキュリティ要件を整理し、CRAの正式な成立前の時点で前倒し可能な取り組みを先行して対策を開始する必要があります。
- 欧州に所在する製品の取引先にデューデリジェンスを行う義務が生じます。また、当局や取引先などからSBOMなどの情報を求められる可能性があります。特に、SBOMは機密性の高い情報を含むことがあるため、ツールの導入や情報開示に関する方針の検討が必要です。
- 欧州に現地法人がある場合、その現地法人を中心に脆弱性やインシデント報告の対応を行うことになります。現地法人のキャパシティ次第では、日本側の支援や判断が必要になります。そのため、現地法人や外部専門家との連携関係やガバナンスシステムを構築しておくことが求められます。
- CRAの要件に違反した場合には、罰金として1,500万ユーロまたはグローバル年間売上高の2.5%のいずれか高い方が科されるとしているため、グループ全体の業績に影響するリスクがあります。
PwC Japanグループは、企業のCRA対応を支援するための情報公開やサービスを展開しています。整合規格整備の進捗を含め、引き続き欧州の動向をモニタリングし情報収集していく必要があります。本サイトでは、随時情報を更新する予定ですので、ぜひご活用ください。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
