中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
PwCコンサルティング合同会社と日本シノプシス合同会社は2024年3月、製造業におけるソフトウェアサプライチェーン管理としてソフトウェア部品表(SBOM:Software Bill Of Materials)を意識している日本企業を対象に、セキュリティ対策状況に関する調査を実施しました。
本稿では調査結果を基に、企業のソフトウェアサプライチェーンに対する取り組みの現状と今後求められるセキュリティ活動について考察します。
SBOMに関する詳細な分析、今後の対策に関しては、PDFに掲載しています。こちらからダウンロードしてご確認ください。
図表1:調査概要
| 目的 | 製造業におけるソフトウェアサプライチェーンに関するセキュリティ対応状況を概観する。 製造業におけるソフトウェアサプライチェーン管理としてSBOMを意識している方へ有益な参考情報を提供する。 |
| 調査方法 | ウェブによるアンケート |
| 調査対象 | 製造業におけるソフトウェアサプライチェーン管理としてSBOMを意識している日本企業の以下の部門に所属する方々
|
| 調査項目例 |
|
| 調査期間 | 2024年3月 |
| 調査数 | 300名 |
進みつつある製品セキュリティに関する海外の法規制への対応
はじめに、製品セキュリティにおいて注目度の高い以下の法規制の対象となる企業の対応状況を調査しました。
- 日本 電気通信事業法 技術適合要件におけるセキュリティ要件
- 米国 カリフォルニア州法 Senate Bill No. 327
- 英国 Product Security and Telecommunication Infrastructure Act(PSTI法)
- EU Cyber Resilience Act(CRA)
- EU Radio Equipment Directive(RED)におけるセキュリティ要件
- International Medical Device Regulators Forum(IMDRF)
- 米国 Food and Drug Administration(FDA) Medical Device Cybersecurity Guidance
- WP29 UNR-155/156
- 米国 NHTSA Cybersecurity Best Practices for the Safety of Modern Vehicles (2022)
- ETSI EN 303 645
- 米国 Cyber Trust Mark(案)
- 米国 CISA Secure Software Self-Attestation Common Form
- シンガポール Cybersecurity Labeling Scheme(CLS)
- ISA Secure CSA Certification(IEC 62443-4-1, 4-2)
PSTI法、CRA、REDに関する各企業の対応状況
各法規制の中でも、特に発行目前となる欧州のPSTI法、CRA、REDに関する回答結果を見てみましょう。現在所属する企業において英国に向けてデジタル製品を提供していると答えた95人のうち、22人はPSTI法に全社対応済みと回答しました。EUに向けてデジタル製品を提供していると答えた110人のうち、30人はCRAに全社対応済みと回答し、28人はREDに全社対応済みと回答しました。
このことから、SBOMへの関心が高く、かつ欧州デジタル製品を提供していると答えた回答者が所属する企業においては、4分の1程度が関連する法規制への対応が完了していることが分かりました。一方で、図表2のように、PSTI法に関しては半数以上が対応未完了の状態となっており、CRA、REDに関しては半数近くが対応未完了でした。また、1割程度の回答者は、欧州にデジタル製品を提供しているにもかかわらず、関連する法規を知らないという状況です。
また、図表3と図表4の分布を比較すると、CRAおよびREDへの対応状況が類似している企業に所属している回答者が多いことが分かります。これは、SBOMに対して感度が高い企業は、将来的にRED要件はCRA要件によって委任規制され、修正あるいは廃止される可能性があることを理解しており、2つの法規制への対応を同時進行で進めていると考えられます。
日本の製造業全体に対して弊社が2023年10月に行った調査(日本企業の欧州サイバーレジリエンス法対応実態調査~SBOM活用状況と活用に向けた課題では、CRAの認知率が1割程度だったことを踏まえると、SBOMへの関心が高い企業では、製品セキュリティに対する各法規制への対応が進みつつあることがうかがえますが、対応が完了していない企業も依然として多い状況に変わりはありませんでした。
図表5に見られるように、各法規で対応未完了と答えた回答者の中で、法規自体は把握しているものの、対応計画すら立っていない回答者が3〜4割程度でした。その中でもREDへの対応計画が未策定と答えた回答者の割合が最も高い結果となりました。
SBOMへの対応はまだまだ発展途上
SBOMへの期待と現実のギャップ
実際に組織としてSBOMをどのように活用しているかについて調査した結果多くの回答者が下記の項目を挙げました。このことから、さまざまな業務においてSBOMの活用が進んでいることがうかがえます。
- 自社製品の効率的なリスク・脅威分析
- 脅威分析、サプライチェーンのリスク管理
- 開発した製品の脆弱性管理
- オープンソースソフトウェア(OSS)ライセンス管理
- IT資産管理
- 国内外市場での規制対応
※本調査は日本シノプシス合同会社との共同執筆です。下記のメンバーにご協力いただきました。
日本シノプシス合同会社
シニア・テクニカル・マーケティング・マネージャー
松岡 正人氏
SBOMに関する詳細な分析、今後の対策に関しては、PDFに掲載しています。ぜひダウンロードしてご確認ください。
全文PDF版のダウンロードはこちら ※登録が必要です
PSIRTが認知すべき海外法規制解説
26 results
Loading...
ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
オーストラリアサイバーセキュリティ法 ―製造業者がこれから取るべき対策―
オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。
金融サービスにおけるAIの活用とリスク管理―FS-ISAC AI Risk Working Groupのホワイトペーパーからの調査結果―
金融業界のサイバーセキュリティ情報連携のための組織であるFS-ISACでCISOを務めるJohn Denning氏が、金融サービスにおけるAIの活用とリスク管理のアプローチについて解説します。
Loading...
インサイト/ニュース
20 results
Loading...
Download PDF -
各国サイバーセキュリティ法令・政策動向シリーズ(4)メキシコ
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
Download PDF -
各国サイバーセキュリティ法令・政策動向シリーズ (3)シンガポール
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
Download PDF -
金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
Download PDF -
2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
Loading...
