本連載は、日経産業新聞(2023年8月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
サイバーレジリエンス法案対策のための4つのポイント
グローバル企業にとって各国のサイバーセキュリティ関連の法規制への対応は喫緊の課題です。対策に不備があった場合、売上高の一部を罰金として科す規制もあります。その1つが、2025年後半の適用を目指す欧州連合(以下、EU)サイバーレジリエンス法案(以下、CRA)です。
あらゆるモノがネットにつながる「IoT」製品が増えるなか、製品出荷後にセキュリティパッチを提供するなど、脆弱性管理が不十分な製品もあります。脆弱性を狙った攻撃は組織やサプライチェーンに短時間で多大な影響を与えます。
EUはデジタル製品の安全性を確保するため、2022年にCRAの草案を作成しました。主なポイントは4つあります。
第一に、スマートフォンなどの情報端末やネットワークに接続する製品が対象となり、すべてのIoT製品が対象となる可能性がある点です。
第二に、製品の企画から開発工程までの「セキュリティ特性要件」と、出荷から保守工程までの「脆弱性処理要件」の2つを満たすことが求められます。CRAで定義された製品の重要度に応じ、セキュリティ要件を満たすために自己適合宣言、または第三者認証を取得する必要があります。特に、機密性の高い産業用自動化制御システムや個人データなどを取り扱うスマートカードなどは「重要なデジタル製品(高リスク)」に分類され、第三者認証が必須となります。
第三に、メーカーは製品を市場に出してから最低5年間は脆弱性に責任を負い、セキュリティパッチを提供しなければなりません。
第四に、製品の脆弱性やインシデントが発生した場合、24時間以内にEUの情報セキュリティ機関(ENISA)に報告する義務があります。
CRAは草案の段階ですが、産業用機器メーカーや建設機械メーカーなど、日本でも具体的な対応を進める企業もあります。CRAに対応するうえで、特に重要なのは、(1)自社製品が対象になるかどうかの見極め(2)対象の場合、重要なデジタル製品(第三者認証が必要な製品)に該当するかの検討(3)出荷後の継続的なセキュリティ更新プログラムを提供するためのソフトウエア部品表(以下、SBOM)の作成の3つです。
SBOMは製品を構成するソフトウエアやライセンスを一覧化したもので、脆弱性やライセンス違反などのリスクを容易に把握できるほか、発見した脆弱性に即応できます。SBOMは米国の大統領令でも作成が求められており、国際標準のフォーマットもあります。脆弱性発見後24時間以内の報告を目標にインシデント対応訓練を実施する必要もあります。
CRAはEU規則であり強制力が強大です。世界の総売上高の2.5%以内か最高1500万ユーロ(約23億円、執筆当時)の高い方を罰金とする規制があり、対応の遅れは企業の経営リスクに直結します。EU域内で活動する日本企業は先を見越した、きめ細かい対応が不可欠となります。
日経産業新聞 2023年8月24日掲載(一部加筆・修正しています)。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。
執筆者
KPMGコンサルティング
ディレクター 雪本 竜司