EUで2024年12月に施行開始となった「サイバーレジリエンス法」は、EU市場で販売されるソフトウェアやIoT機器など、あらゆるデジタル製品にサイバーセキュリティ対策を義務付ける法律です。
この法律はEU域内の企業だけではなく、EUに製品を輸出・販売する日本企業にも大きな影響を及ぼすことが想定されます。
本記事では、サイバーレジリエンス法の概要や目的、日本企業が受ける影響、そして今から企業が取るべき対応策について詳しく解説していきます。
サイバーレジリエンス法(CRA)とは
サイバー攻撃の巧妙化が進む中、EU市場で販売されるデジタル製品のセキュリティを確保するためにサイバーレジリエンス法が発効されました。ここでは、サイバーレジリエンス法の概要や目的、スケジュールについて解説します。
サイバーレジリエンス法の概要
サイバーレジリエンス法(Cyber Resilience Act:CRA)は、EUが策定したサイバーセキュリティに関する新しい法規制です。
この法規制では、EU市場に流通するデジタル要素を含んだ製品に対して、ライフサイクル全体を通したセキュリティの確保が義務付けられています。対象はネットワークに接続するあらゆるデジタル製品となっており、IoTデバイスやネットワーク機器、ソフトウェア、オペレーションシステムなど多岐にわたります。
また、製造業者は製品の脆弱性管理、ソフトウェアのアップデート、インシデントの発生時の報告義務などが課せられ、要件を満たせない場合には罰金やEU市場での流通禁止といった措置が科される可能性があります。
サイバーレジリエンス法の目的
サイバーレジリエンス法の目的は、EU市場で流通するデジタル製品のセキュリティ水準を底上げし、サイバー攻撃による被害を未然に防ぐことです。
EU市場に出回るデジタル製品にセキュリティ要件を義務付けることで、脆弱性のある製品の流通を防ぎ、消費者や企業が安全な製品を選択できるようになります。
また、インシデント発生時の迅速な報告や復旧を義務付けることで、サイバー攻撃による被害拡大のリスクを低減し、EU域内のサイバーレジリエンス(サイバー攻撃の脅威に直面した際に、被害を最小限に抑え、事業を早期に復旧・継続させるための組織の能力)を高める効果が期待されています。
サイバーレジリエンス法のスケジュール
サイバーレジリエンス法に関する主なスケジュールは、以下の通りです。
- 2024年12月10日:サイバーレジリエンス法が正式に発効となる。
- 2026年9月11日:製造業者によるインシデント発生時や脆弱性に関する報告義務が適用開始となる。
- 2027年12月11日:サイバーレジリエンス法に関するすべての規定が適用され、全面施行となる。
サイバーレジリエンス法は一部の規定が先行して適用され、全面施行されるまでには発効から3年間の猶予があります。これは、企業がサイバーレジリエンス法の要求事項に対応するための準備期間となっており、開発体制の整備などを進めることが求められています。
サイバーレジリエンス法による日本企業への影響
サイバーレジリエンス法はEU域内における規定ですが、EU市場にデジタル製品を輸出、流通させる日本企業にも影響する見込みとなっています。ここでは、サイバーレジリエンス法による日本企業への影響を具体的に解説します。
①製品設計・開発プロセスへの影響
サイバーレジリエンス法では「セキュリティ・バイ・デザイン」が要求されています。セキュリティ・バイ・デザインは、製品の企画・設計段階からセキュリティ対策を組み込む考え方で、開発のライフサイクル全体でセキュリティを確保することを目指しています。
セキュリティ・バイ・デザインに対応するために、企業は製品の設計・開発プロセスで暗号化や認証、アクセス制御などの仕組みを取り入れる必要があり、開発コストや工程が増加する可能性があります。一方で、製品の信頼性や国際的な競争力が向上する効果も見込めます。
②市場参入・流通への影響
サイバーレジリエンス法の適用後は、CEマークを取得していない製品はEU市場で販売・流通させることができません。そのため、サイバーレジリエンス法に準拠するための適合性評価や文書作成などにコストや時間がかかることが想定されます。
また、サイバーレジリエンス法の要件に対応できない企業は、EU市場への参入や製品の流通ができなくなり、ブランドイメージの低下などを招く可能性があります。
③サプライチェーンへの影響
サイバーレジリエンス法は製品の最終販売者だけでなく、部品などの調達先などを含んだサプライチェーン全体に影響を及ぼします。部品提供元やソフトウェア開発会社にも同様のセキュリティ保証が求められるため、ベンダー契約や評価基準の見直しも必要になります。特に中小企業では対応コストや人材不足が課題となり、影響が大きくなることが想定されています。
企業が取るべき対応
サイバーレジリエンス法の全面施行に向け、日本企業も具体的な策を講じることが求められています。ここでは、企業が取るべき対応について具体的に解説します。
対応①製品ライフサイクル全体でのセキュリティ確保
サイバーレジリエンス法の要件に対応するため、企業は製品ライフサイクル全体でのセキュリティ確保を行う必要があります。
開発の初期段階では、セキュリティ・バイ・デザインの考えのもと、製品の企画から設計・開発プロセスでセキュリティ対策を組み込むための準備を整える必要があります。また、製品販売後もセキュリティ上の問題に対応するためアップデートを提供し続けていかなければなりません。
まずは、製品ライフサイクル全体でセキュリティを確保するための体制や仕組みを整理していく必要があります。
対応②組織のセキュリティ強化
サイバーレジリエンス法に対応するためには、開発部門だけでなく組織全体でのセキュリティ体制を強化していかなければなりません。例えば、SBOM(ソフトウェア部品表)を活用し、自社で使用しているソフトウェアやライブラリの脆弱性情報を共有し、組織間で連携を行うと効果的です。
また、インシデント発生時の対応フローや報告経路を明確化し、迅速に対応できる体制を整備しておきましょう。
対応③市場導入の準備
市場導入の準備として、まずは自社の製品がサイバーレジリエンス法の対象になるかを確認する必要があります。ネットワークに接続する幅広いデジタル製品が対象となっていますが、自動車や医療機器、SaaSや非営利のOSSなどは対象外となります。製品が対象であった場合、CEマークを表示することでEU基準への準拠を証明することができます。
CEマークを表示するためには、適合性評価の実施、技術文書の作成、EU適合宣言書の作成などを行う必要があり、早めに準備を進めておく必要があります。
対応④サプライチェーンの管理
サイバーレジリエンス法はサプライチェーン全体が対象とされているため、調達先や取引先などを含むサプライチェーン全体を管理していかなければなりません。また、調達先や取引先ごとにセキュリティ要件や責任分担を明確化し、インシデント発生時の対応やリスク管理について徹底していく必要があります。
さらに、サプライヤーとの連携を強化し、サプライチェーン全体でセキュリティレベルを引き上げることが重要です。
まとめ
サイバーレジリエンス法(CRA)は、EU市場で販売されるデジタル製品の新たなセキュリティ要件を示すものであり、製品がEU域外で製造・販売されていても規制対象となります。したがって、日本企業にとっても無関係ではありません。
規定では、製品のライフサイクル全体におけるセキュリティ確保やインシデント発生時の報告などを義務付けられており、対応できない場合にはEU市場での販売や流通ができなくなります。
全面施行までに準備期間があるため、計画的に準備を進めていくことが重要です。まずはサイバーレジリエンス法に対応するための体制を整備し、サプライヤーとの連携も強化していきましょう。
そのほか、企業の情報セキュリティでお困りの際は、ペンタセキュリティまでご相談ください。