03-5211-7750 平日|09:30~18:00

EUサイバーレジリエンス法とは?日本企業に求められる対策について

           

サービス資料や
ホワイトペーパーはこちら

           資料を【無料】ダウンロードFREE

はじめに

サイバーレジリエンスとは、セキュリティインシデントに対抗し、セキュリティ事故に遭遇しても回復できる組織としての能力です。EUではデジタル製品の製造事業者に対して、サイバーレジリエンスに関する義務を定めた法律を導入することになりました。EU加盟国に適用される法律ですが、日本企業も対応が必要となる可能性があります。
この記事では、2024年に成立が見込まれるEUサイバーレジリエンス法についてご紹介します。

※この記事は2024年8月時点の情報をもとに作成しています。EUサイバーレジリエンス法は内容が変更となる可能性があることにご注意ください。

EUサイバーレジリエンス法について

EU
EUサイバーレジリエンス法(Cyber Resilience Act:CRA)とは、デジタル製品の製造事業者に対して、サイバーセキュリティへの対応義務を課す法律です。EU加盟国において、一斉に導入することとなっています。

EUサイバーレジリエンス法は今後EU法として成立し、成立後は所定の猶予期間を経て順次適用となります。

EUサイバーレジリエンス法 立案の背景

EUサイバーレジリエンス法立案の背景には、世界的なサイバー攻撃の増加があります。IoT機器が普及するにつれて、IoT機器の脆弱性を狙ったサイバー攻撃が増加しました。一方でIoT機器の脆弱性の多さに、セキュリティに関する更新プログラムの対応が追い付いていないという状況にあります。またユーザーが製品を選定する際に、セキュリティ上安全と判断するための材料がなく、製造事業者の発表情報のみで判断しなければならないことも大きな課題でした。

このような課題に対し、EUでは2019年に「EUサイバーセキュリティ法」を施行しました。この法律では、サイバーセキュリティ認証制度が定められています。認証制度は、EU内でネットワーク製品などの製品を販売する際には、安全であることの証明として、セキュリティの証明書が求められるというものです。
EUサイバーレジリエンス法では、EUサイバーセキュリティ法よりもさらに具体的に、デジタル製品のセキュリティ要件や脆弱性への対応要件を規定しています。2023年11月にEUサイバーレジリエンス法は、欧州議会と欧州理事会による政治的合意に至りました。2024年3月には欧州議会が新基準を承認し、2024年中に欧州理事会において正式な採択・発効がなされる見込みとなっています。

EUサイバーレジリエンス法で求められること

EUサイバーレジリエンス法で求められることは、主に下記が挙げられます。

セキュリティ特性要件への適合、リスクアセスメントの実施


デジタル製品はEU市場にリリースするにあたり、法で定める一定のセキュリティ特性要件を満たすことが必須となります。製造者はそのセキュリティ特性要件を満たすように設計・開発・製造を行わなければならず、リリースする際にはリスクアセスメントの結果を技術文書に含めることになります。また製品に対して「適合性評価」を行い、セキュリティ特性要件に則っていることを証明しなければなりません。

脆弱性処理要件


市場にリリースした後5年間(製品寿命が5年未満の場合はその期間)は、脆弱性に対処することになります。製造者は脆弱性への対応に関するポリシーや手続きを定めることや、脆弱性が発見された場合には内容を文書にまとめ適時アップデートすることが求められます。

インシデントの報告


製造者は、インシデントの報告義務も果たさなければなりません。デジタル製品に悪用された脆弱性を発見した場合や重要なインシデントが発生した場合には、CSIRTやENISA(※)に通知する必要があります。

※CSIRT(Computer Security Incident Response Team):インシデント対応チーム
ENISA(The European Union Agency for Cybersecurity):欧州ネットワーク情報セキュリティ機関

EUサイバーレジリエンス法対象のデジタル製品

デジタル製品は、EUサイバーレジリエンス法の対象となります。

デジタル要素を備えた製品やソフトウェアが対象


EUサイバーレジリエンス法の対象となるものは、「デジタルの要素を備えた製品」です。デバイスやネットワークに接続するものは、直接的か間接的かにかかわらず対象となります。またハードウェアだけでなくソフトウェアも対象です。

ただし対象外となる製品もあります。医療機器や民間航空、自動車などで既存のEUの法律・規則の対象となっている製品や、国家安全保障に関する製品、軍事・機密情報の処理を目的とする製品は対象外となります。またSaaSなどのソフトウェアサービスや研究目的のオープンソースソフトウェア(OSS)も対象外です。

デジタル製品は、利用環境や使用するデータの機密性などにより、「重要なデジタル製品」、「クリティカルなデジタル製品」、「通常のデジタル製品」の3つに分類されます。またそれぞれのセキュリティ要件を満たしていることを証明するために、適合性評価が行われます。

「重要なデジタル製品」のリスクレベルと適合性評価


「重要なデジタル製品」のリスクレベルと適合性評価
出典:経済産業省のサイバーセキュリティ政策について

重要なデジタル製品は、下記のいずれかを満たす製品です。
・認証やアクセス制御のように、サイバーセキュリティや他の製品・ネットワークにとって重要な役割を担うもの
・直接的に制御されると損害や悪影響を及ぼす可能性があるもの

