日本企業の欧州サイバーレジリエンス法対応実態調査～SBOM活用状況と活用に向けた課題

海外法規の認知度の低さ・能動的な情報収集活動の不足

はじめに施行済あるいは審議中である下記の国内外の法規制と国際標準や認証のサイバーセキュリティ要件を対象とした認知度を調査しました。

• 日本 電気通信事業法 技術適合要件におけるセキュリティ要件（施行済）
• 米国 カリフォルニア州法 Senate Bill No. 327（施行済）
• 英国 Product Security and Telecommunication Infrastructure Act（PSTI法）（施行済）
• EU Cyber Resilience Act（CRA）（法案審議中）
• ETSI EN 303 645
• IEC 62443シリーズ
• 米国 Cyber Trust Mark
• シンガポール Cybersecurity Labelling Scheme（CLS）

最も認知度が高い法律は日本の「電気通信事業法 技術適合要件におけるセキュリティ要件」で、回答者の半数以上が認知していました。一方、米国のカリフォルニア州法 Senate Bill No. 327や英国のPSTI法、欧州のCRAの認知度は10％程度に留まる結果となりました。

この原因として、以下のことが考えられます。

• 海外法規の動向を調べる方法を知らない・ルートがない
• 言語の壁があり理解する時間がない
• 日本語化された情報が限られる
• 海外現地法人とのコミュニケーション不足
• 同業他社交えた業界での情報交換も希薄

一方で、海外の法規制動向については日本語での情報も一定程度流通しているため、それでも認知度が低いのは、そもそも関心が薄いためではないかとも懸念されます。

サプライチェーン全体のセキュリティ確保の必要性

ここからは視点を変え、CRA対応を推進する上で重要な観点となるサプライチェーンやインシデント対応の切り口から、日本企業が抱える製品セキュリティにおける課題を見ていきましょう。

自社のみならずサプライヤーも含めたCRA対応が必須

CRAは、最終製品を欧州市場に提供する製造者に対して、オープンソースソフトウェアや外部調達コンポーネントといった第三者の成果物を活用する際のセキュリティ品質確認を求めています。そこでサプライヤーとなる中小企業のCRA対応状況を調査したところ、従業員数ベースによる企業規模の違いによって、CRA対応に差があることも明らかになりました。

前述の通り（図表2参照）、従業員が501人以上の規模の企業においては、CRA対応を「実施している」との回答が31％であるのに対し、従業員が500人以下の比較的規模の小さい企業においては、CRA対応を「実施している」との回答は12％のみで、比較的規模の小さい中小企業がよりCRA対応において後れをとっていることが分かりました。

CRA対応で必要となる「製品セキュリティに関するポリシー、業務プロセス・ルール」の策定・実施状況においても、企業規模によって差が見受けられました。

従業員数501人以上の大規模な企業では、CRAで求められる「製品セキュリティに関するポリシー、業務プロセス・ルール」を策定・実施できている割合は約17.4％です。また、従業員が500人以下の規模の比較的小さい企業では、約8.7％にとどまっています。

どちらの企業規模においても、仕組みやルールが運用されている割合は20％未満と低い状態です。特に従業員が500人以下の企業においては10％にも達しておらず、対応の遅れが見受けられます。

他の課題と比較しても目立つSBOM対応の遅れ

調査の結果、サプライチェーン観点における製品セキュリティの課題TOP 5として、以下の5つの仕組みが整備されていないことが分かりました。

• 成果物を構成するソフトウェア部品の詳細とソフトウェア部品表（SBOM: Software Bill of Materials）の情報提供を要請するための仕組み
• サプライヤーの製品セキュリティ対応能力を評価、監査するための仕組み
• サプライヤーから製品セキュリティに関する情報の報告を受けるための仕組み
• 製品セキュリティに関する自社とサプライヤーとの役割分担を明確化し、合意するための仕組み
• 製品セキュリティに関する要求・仕様を適切にサプライヤーへ提示するための仕組み（契約での合意など）

