お問い合わせ

資料ダウンロード

ユースケース事例雑記セキュリティ

欧州サイバーレジリエンス法:CRAへの対応について(国内製造業様向け)

グローバルに事業展開している製造業様(某自動車関連企業、重機や産業、医療機器など)より、EUのサイバーレジリエンス法という規制に対応するためのセキュリティ製品・ソリューションに関する引き合いがここ数年で増えてきています、という内容で記事投稿したいと思います!

 

EUのサイバーレジリエンス法とは?


EU域内で流通するデジタル製品のサイバーセキュリティ基準を強化し、消費者と企業をサイバー攻撃から保護することを目的とした欧州連合(EU)の新しい法律です。制定自体は2024年ですが、2026年9月以降は製造業者による脆弱性&インシデントの報告義務が課され、2027年12月からその他のほとんどの義務が全面適用されます。対象となる製品は、ベビーモニターからスマートウォッチまで有線無線問わず、EUで販売されるあらゆる産業機器に適用されます。この法律を破ると高額な罰金支払いによる制裁があるようです。

以下は本規制のAppendixの抜粋です。

Part I Cybersecurity requirements relating to the properties of products with digital elements

(1)

Products with digital elements shall be designed, developed and produced in such a way that they ensure an appropriate level of cybersecurity based on the risks.

(2)

On the basis of the cybersecurity risk assessment referred to in Article 13(2) and where applicable, products with digital elements shall:

(a)

be made available on the market without known exploitable vulnerabilities;

(b)

be made available on the market with a secure by default configuration, unless otherwise agreed between manufacturer and business user in relation to a tailor-made product with digital elements, including the possibility to reset the product to its original state;

(c)

ensure that vulnerabilities can be addressed through security updates, including, where applicable, through automatic security updates that are installed within an appropriate timeframe enabled as a default setting, with a clear and easy-to-use opt-out mechanism, through the notification of available updates to users, and the option to temporarily postpone them;

(d)

ensure protection from unauthorised access by appropriate control mechanisms, including but not limited to authentication, identity or access management systems, and report on possible unauthorised access;

(e)

protect the confidentiality of stored, transmitted or otherwise processed data, personal or other, such as by encrypting relevant data at rest or in transit by state of the art mechanisms, and by using other technical means;

(f)

protect the integrity of stored, transmitted or otherwise processed data, personal or other, commands, programs and configuration against any manipulation or modification not authorised by the user, and report on corruptions;
 

上述(c)についてですが、脆弱性が発見された場合にはセキュリティ更新を通じて対処できること明記されています。これは、デバイスのOS(ソフトウェア/ファームウェア)をOTAOver the Air)により、更新(脆弱性への対応)が必要と読み解けます。また、上述(e)(f)に関しても、最先端のメカニズムで保管中や転送中のデータを暗号化して、機密性を保護しましょうとうたわれています。


ヨーロッパ諸国へ製品展開をしている(もしくは予定している)製造業様はこの規制に必ず準拠する必要がある、ということです。

日本は欧米と比較してこういった法規制の対応は遅いですが、関連省庁はセキュリティガイドラインを公表していたり、最近では経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公開したり、サイバーセキュリティ対策に対してかなり活動が活発になってきた印象を受けますね。

 

 

どういった対策が有効か?


例えば我々が使っているスマートフォンもそうですが、IoT機器は定期的に更新版OSOTAで配布され、ユーザーは更新します。ユーザーにとっては簡単な操作ですが、もし悪意のある者が正規ベンダーになりすまして、偽の更新版ソフトウェアを配信し、デバイスを乗っ取ったり、個人情報を盗み取ったりする攻撃リスクがあることに注意が必要です。俗にいうなりすまし攻撃です。

一般的に、本当に信頼できる提供元からの情報なのか、ソフトウェアの完全性の担保にはデジタル署名が使われます。PKI(公開鍵暗号基盤)をかじったことのある方ならご存じかと思いますが、秘密鍵を使って配布するソフトウェアに署名を付与し、秘密鍵に紐づく公開鍵を使って署名検証を行う事で、本当に信頼できる者が作成したソフトウェアなのか確認できるスキームです。

 

そして、このデジタル署名に使う秘密鍵は外部に絶対に漏れてはいけません!第三者が秘密鍵を入手してしまえば、なりすまして悪意のあるソフトウェアを作って配布できてしまうためです。

PKIにおけるセキュリティ基盤を確かなものにするのが当社取り扱い製品であるHSM(ハードウェア・セキュリティ・モジュール)です。このHSMと呼ばれる耐タンパー性の備わった専用デバイスで、署名時に使用する鍵を保護することで信頼の根源(Root of Trust)としてのセキュリティが担保できます。以下は構成例です。

 

ここ数年でEUサイバーレジリエンス法への対応に国内製造業様でのHSM導入の引き合いが増えてきました。HSMは安価ではないですし、扱うためのアプリケーション開発も必要ですが、セキュリティ投資にある程度のコストがかかるのは昨今のセキュリティ事故を鑑みると仕方ないのかもしれません。

当社ではEntrust社、Thales社の様々なセキュリティ製品を扱っていますので少しでも興味がある企業様がいらっしゃいましたら、ぜひお声がけ下さい。

この流れで日本の製造業全体のセキュリティレベルが上がっていって、もっともっと安全安心便利な世の中になっていけばといいなと思います。。モノづくり大国日本、がんばれ~

 

 

 

こばやし

この記事の投稿者こばやし

東京エレクトロンデバイスにて製品サポートエンジニアを担当。
業界でもニッチなセキュリティ製品を数年担当。
趣味はサーフィンです。が、週末は子育てに奮闘中で最近は海に繰り出せずにいます。

この記事をシェア

  • X(旧twitter)
  • facebook

この記事に関連する製品・サービス

Entrust | nShield 5c

Entrust | nShield 5s

Thales | CipherTrust Manager

Thales | High-Speed Network Encryptors(HSE)

お問い合わせ

資料ダウンロード