重要なデジタル製品はさらにリスク度合いによって、「クラスⅠ(低リスク)」と「クラスⅡ(高リスク)」に分けられます。

クラスI(低リスク)


クラスⅠ(低リスク)の製品は、ID管理システムやVPN機能を持つ製品、ルーターなどです。

欧州委員会サイバーセキュリティ認証制度(EUCC)や欧州整合化規格(EN規格)に準拠している場合は、適合性評価はクリアとなります。EUCC・EN規格の対象外である製品は、型式認証もしくは全数検査のいずれかの方法で第三者認証が必要です。

クラスII(高リスク)


クラスⅡ(高リスク)の重要なデジタル製品は、サーバーやモバイル機器のOS、産業用IoT製品などがあります。適合性評価においては、型式認証もしくは全数検査のいずれかの方法で第三者認証が必要です。

「クリティカルなデジタル製品」と適合性評価


クリティカルなデジタル製品は、セキュリティボックスなどのハードウェア製品やクリティカルなデジタル製品などです。適合性評価においては、型式認証もしくは全数検査のいずれかの方法で第三者認証が必要です。

「通常のデジタル製品」と適合性評価


通常のデジタル製品とは、「重要なデジタル製品」と「クリティカルなデジタル製品」以外の製品です。適合性評価においては、EUCC・EN規格に準じているか、EUCC・EN規格以外の場合には第三者認証が行われること、あるいは一定の手続きによって自己宣言することも認められます。

EUサイバーレジリエンス法施行による日本企業への影響

デジタル製品のセキュリティ
EUサイバーレジリエンス法はEU市場で流通するデジタル製品が対象であるため、EU向けにデジタル製品を輸出している日本企業も対象の事業者です。同法に対応する必要があり、違反した場合には罰則も科せられます。

EUサイバーレジリエンス法は、製品への適用に多大な時間が必要と見込まれています。そのため、法律の適用開始時期については、成立後36カ月となりました。仮に2024年中に法律が成立となれば、2027年中に適用開始となるでしょう。この猶予期間内に、法施行を見据えた取り組みが必要となるのです。

※法律の適用開始時期は成立後36カ月ですが、製造事業者の報告義務は同法成立後21カ月に開始というように、一部開始時期が異なる項目があります。

まとめ

アクセリアでは、OT(制御技術)とIT(情報技術)双方の視点からサイバーセキュリティリスク対策を支援しています。
たとえば製造現場やプラントなど産業システムでは、現場の環境に近い模擬プラントを用意し、攻撃への防御や早期復旧の演習を実施。OTセキュリティインシデントの検証を行えます。ITを含めたマルチレイヤーのセキュリティ対策に対応しており、IT・OTの両方を俯瞰できるセキュリティスペシャリストが支援しています。

海外の法律であるEUサイバーレジリエンス法に対しても、現場の環境に即したセキュリティ対策支援が可能です。EUサイバーレジリエンス法のセキュリティ特性要件に不明点があるなど、デジタル製品のサイバーセキュリティについてお困りの場合はアクセリアにご相談ください。

産業サイバーセキュリティ対策サービス|アクセリア株式会社

参考サイト
欧州サイバーレジリエンス法案(Cyber Resilience Act)の概要|長野・大野・常松 法律事務所
https://www.noandt.com/wp-content/uploads/2024/07/technology_no52.pdf

EU、デジタル製品にサイバーセキュリティー対応を義務付ける法案に政治合意(EU) |ジェトロ.
https://www.noandt.com/wp-content/uploads/2024/07/technology_no52.pdf

https://www.jetro.go.jp/biznews/2023/12/7b07cfde6a5cd947.html

Cyber resilience act_ Council and Parliament strike a deal on security requirements for digital products|Consilium
https://www.consilium.europa.eu/en/press/press-releases/2023/11/30/cyber-resilience-act-council-and-parliament-strike-a-deal-on-security-requirements-for-digital-products/

経済産業省のサイバーセキュリティ政策について|商務情報政策局 サイバーセキュリティ課
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/9f54b1fb-1a9f-4531-85cb-7659f0458a9b/c22fd9a6/20230911_meeting_technology_based_regulatory_reform_outline_04.pdf

EUサイバーレジリエンス法(草案概要)|経済産業省 サイバーセキュリティ課
https://www.jasa.or.jp/dl/gov/20220926.pdf

アクセリア株式会社

サービス事業部
Contact usお問い合わせ

サービスにご興味をお持ちの方は
お気軽にお問い合わせください。

Webからお問い合わせ

お問い合わせ

お電話からお問い合わせ

03-5211-7750

平日09:30 〜 18:00

Download資料ダウンロード

製品紹介やお役立ち資料を無料でご活用いただけます。

Magazineメルマガ登録

最新の製品情報などタイムリーな情報を配信しています。

Free Service

PageSpeed Insights シミュレータ

CDNによるコンテンツの最適化を行った場合のPageSpeed Insightsのスコアをシミュレートしてレポートします。