{{item.title}}
{{item.text}}
{{item.text}}
欧州サイバーレジリエンス法(EU Cyber Resilience Act:CRA)は、デジタル要素を有する製品のサイバーセキュリティを確保するための規則です。
2026年9月11日から脆弱性、インシデント報告義務に関する要件が適用開始となり、2027年12月11日からはCRAの全要件が適用されます。CRAは対象製品の準拠状況をCEマークに統合して管理するため、CRAの要件に準拠していない製品はCEマークの貼付ができず、欧州市場での販売ができなくなります。また、CRAの要件に違反した場合は高額な課徴金が科せられるため、製造業者はCRAの要求事項を正確に理解し、適切な対応を迅速に進めることが極めて重要です。
CRAの第II章13条1項は、製造業者に対して「デジタル要素を有する製品を上市するにあたり、当該製品が附属書IPart.1に定める本質的なサイバーセキュリティ要件に従って設計、開発および生産されているものでなければならない」という責任を定めています。この要求は、工場や製造設備そのものに独立した義務を課す法令ではありませんが、設計・開発だけでなく製造工程にも言及しています。製造環境がセキュリティリスクを抱えている場合、サイバー攻撃により製品の設定値が改ざんされたり、セキュリティ機能が無効化されたりするなどの被害が想定されます。そのため、製品を要求どおりの状態で市場投入するには、製造設備や製造工程を含む製造環境そのもののサイバーセキュリティ確保も必要となります。
本稿では、CRAへの対応の一環として、製造環境のサイバーセキュリティ確保に必要な要件やその実現方法に焦点を当てて解説します。
(CRAの内容を詳しく知りたい方は、欧州サイバーレジリエンス法(EU CRA)―製造業が今取るべき対策―を参照ください)
本稿で対象とするのは、製品ライフサイクル全体(一般的には、計画、設計、開発、製造、納入、保守などがある)の中の製造工程です。製造工程は単一の工程ではなく、実務上は複数の工程から構成され、製品によってもその工程は異なります。各製造工程の特性を考慮したうえで適用対象となるCRAの要求事項を整理し、自社で優先的に確認すべき対象を抽出することが重要です。例えば電子基板を有する製品の製造工程を例に挙げると、以下の例のような区分に整理できます(図表1)。
図表1:一般的な製造工程の例
この例では、「基板実装」および「設定・書き込み」の工程において、自動化されたシステムを含む製造設備によって製品の製造が行われています。そのため、ネットワーク経由での不正侵入などシステム側の脆弱性により、製品のソフトウェアや設定を改ざんされるリスクが存在します。また、「機器の組立」や「梱包」の工程は機械的な作業が多く、不正操作されたシステムを介して製品のソフトウェアが改ざんされるといったリスクは少ないものの、内部の要員による不正操作や外部からの侵入といった、人的または物理的なセキュリティに関するリスクが存在します。
上述のように、製造工程によって必要な対策が異なる点や、製品によって製造工程そのものが異なる点を考慮してリスクを管理する必要があります。
CRAの要件については、より具体的な対策を示す整合規格の整備も進められています。整合規格自体は法定必須要件ではありませんが、これらの規格に準拠した製品はCRA27条に基づき附属書Iが定める要件へ適合していると推定されます(図表2)。そのため、適合性を説明しやすくなり、適合性評価において対応負荷の軽減につながります。ただし、あくまで推定のため、完全に適合を保証するものではない点や、整合規格だけでは不十分となり、個別に適合性の説明が必要なケースも存在する点は、配慮が必要となります。
図表2:CRAと整合規格の関係性
デジタル要素を有する製品に共通して適用される水平規格のうち、サイバーセキュリティの原則とリスク管理活動を規定したprEN 40000-1-2(ドラフト版)を参照しながら製造環境に求められるセキュリティ要件をまとめると、以下のような要件が抽出されます(図表3)。
図表3:製造環境に求められるセキュリティ要件と想定される対策例
要件 |
想定される対策の概要 |
参照元 ※prEN 40000-1-2 |
セキュリティ活動の統括・計画管理 |
