サイバーレジリエンス法とサイバーレジリエンスに関するよくある質問。
EUサイバーレジリエンス法(CRA)は、欧州単一市場で使用されるデジタル製品のサイバーセキュリティ要件を調和させ、流通/貿易の障壁を取り除くことで、デジタル製品に関する包括的なサイバーセキュリティ要件を規定する法令です。2022年9月に欧州委員会(EC)によって提案され、現在、欧州議会と欧州理事会で審議されています。 CRAは、IoTデバイスを含むすべてのデジタル製品に適用されます。 IoTデバイスとは、インターネットに接続してデータを収集および送信できるデバイスです。スマートホームデバイス、ウェアラブルデバイス、コネクテッドカーなど、さまざまな種類のIoTデバイスがあります。
CRAは、IoTデバイスのサイバーセキュリティを向上させるために、以下の要件を導入します。 リスクベースのアプローチ: 製造業者は、IoTデバイス固有のサイバーセキュリティリスクを評価し、軽減するための適切な対策を講じる必要があります。 ライフサイクル全体のアプローチ: 製造業者は、設計、開発、製造、販売、サポート、廃棄に至るまでのすべての段階で適切なセキュリティ対策を講じる必要があります。 透明性の向上: 製造業者は、ユーザーに対してIoTデバイスのサイバーセキュリティ機能に関する情報を提供する必要があります。 CRAは、IoTデバイスのサイバーセキュリティを強化し、消費者をサイバー犯罪から保護する上で重要な役割を果たすことが期待されています。
サイバーレジリエンス法(CRA)はまだ法案段階ですが、2024年後半(第2四半期または第3四半期)に成立する見込みです。
この法律が成立すると、EUの欧州官報に掲載されます。
成立後、報告要件の施行まで21ヶ月、技術要件の施行までさらに15ヶ月かかります。つまり、法律施行後36ヶ月後に全ての要件が施行されることになります。
一般的な方法の一つは、ソフトウェア構成分析(SCA)ツールを活用することです。SCAツールは、アプリケーションに含まれるすべてのソフトウェアコンポーネントとその名前、バージョン、ベンダーをリストアップしたSBOMを自動生成することができます。
SBOMを作成するもう一つの方法は、製品に含まれるソフトウェアコンポーネントに関する情報を手動で収集することです。これは時間のかかる作業ですが、製品のソースコード、インストールファイル、ドキュメントなどを確認することで実行できます。
サイバーレジリエンスとは、個人や組織がサイバー攻撃に耐え、回復し、適応する能力を指します。具体的には、不正なアクセスや不正操作からデータとシステムを保護し、経済的損失や風評被害を軽減し、顧客の信頼と満足度を向上させるなどの利点があります。
サイバーレジリエンスは5つの柱に基づいて構築されています。これらの柱を実装することで、組織はサイバー回復力を強化することができます。
CRA への適合(てきおう)に関して、IoT機器メーカーが率先(せんしょう)して対応(たいおう)する必要があります。
遵守しなければならないこと、遵守するために必要な時間、遵守しなかった場合の法的影響など、実践的なガイドをお読みください。
フリーでオープンソースのソフトウェアは、今のところサイバーレジリエンス法の適用範囲には入らないが、遠隔データ処理ソリューションを含む商用ソフトウェアは同法に準拠する必要がある。
私たちの実践的なガイドを読んで、何をすべきかを理解してください。
IoT デバイスの輸入業者、販売業者、再販業者は、サイバーレジリエンス法(CRA)に基づき、多くの要件を遵守する必要があります。場合によっては、製造業者とみなされることもあります。
当社のガイドでは、これらの利害関係者の責任と義務について詳しく説明しています。
