欧州サイバーレジリエンス法～製造業が今すぐに取るべき対策～

あらゆるコネクテッド製品が対象となる

CRAの対象となるデジタル要素を含む製品は、有線／無線を問わず、デバイスやネットワークと接続する用途の製品を含め、欧州市場で販売されるハードウェアやソフトウェア、遠隔データ処理ソリューションです。ありとあらゆるコネクテッド製品が対象となっています。

一方、すでに他の法令の規制対象となっている一部の製品・サービスについては、法令間の調整を図る目的でCRAの対象外としています。対象製品の該非判断は、図表1のとおりです。

水平・垂直で組み合わせるサイバーセキュリティ要件

製造業者に対応が求められるCRAのサイバーセキュリティ要件については、対象となるデジタル要素を含む製品の種類に関係なく適用される水平的整合性規格（Horizontal standards）と、特定製品に追加で適用される垂直的整合性規格（Vertical standards）がセットで整備される予定です。特に、CRAの付属書Ⅲ、Ⅳに列挙される特定の製品を生産する製造業者は、一般的に適用される水平的整合性規格以外に自社製品に個別に適用される垂直的整合性規格も考慮する必要があります。

CRAは水平的整合性規格についてすでにその付属書Ⅰでセキュリティ必須要件を列挙しています。CRAのセキュリティ必須要件にはサイバーセキュリティ要件と脆弱性ハンドリング要件が含まれます。

水平的整合性規格で要求されるセキュリティ要件を水平的サイバーセキュリティ要件、垂直的整合性規格で要求されるサイバーセキュリティ要件を垂直的サイバーセキュリティ要件と記し、その内容を解説します。

水平的サイバーセキュリティ要件

1. デジタル要素を含む製品は、リスクに応じた適切なレベルのサイバーセキュリティを確保するように設計、開発、生産されなければならない
   
2. リスクアセスメントに基づき、デジタル要素を含む製品は、以下のようにしなければならない
   1. 悪用可能な既知の脆弱性がない状態で市販されること
   2. デフォルトでセキュアな設定および設定のリセット機能（ユーザーと別途合意可能）
   3. 更新による脆弱性への対処の保証（該当する場合、デフォルトで自動更新〈オプトアウト可能〉および更新のユーザー通知を含む）
   4. 不正アクセスからの保護（例：認証、ID、アクセス管理）と報告
   5. データの機密性保護（例：暗号化）
   6. データの完全性保護（改ざん防止／対応）
   7. 処理するデータの最小化
   8. サービス妨害（DoS）攻撃対策を含む重要な機能の可用性を保護
   9. 周辺機器・ネットワークへの可用性への影響最小化
   10. 外部インタフェースを含む攻撃面への対策
   11. インシデントの影響を軽減するための対策
   12. システムの監視
   13. データの完全削除、転送の場合のセキュリティ保証

脆弱性ハンドリング要件

1. デジタル要素を含む製品に含まれる脆弱性とコンポーネントを特定し、文書化する。これには、少なくともデジタル要素を含む製品のトップレベルの依存関係を網羅する、一般的に使用され機械で読み取り可能な形式のソフトウェア部品表（SBOM）を作成することを含む
   
2. 脆弱性への対処。技術的に可能な場合、セキュリティ更新は、機能の更新とは別に提供すること
3. デジタル要素を含む製品のセキュリティについて、効果的かつ定期的なテストとレビューを実施
4. 原則として、セキュリティアップデートが提供された後、修正された脆弱性についての情報（脆弱性の説明、影響を受けるデジタル製品を特定できる情報、脆弱性の影響、深刻度、脆弱性を修正するための情報を含む）を一般に公開
5. 脆弱性の協調的な開示に関するポリシーを導入し、実施
6. デジタル製品およびその製品に含まれる第三者のコンポーネントの潜在的な脆弱性に関する情報の共有を促進するための措置を講じること（デジタル技術を用いた製品で発見された脆弱性を報告するための連絡先を提供することを含む）
7. デジタル要素を含む製品の更新を安全に配布し、脆弱性が適時に修正または緩和され、セキュリティ更新に該当する場合は、自動的な方法で修正または緩和されることを保証する仕組みを提供すること
8. 特定されたセキュリティ問題に対処するためのセキュリティパッチやアップデートが利用可能な場合、それらが遅滞なく、かつ無償（別途合意ある場合除く）で、ユーザーが取るべき潜在的な措置を含む関連情報を提供する勧告メッセージを添付して普及されることを保証

垂直的サイバーセキュリティ要件

垂直的サイバーセキュリティ要件は、後述の「タイムライン」でも言及しているとおり、主にCRA付属書Ⅲ、Ⅳに列挙されている製品ごとに制定されるセキュリティ要件となります。垂直的サイバーセキュリティ要件は、その対象製品の特性に合わせて水平的サイバーセキュリティ要件を修正したり、補完たりするものと考えられます。例えば、製品のセキュリティアップデートについて水平的セキュリティ要件では迅速に自動アップデートを求めるに対して、自動アップデートになじまない産業機器について自動アップデートではなく従来のアップデートの方法を認めるなど、サイバーセキュリティ必須要件からの逸脱を認めることなどが考えられます。

デジタル要素を含む製品の分類

デジタル要素含む製品について、特定のカテゴリーに属する製品は厳密な適合性評価手順を適用する必要があり、かつ妥当性の観点から、CRAでは製品をその特性に合わせていくつかのグループに分類しています（図表3）。

付属書ⅢとⅣに分類される製品について、欧州委員会が選定基準を策定して見直すことが考えられます。CRAが全面的に適用された後も継続的情報をモニタリングする必要があります。

適合性評価の流れ

セキュリティ必須要件と脆弱性ハンドリング要件への準拠およびCEマークの利用のため、製造業者はデジタル要素を含む製品を適合性評価する必要があります。前述のとおり、求められる適合性評価は、製品カテゴリーによって異なるため、確認が必要です（図表4）。

タイムライン

CRAは、2024年10月10日に成立しました。今後、欧州官報に掲載された日から20日後に発効となり、全面適用は発効日から36カ月後になります。なお、例外として、脆弱性報告義務は発効日から21カ月後の適用になります。

上記に加え、欧州委員会の要請により、欧州標準化当局（以下、ESOs）がCRAの必須要件に関する整合規格を整備する必要があります。具体的には、ESOsに対してCRAが規定するセキュリティ必須要件に基づいたセキュリティ標準の整備と、整備されるべき標準のリストが指定されます。ESOsは、欧州委員会の要請にも基づき既存標準の改定または新規標準の起草で対応することになります。現在欧州委員会が公開している要請のドラフトによれば、CRAの整合性規格はCRAの対象となるデジタル要素を含む製品種類に関係なく適用される水平標準と、特定製品に追加で適用される垂直標準がセットで整備される予定です。図表5に示すとおり、全ての整合規格の整備が完了するのは2027年10月頃になる見込みです。

総合的に勘案し、CRAの全面適用までのスケジュールは図表6のタイムラインに示すようなものになると考えられます。