{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
欧州の代表的な製品セキュリティ法令であるサイバーレジリエンス法(CRA)1の全面適用が2027年12月に控える中で、欧州で製品を展開する製造業では、CRAの附属書Iに示された必須セキュリティ要件および脆弱性ハンドリング要件(いずれもCRA要件:図表1.2.参照)にどのように準拠するかが課題となっています。
図表1.CRA附属書I 必須セキュリティ要件
| 1 | デジタル製品は、リスクに応じた適切なレベルのサイバーセキュリティを確保するように設計、開発、生産されなければならない。 | |
| 2 | 第13条(2)に言及されたリスクアセスメントに基づいて適用される場合、デジタル要素を含む製品は、以下のようにしなければならない。 | |
| a | 悪用可能な既知の脆弱性がない状態で市販されること | |
| b | デフォルトでセキュアな設定および設定のリセット機能(ユーザと別途合意可能) | |
| c | 更新による脆弱性への対処の保証 | |
| d | 不正アクセスからの保護(例:認証、ID、アクセス管理) | |
| e | データの機密性保護(例:暗号化) | |
| f | データの完全性保護(改ざん防止/対応) | |
| g | 処理するデータの最小化 | |
| h | サービス妨害(DoS)攻撃対策を含む重要な機能の可用性を保護 | |
| i | 周辺機器・ネットワークの可用性への影響最小化 | |
| j | 外部インタフェースを含む攻撃面の対策 | |
| k | インシデントの影響を軽減するための対策 | |
| l | システムの監視 | |
| m | データの完全削除、転送の場合のセキュリティ保証 | |
図表2.CRA附属書I 脆弱性ハンドリング要件
| 1 | デジタル製品に含まれる脆弱性とコンポーネントを特定し、文書化(少なくともデジタル製品のトップレベルの依存関係を網羅する、一般的に使用され機械で読み取り可能な形式のソフトウェア部品表<SBOM>作成を含む) |
| 2 | 技術的に可能な場合、セキュリティ更新は機能更新とは別に提供すること |
| 3 | デジタル製品のセキュリティについて、効果的かつ定期的なテストとレビューを実施 |
| 4 | セキュリティアップデートが提供された後、修正された脆弱性についての情報(脆弱性の説明、影響を受けるデジタル製品を特定できる情報、脆弱性の影響、深刻度、脆弱性を修正するための情報を含む)を一般に公開 |
| 5 | 脆弱性の協調的な開示に関するポリシーを導入し、実施 |
| 6 | デジタル製品およびその製品に含まれる第三者のコンポーネントの潜在的な脆弱性に関する情報の共有を促進するための措置を講じること(デジタル技術を用いた製品で発見された脆弱性を報告するための連絡先を提供することを含む) |
| 7 | デジタル製品の更新を安全に配布し、脆弱性が適時に修正または緩和され、セキュリティ更新に該当する場合は、自動的な方法で修正または緩和されることを保証する仕組みを提供すること |
| 8 | 特定されたセキュリティ問題に対処するためのパッチやアップデートが利用可能な場合、それらが遅滞なく、かつ無償(別途合意ある場合除く)で、ユーザーが取るべき措置を含む関連情報を提供する勧告を添付して普及されることを保証すること |
限られた時間でのCRA適合は企業にとって負担が大きいことから、CRAでは第27条で認証済み製品を対象に適合推定制度を設けています。このCRA適合推定に製造業が活用し得る認証制度の1つとして、2025年2月27日から開始されたICT製品に対するサイバーセキュリティ認証制度であるEUCC(EU Cybersecurity Certification Scheme on Common Criteria)が挙げられます。EUCCは欧州においてはCommon Criteria(CC)の後続となる制度で、CC認証の活用が進んでいるIC・スマートカードやハードコピーデバイス、ネットワークデバイスを製造する企業などにとっては、CRA適合の有用なオプションとなる可能性があります。また、欧州ではこれらの機器に限らずIoT製品等の製造業者に対して、従来型の安全性確保だけでなく、セキュリティ品質の確保も義務として求めるようになりつつあります。このことを踏まえると、長期的にはEUCC認証を前提とした全社的な標準製造プロセスを確立することが、欧州でビジネスを行うIoT機器等の製造業にとって全体最適につながると考えられます。
一方で、2025年6月現在ではCRA要件に対応したEUCC認証の整備は完了していないことや、製品へのセキュリティ要件実装には時間を要することを踏まえると、2027年のCRA全面適用時の段階でEUCC認証を選択するという方法は現実的ではないかもしれません。当インサイトでは、CRA対応におけるEUCCの位置付けと現状を概観した上で、欧州連合サイバーセキュリティ機関(ENISA)が2025年2月26日に公表した、現時点で利用可能な認証制度とCRA要件のギャップ分析に基づいて今後のCRA適合におけるEUCC制度の整備に関する提言を行ったレポート2を基に、製造業に推奨されるアクションを紹介します。