これら5つの課題の中でも、特にSBOMの対応の遅れに関する回答が企業規模を問わず目立ちました。さらに従業員規模の比較的小さい企業では、サプライヤーから報告を受け付ける仕組みが整っていないとの回答も多く見受けられました。

また、インシデント対応における製品セキュリティの課題TOP 5として、以下の5つの仕組みが整備されていないことも見えてきました。

• ソフトウェア部品表（SBOM）を、収集した脆弱性情報の分析／評価に活用するための仕組み
  
• 収集した脆弱性情報または検知したサイバー攻撃を、自社の提供する製品のセキュリティ問題と判断するための仕組み
• 製品に該当する脆弱性およびセキュリティ問題に対応する製品・サービスのアップデートまたは、回収・交換によって確実に対処するための仕組み
• 製品・サービスの脆弱性に対する保守サービス期間（End of Support）を明確にし、その期間の保守を保証するための仕組み
• サプライチェーン上のサプライヤーやパートナー企業との脆弱性情報に関する情報交換・連携する仕組み

サプライチェーン観点の結果同様、インシデント対応の観点においても、特にSBOMについて対応が遅れているとの回答が企業規模を問わず目立ちました。

いずれの課題も、自社だけではなくサプライヤーも含めたサプライチェーン全体で、CRA適用時期までに解決されなければなりません。挙げられた課題の多くは、自社内のみで解決するものではなく、サプライヤーも関係します。最終製品の製造者はCRAの適用時期から逆算し、リードタイムを顧慮した上でサプライヤーと合意できるよう、準備を進める必要があります。

中小企業のSBOM対応と合わせた取り組みが必要

SBOMをはじめ、CRAにはサプライチェーンが一体となって対応を進めるべき要求があります。特にサプライヤーを多く抱える最終製品の製造者が法規制の適用時期までにゆとりをもって対応を進めるためには、早めに自社のプロセス・ルールを確立し、運用を始め、サプライヤー対応にも時間的余裕をもって対応していく必要があるでしょう。

今回の調査では、SBOMの取り組みの状況も見えてきました。

サプライヤーにSBOM情報の提供を要請するための仕組みの成熟度について、従業員数ベースによる企業規模の違いによって差があることが明らかになりました。従業員数501人以上の大規模な企業では、SBOM情報の提供を要請するための仕組みについて、「継続的改善が行われる仕組みがある」「仕組みやルールが構築され、運用されている」との回答が44％であるのに対し、従業員が500人以下の規模の比較的小さい企業では19％にとどまりました。

また、同仕組みについて「全く実施できていない／していない」「分からない」との回答も、前者では29％であるのに対し、後者では43％を占める結果となりました。

このことから、最終製品の製造者が、サプライヤー側のSBOM情報を把握できないまま、製品を開発・製造しなければならず、サプライヤー側のコンポーネントに脆弱性があっても提供する製品に該当しているかを見極めることが難しい状況にあることが分かります。

SBOMを収集した脆弱性情報の分析／評価に活用するための仕組みの成熟度ついても、従業員数501人以上の大規模な企業では、「継続的改善が行われる仕組みがある」「仕組みやルールが構築され、運用されている」との回答が43％でしたが、従業員が500人以下の規模の比較的小さい企業では18％にとどまりました。また、同仕組みについて「全く実施できていない／していない」「分からない」との回答も、前者では26％であるのに対し、後者では43％を占める結果となりました。

このように、インシデント対応においてコンポーネントの脆弱性の原因調査をする際にSBOMを活用する仕組みが整っていないと、CRAで要求されている24時間以内の早期インシデント報告、72時間以内の詳細な状況報告に対応できないという懸念があることが分かります。

日本の製造業を支える中小企業の製品セキュリティ（CRA）対応力の底上げなくして、日本の製造業が欧州市場で競争力を維持することは難しくなります。発注側の比較的規模の大きい企業がサプライチェーン全体を底上げする取り組みも必要と考えられます。