EUサイバーレジリエンス法とは何か？製造業者が無視できない「重要規制」を解説

連載：第4次産業革命のビジネス実務論

ありがとうございます！
いいね！した記事一覧をみる

会員になると、いいね！でマイページに保存できます。

コンプライアンス総論

|

タグをもっとみる

2024年10月、デジタル要素を含んだ製品に対するセキュリティ要件を定めた新規則「EUサイバーレジリエンス法（EU Cyber Resilience Act：CRA）」がEU理事会で採択されました。これは、IoTデバイスなどのデジタルコンポーネントを備えた製品の安全性について、製品のライフサイクル全体およびサプライチェーン全体で確保することを目的に導入された規制です。今回は、EUサイバーレジリエンス法をわかりやすく解説します。

執筆：アルファコンパス代表CEO 福本勲

アルファコンパス代表CEO 福本勲

アルファコンパス代表CEO
中小企業診断士、PMP（Project Management Professional）

　1990年3月　早稲田大学大学院修士課程（機械工学）修了。同年に東芝に入社後、製造業向けSCM、ERP、CRMなどのソリューション事業立ち上げに携わり、その後、インダストリアルIoT、デジタル事業の企画・マーケティング・エバンジェリスト活動などを担うとともに、オウンドメディア「 DiGiTAL CONVENTiON」の立ち上げ・編集長などをつとめ、2024年に退職。
　2020年にアルファコンパスを設立し、2024年に法人化、企業のデジタル化やマーケティング、プロモーション支援などを行っている。
　主な著書に『デジタル・プラットフォーム解体新書』（共著：近代科学社）、『デジタルファースト・ソサエティ』（共著：日刊工業新聞社）、『製造業DX - EU/ドイツに学ぶ最新デジタル戦略』（近代科学社Digital）がある。その他Webコラムなどの執筆や講演など多数。2024年6月より現職。

サイバーレジリエンス法とは何か？

（Photo/Shutterstock.com）

EUサイバーレジリエンス法とは

　EUサイバーレジリエンス法（以下、CRA）とは、サイバーセキュリティを確保し、より安全なハードウェアとソフトウェアを保証するためのEUの新たな規則です。

　現在、デジタルコンポーネントを含むIoTデバイスやソフトウェアが我々の日常生活に遍在しています。そうした中で、新規制となるCRAを定めることで、デジタルコンポーネントを含む製品・ソフトウェアを購入・使用するユーザーを保護する目的があります。

　具体的には、このような製品を提供する製造業者や輸入・販売業者に対してサイバーセキュリティに関する義務的な要件を課すことになります。それにより、セキュリティ機能の確保と、ユーザーの保護を製品ライフサイクル全体にわたって拡大していく狙いがあります。

　近年、IoTデバイスが急増し、定期的なアップデートや継続的なサポートの提供が、サイバーセキュリティにおいて重要になってきています。そうした時代で、デジタル部品を含むハードウェア・ソフトウェア製品の製造業者に適用される、一連のサイバーセキュリティ要件を定めた画期的な法令と言えるのです。

サイバーレジリエンス法が導入された背景とは

（Photo/Shutterstock.com）

編集部おすすめ記事

ついに義務化「建設現場の熱中症対策」徹底解説、脱「休めない風潮」でやるべき3施策

製造業者に求められるアセスメント

　CRAは、製造業者に対し、デジタルコンポーネントを含む製品に関連するサイバーセキュリティリスクのアセスメントを実施し、サイバーセキュリティリスクの最小化、セキュリティインシデントの防止、当該インシデントの影響の最小化を目指すことを課しています。

　製造業者は、デジタルプロダクトを含む製品の企画、設計、開発、製造、引き渡し、保守の各段階において、当該アセスメントの結果を考慮に入れなければなりません。

　また、製品は重要度に応じて3段階に分類されており、重要なデジタル製品に該当するものは、第三者によるアセスメントが必要になります。下記が製品の分類になります。

■製品の分類

【重要な製品以外】
●該当製品例
クラスⅠ、Ⅱに該当しないもの

●アセスメント機関
自社または第三者によるアセスメント

【クラスⅠ】
●該当製品例

アイデンティティマネージャー
スタンドアロンおよび組み込みブラウザ
パスワードマネージャー
悪意のあるソフトウェアの検索、削除、隔離を行うソフトウェア
バーチャルプライベートネットワーク（VPN）の機能を持つデジタルコンポーネント
ネットワーク管理システム
セキュリティ情報・イベント管理（SIEM）システム
ブート・マネージャー…など

●アセスメント機関

EN規格およびEU サイバーセキュリティ認証制度（EUCC：EU Cybersecurity Certification）の対象製品を除き第三者によるアセスメント

【クラスⅡ】
●該当製品例

オペレーティング・システムや類似環境の仮想化実行をサポートするハイパーバイザーやコンテナ・ランタイム・システム
ファイアウォール、侵入検知・防止システム…など

●アセスメント機関

第三者によるアセスメント

CRAが対象とする2つの問題

　CRAが対象とする問題は2つあります。

　1つ目は、多くの製品に内在するサイバーセキュリティのレベルが不十分であることや、製品やソフトウェアのセキュリティ更新が不十分であることです。

　2つ目は、消費者や企業が現在、どの製品がセキュアであるかを判断できないことです。また、サイバーセキュリティが確実に担保されるように製品を必ずしも設定できないことです。

　これに対し、CRAが提供しようとしていることは以下になります。

■2つの課題に対するCRAの解決の方向性

デジタルコンポーネントを含む製品やソフトウェアを市場に投入する際の、調和のとれたルール

それらの製品の企画・設計・開発・保守を統制するサイバーセキュリティ要件の枠組み

それらの製品のライフサイクル全体、サプライチェーン全体に対する注意義務の提供

　CRAという新制度が発効されることで、インターネットに直接または間接的に接続されるすべての製品・ソフトウェアには、CRAに適合していることを示す「CEマーク」が付けられることになります。

　製造業者や輸入・販売業者にサイバーセキュリティの確保を求めることで、消費者や企業はCEマークに基づく製品やソフトウェアの選択ができるようになるのです。

　また、提供するサポート期間に関しては5年または製品寿命のうち短い方の期間とすることが求められています。【次ページ】事業者に求められる「報告義務」とは