CRA要件への適合性証明におけるEUCCの位置付け
当セクションに関してはこの後の議論に必要な範囲に限定し、簡略化した内容を示します。まず、CRAは製品のセキュリティリスクレベルを踏まえて、対象となるデジタル要素を含む製品をクリティカルな製品(CRA附属書IV)、重要な製品(附属書III)、その他の製品に分類します。その他の製品については要件への適合を自己評価することが認められていますが、重要な製品とクリティカルな製品については第三者評価が必要です。また、クリティカルな製品において利用可能なEUCC認証がある場合には、その取得が求められます。
ただし、このことは製造業がクリティカルな製品以外についてEUCC認証制度を用いたCRA要件への適合証明を行うことを妨げるものではありません。CRAの前文(87)では製造業がEUCCを活用することで適合性評価を効率化できることが指摘されており、既にCC認証制度の活用が進んでいるIC・スマートカード(図表3 製品種別ごとのCC認証件数で1位に該当)やハードコピーデバイス(同3位に該当)、ネットワークデバイス(同4位に該当)などについては有用なオプションとなる可能性があります。
図表3.製品種別ごとのCC認証件数(2020~2025)
CC Portal3上のデータを基にPwC作成
EUCCの概要と現状
EUCCは欧州サイバーセキュリティ法(CSA)4に基づく2025年2月27日から有効なサイバーセキュリティ認証制度で、技術コンポーネント(チップ、スマートカードなど)、ハードウェア、ソフトウェアなどを含むICT製品を対象とします。同制度は欧州全体のサイバーセキュリティ規制スキームの一部であり、CRAを含む欧州におけるサイバーセキュリティ規制の実装を補完する統一的なセキュリティ基準を定めることを目的としています。また、EUCCは欧州に限らず国際的に利用される「情報技術セキュリティ評価のための共通基準(ISO/IEC15408-1、CC)」に基づいています。
EUCCに基づく認証を取得する際は、対応した保護プロファイル(PP)に従った実装が原則として求められるでしょう。PPは特定のICT製品カテゴリについて、想定される脅威に求められるセキュリティのベンチマークを定めていますが、それは主に想定される脅威、脅威を前提としたセキュリティ目標、セキュリティ機能、その機能を検証するために必要な保証レベルから構成されます。
CRAの各要件と対応したEUCCに基づくPPは、認証取得の要否にかかわらず製造業にとって有用なベンチマークとなると考えます。しかし、冒頭でも述べたように、2025年6月現在ではCRAに対応したEUCC認証の整備は完了していません。また、CC認証が未取得の製品についてゼロからEUCC認証を取得するには、人的にも経済的にも追加リソースが必要です。製造業においては、近い将来開始されるEUCC認証制度の活用や、長期的な取り組みとしてのEUCC認証を前提とした製造プロセスの標準化の可能性などを検討しつつ、現状に応じて適切なアクションをとることが求められます。
製造業に推奨されるアクション
製造業に推奨されるアクションを検討する上では、冒頭で言及したENISAが公開しているレポートが参考になります。同レポートではCCに基づくPPとCRAの要件のギャップを分析した上で、既存PPでカバーできるCRA要件の範囲と、当局によるEUCC下のPP整備などによって対応されるべき範囲を検討しています。このアプローチは、既にCC認証対応を進めている企業にとって有用です。
まず、自社製品が適合している既存のPPあるいはそれに基づく自社のセキュリティターゲット(ST、自社製品が備えるべきセキュリティ機能の要件と仕様を定めた文書)とCRA要件のギャップを特定し、そのギャップが正当化できるかを検討します。つまり、自社製品に対して想定される脅威について、当該PPないしSTの要求を満たしていればCRAが定めるセキュリティ要件が達成されるのかを分析します。このような、企業による脅威ベースのリスク評価に基づくセキュリティ要件の実装要否判断は、CRAが採用する実装アプローチとも整合的です(図表1.)。ただし、CRA要件のうち附属書Iの必須セキュリティ要件(図表1.)の実装は脅威ベースのリスク評価を前提としていますが、脆弱性ハンドリング要件(図表2.)についてはリスク評価に関係なく実施が必要である点には留意する必要があります。
その上で、ギャップが正当化できないものであればそれを補うための実装や対策を検討しますが、そのタイミングで利用可能なEUCC下のPPがあれば活用することが考えられます。CC認証や将来的なEUCC認証と結びつくPPは、これまでCC認証などを活用していなかった企業にとってもCRA対応上の1つのベンチマークとして活用可能です。特に、欧州による製品のセキュリティ品質確保の義務化の潮流を踏まえると、企業においては、製品ごとにセキュリティ確保を行う状態からEUCC認証を軸に製品横断的に製造プロセスにおけるセキュリティ確保の標準化を行う状態へと転換することが、長期的には全体コストの最適化につながるのではないでしょうか。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
