CRAはアクセス保護、機密保持、完全性、可用性、安全な納品状態など、製品についての明確なセキュリティ要件を定めています。安全な開発プロセスを確保するためには、設計、開発、製造においてこれらの点を最優先で考慮しなければなりません。
サイバーレジリエンス法(CRA)
サイバーレジリエンス法(CRA)におけるデジタル製品向けのサイバーセキュリティの未来をご覧ください。より安全なデジタル時代に向けた明確なガイドライン、高い基準、画期的な戦略をご覧ください。
サイバーレジリエンス法(CRA)は、サイバーセキュリティ分野における画期的な進展です。デジタル製品メーカーの義務、特にセキュリティ・バイ・デザインの実施に関して明確に定義しています。待望のCEマーキングを取得するため、将来の製品はセキュリティの最低要件に従う必要があります。CRAは開発プロセス全体におけるアクセス保護、機密保持、完全性、可用性の必須部分に言及しています。ここでは、CRAがメーカーに与える課題とチャンスについて取り上げ、これに関連して重要となる国際規格IEC 62443が果たし得る役割について考察します。
サイバーレジリエンス法(CRA)におけるデジタル製品向けのサイバーセキュリティの未来(明確なガイドライン、より高度な基準、そしてより安全なデジタル時代に向けた画期的な戦略)をご覧ください。
CRAとは。
サイバーレジリエンス法(CRA)は、セキュリティ・バイ・デザインの追求が義務となったデジタル製品メーカーに対する明確なガイドラインを定めています。待望のCEマーキングを取得するため、CRAに準拠する製品は今後、セキュリティの最低要件に従う必要があります。CRAは、開発プロセス全体に統合しなければならないアクセス保護、機密保持、完全性、可用性などの側面を特に強調しています。また、CRAは脆弱性管理、およびメーカーがセキュリティアップデートを提供しなければならない期間について定めています。
CRAの目的は、欧州連合のデジタルインフラに対する信頼性を高め、世界における欧州の国々の競争力を増大させることにあります。EUの法律であるため、CRAは国レベルの実施は不要で、2024年12月10日にEU全域で施行されました。
IEC 62443は製品とシステムについて要求される安全な開発プロセスと技術要件をどちらも定めているため、国際規格として重要な役割を果たします。均一に内容が網羅されているため、IEC 62443は調整済みのCRA規格の有力な基礎となる可能性があります。脆弱性管理要件を満たすためには、すべての製品に標準化ソフトウェア部品表(SBOM)が必要となります。すべてのソフトウェアコンポーネントの包括的な概要を示すこの文書は必須です。また、既知の脆弱性を(共通脆弱性評価システム(CVSS)などの)デジタル形式で記録しなければなりません。
影響を受けるのは誰でしょうか。
サイバーレジリエンス法(CRA)はEUの法律であり、通信機能を持つデジタル関連のあらゆる製品に影響します。CRAはハードウェアもソフトウェアも対象としており、EUの「新しい法的枠組み」に基づいています。この法律は製品を発売する際に満たさなければならない法的要件を定めています。これらの規則に適合した製品には、CEマーキングが付されます。
逆に、不適合製品は発売できないということになります。また、サプライヤーはサイバーセキュリティ要件を満たさない製品を市場から撤退させなければなりません。
メーカーにとって何を意味するのでしょうか
安全な開発プロセスの一環として、メーカーは製品の脆弱性を積極的に精査し、脆弱性があればこれを直ちに修正しなければなりません。セキュリティアップデートは5年間無料で提供しなければなりません。CRAでは、追加の報告義務も導入されています:メーカーは、セキュリティを危機に晒しかねない製品の脆弱性が、ダウンロードエリアの改ざんなどにより活発に悪用または攻撃されていることに気づいた場合、欧州連合サイバーセキュリティ機関(ENISA)に直ちに通知しなければなりません。
メーカーは、製品発売前にその製品が既定の標準に適合していることを確実にしなければなりません。評価は製品の評価に関する分類に基づいて行われます。これには、欧州規格に対する適合または認定機関による試験が必要となります。ここで主として着目されるのは、産業界における重要インフラです。これに関しては、調整済みの規格の適用や承認済みの機関との協力が必要です。
ユーザーにとって何を意味するのでしょうか
CRAによって、より高いサイバーセキュリティ標準に適合し、ハッカー、セキュリティの脆弱性、その他の脅威によるリスクを軽減した製品が生まれることで、ユーザーはメリットを享受します。こうした製品は新たな要件への適合を実証するCEマーキングの取得が必須となります。
メーカーは、製品をそのライフサイクル全体にわたって維持し、自動セキュリティアップデートを提供する義務があります。つまり、ユーザーはCEマーキング付きの製品についてはサイバーセキュリティが保証されていることを信頼できることになります。
サイバーセキュリティはもはやオプションではなく、必須事項なのです。
メーカーは、発売前に安全な開発プロセスを確保し、包括的なセキュリティ対策を実施しなければならないという課題に直面しています。これには、リソースや製造時間に影響を及ぼす可能性のある、追加の取り組みが伴います。新しい法律は、セキュリティレベルを向上させ、サイバーセキュリティのリスクを大幅に最小化するため、エンドユーザーに対しては多大なメリットを約束します。しかし、メーカーは追加の取り組みを伴ういくつかの課題に直面します。とはいえ、準拠しなければ当局が製品改善かリコールを要求し、1,500万ユーロまたは世界規模の年間売上の2.5%を上限とする罰金を科す場合があるため、こうした課題は直面する価値があります。
ただ、CRAが定義する基本的要件は、IEC 62443-4-1に準拠した安全な開発プロセス、およびIEC 62443-4-2に準拠した機能スペックにおいて説明されているので、希望はあります。したがって、IEC 62443規格の実装が推奨されます。
CRAのスケジュール
スタートの合図が出されました。今こそ対策を立て、一緒に準備をする時です。サイバーレジリエンス法(CRA)は、2024年12月10日に正式に公布されました。すべての製品は、2026年9月11日までに準拠した脆弱性管理システムを搭載する必要があります。CRAの完全施行は2027年12月11日から義務付けられており、CEマーキングを取得するには関連するすべての製品が要件を満たしている必要があります。
新しい安全基準を満たし、競争力を確保するために行動する時期が来ています。
当社の包括的な360°のセキュリティコンセプト
フエニックス・コンタクトでは、安全な製品を中核として統合した__セキュリティに対する360°の包括的なアプローチ__を採用しています 安全な製品はIEC 62443-4-1の規格に準拠して開発されると同時にIEC 62443-4-2に準拠したセキュリティ機能を満たします。脆弱性の有効な取り扱いについては、「製品セキュリティインシデント対応体制(Product Security Incident Response Team (PSIRT))」が担当します。
この戦略が意味するのは、フエニックス・コンタクトでは新たな法的要件に適合するための体制が十分に整っているということです。また、お客様に対しては安全なアプリケーションソリューションとサービスを提供します。TÜV SÜDによる独立認証は、 IEC 62443に準拠したサイバーセキュリティプロセスに対する当社の適合性を示しています。