製造工程を含めたライフサイクル全体のセキュリティに関する活動の計画(役割・責任の定義や人員への十分な訓練を含む) |
7.2 サイバーセキュリティ計画の策定 |
暗号鍵・証明書の管理 |
認証や署名など、サイバーセキュリティの起点となるような重要な情報の管理 |
7.5 セキュアな実装 |
論理的なアクセス制御 |
以下のような、システム上のアクセス制御機能の実装
など |
7.7 セキュアな製造・流通 |
物理的なアクセス制御 |
以下のような、物理的なアクセス制御機能の実装
など |
7.7 セキュアな製造・流通 |
セキュリティ関連の運用手順の整備 |
製造工程において、故意または過失によるサイバーセキュリティ事故を予防する手順の作成
など |
7.7 セキュアな製造・流通 |
改ざんの防御・検知 |
製品のハードウェアまたはソフトウェアの改ざんを検知するためのログ管理(操作ログ、システムログなど) |
7.7 セキュアな製造・流通 |
CRAに適合するサイバーセキュリティ確保のためには、これらの要件も考慮しつつ、製造環境への対策を行う必要があります。
CRAでは、ライフサイクルを通したリスクベースのサイバーセキュリティ対策を要求しており、ライフサイクルの一部である製造環境においても、リスク管理を行ったうえで適切な対策を実施する必要があります。リスク管理のプロセスは、整合規格のprEN 40000-1-2では図表4のように示されており、製造環境においてもリスクアセスメントを実施し、必要に応じてリスク対応していくことになります。
図表4:prEN 40000-1-2におけるリスク管理プロセス
一方で、実際の製造環境においては、その特性からリスク対応が困難なケースも多いと言えます。以下にその例を挙げます。
こういった製造環境の特性もふまえ、可用性を維持しながら実効性のあるリスク管理を行う必要があります。また、リスク管理の際には、前述のように製造工程に応じたリスクを考慮することで、効果的な対策を講じることが可能となります。
製造環境において、CRAへの対応を推進するうえで、以下のようなポイントを押さえることが重要です。
CRAの要件への対応に向けては、ライフサイクルを通したリスク管理が必要となります。そのため、リスク評価結果に応じて、製品と製造環境それぞれでセキュリティ対策を行う必要があります。セキュリティ対策を漏れなく効果的に行うには、開発・品証部門と製造部門が連携し、CRAに係る一連の対応を推進することが不可欠です。
本稿の「4.製造環境のリスク管理」で述べたように、製造環境ではその特性からセキュリティ対策の実施が難しいケースが多く存在します。そのため、CRAへの対応では、製造環境において必要となるセキュリティ要件を抽出し、実情をふまえてコスト効率と実効性のある対策を実装する必要があります。さらに、その実現にはセキュリティと製造環境双方の知見を有する人材を配置することが望まれます。
グローバルに分散する自社工場・委託製造先(EMS/OEM)まで含めると、「どの工程で、どのような書き込み・設定・鍵注入が行われているか」を網羅的に把握できている企業は多くありません。対象の明確化とその後のリスク評価・対応を適切に行うためには、自社拠点・委託先を含めた工程の可視化と、CRAで求められる要件との突合を効率的に進める必要があります。
CRAは、工場や製造設備そのものに独立した義務を課す法令ではありませんが、製品を要求どおりの状態で市場投入するためには、製造環境におけるサイバーセキュリティ確保も重要です。本稿で述べたとおり、CRAへの対応は、法務や開発だけで完結するものではなく、書き込み、設定、秘密情報の取り扱い、検査、出荷判定、再作業といった製造工程の実務にまで落とし込んで考える必要があります。
これらのポイントをふまえて対策を行うには、製造環境の知見とセキュリティの専門性の両方に精通する人材を配置することが望ましいといえます。ただし、両方のスキルを持つ人材は一般的には多くないため、社内のリソースだけでOTセキュリティの活動を推進することが難しいケースもあるでしょう。その場合は、積極的に外部の知見やリソースを活用することも検討してみてはいかがでしょうか。
{{item.text}}
{{item.text}}
{{item.text}}
{{item.text}}
{{item.text}}
{{item.text}}