EUサイバーレジリエンス法(Cyber Resilience Act)
EUサイバーレジリエンス法(以下CRA)は、欧州連合が提唱する「デジタルインフラを保護するための法律および規制」であり、2022年9月に草案が提出され2024年10月に欧州理事会で採択されました。
2024年12月に発効され、2027年12月に全面適用が開始されます。
CRAは、その適合性を示す手段として 「製品上へのCEマーキングの貼付」 「CEマーキング適合宣言」 を要求しています。
よって2027年12月以降は、製品上のCEマーキングやCRAへの適合宣言(書)なしではEU内での販売・流通・納入ができなくなります。
■ サイバーセキュリティ とは
情報及びシステムが 「不正な活動(アクセス・使用・開示・中断・変更・破壊など)」 から保護されており、
「機密性/完全性/可用性(※)の侵害に関連するリスクが、ライフサイクル全体を通して受容可能なレベルに維持されている状態」 のことを指します。
※ 「機密性 = Confidentiality」 「完全性 = Integrity」 「可用性 = Availability」
CRAは、EU域内で流通するデジタル製品の 「サイバーセキュリティ基準」 を大幅に強化しました。
EU市場へ進出する場合は、製品のライフサイクル全体に対しCRA要求に基づくセキュリティ対策が求められます。
CRAの主な要求は、SBOMやセキュリティリスクアセスメントの作成、それに伴うセキュリティ機能の実装、加えて脆弱性管理文書の作成や同社内体制の強化(PSIRTの構築)などです。
※ SBOM(エスボム)
Software Bill of Materialsの略。 ソフトウェア部品表。
ソフトウェア製品に含まれるすべての構成要素とそれぞれの依存関係をリスト化したもの。 専用ツールやエクセルで作成します。
※ PSIRT(ピーサート)
Product Security Incident Response Teamの略。
製品セキュリティインシデント対応チーム。
国ごとに構築されるCSIRTに対し、ここでは社内で構築する担当チームを指します。
SBOMは製品に含まれるソフトウェア部品とその供給源を特定し、サプライチェーンの透明性を高めるために不可欠です。 また、脆弱性に対しては、発見・報告・修正までのプロセスを迅速化し、製品のセキュリティリスクを低減する必要があります。
■ CRA対象製品
CRAが対象とする製品範囲は広範囲に及びます。
デバイスやネットワークへ接続(直接/間接 を問わず)できる「デジタル要素を備えたすべての製品」 がCRAの対象となります。
※ 多くの「産業機械」や「工作機械」も上記条件に該当する為、CRAの対象となります。
CRA対象製品は、大きく4カテゴリに分類されます。
- ✓ 重要なデジタル製品(クラスⅠ)・・・・・低リスク製品
- ✓ 重要なデジタル製品(クラスⅡ)・・・・・高リスク製品
- ✓ 特に重要なデジタル製品 ・・・・・・・・ 最もリスクの高い製品群
- ✓ 通常のデジタル製品 ・・・・・・・・・・上記のいずれにも分類されない、デジタル要素を含む製品
| 重要なデジタル製品 Important Products with Digital Elements (AnnexⅢ) |
| クラスⅠ(低リスク) 第三者認証(EUCC/EN規格以外) ・生体認証リーダーを含む認証およびアクセス制御リーダーを含む、 アイデンティティ管理システムおよび特権アクセス管理ソフトウェアとハードウェア ・スタンドアロン型/組込型ブラウザ ・パスワードマネジャー ・マルウェア検知・削除・隔離ソフトウェア ・VPN機能を持つデジタル要素を備えた製品 ・ネットワーク管理システム ・SEIM(セキュリティ情報イベント管理)システム ・ブートマネジャー ・PKI(公開鍵暗号基盤)およびデジタル証明書発行ソフトウェア ・物理および仮想ネットワークインターフェース ・オペレーティングシステム ・インターネット接続用のルータ・モデム・スイッチ ・セキュリティ関連機能を備えたマイクロプロセッサ ・セキュリティ関連機能を備えたマイクロコントローラ ・セキュリティ関連機能を備えた特定用途向け集積回路ASICおよびFPGA ・スマートホーム向け汎用仮想アシスタント ・スマートドアロック・セキュリティカメラ・ベビーモニタリングシステム・警報システムなどの セキュリティ機能を備えたスマートホーム製品 ・欧州議会及び理事会指令2009/48/EC(1)の対象となるインターネット接続玩具で、 社会的インタラクティブ機能(例えば、会話や撮影)や位置追跡機能を備えているもの ・健康モニタリング(追跡など)を目的として人体に装着または着用され、 規則(EU)2017/745または(EU)2017/746が適用されない個人用ウェアラブル製品、 または子供が使用することを意図した個人用ウェアラブル製品 |
| クラスⅡ(高リスク) 第三者認証 ・OSや同様の環境の仮想化を実施するためのハイパバイザー及びコンテナー・ランタム・システム ・ファイアウォール、侵入検知および防止システム ・耐タンパー性マイクロプロセッサ ・耐タンパー性マイクロコントローラ |
| 特に重要なデジタル製品 Critical Products with Digital Elements(AnnexⅣ) |
| ・セキュリティボックスを搭載したハードウェアデバイス ・欧州議会及び理事会指令(EU)2019/944第2条(23)に定義される スマートメーターシステム内のスマートメーターゲートウェイ、 及び安全な暗号処理を含む高度なセキュリティ目的のためのその他のデバイス スマートカードまたは類似のデバイス(セキュアエレメントを含む) |
※ 対象とするデジタル製品が 「重要製品(クラスⅠ/クラスⅡ)」 または 「特に重要なデジタル製品」 に含まれていない場合は、「通常のデジタル製品」 に分類されます。
■ 製品分類 と 適合方法
| 製品分類 | 適合方法 | |
| ① 「重要なデジタル製品」 「特に重要なデジタル製品」以外 | 自己適合宣言 (or 第三者認証) | |
| ② 重要なデジタル製品 ③ | 「クラスⅠ(低リスク)」 かつ EUCCや欧州整合規格に準拠していない場合 | 第三者認証 |
| 「クラスⅡ(高リスク)」 | ||
| ④ 特に重要なデジタル製品 | ||
弊社では、CRAへの対応に対して 包括的 にご支援させていただきます。
- ✓ CRA基本セミナ(内容を貴社製品に特化して行います)
- ✓ CRA要求 vs 貴社現状 に対するギャップ分析
- ✓ セキュリティリスクアセスメント
- ✓ 製品開発プロセスの構築&運用
- ✓ 脆弱性管理文書の作成&PSIRT構築のサポート
- ✓ CRA適合に対する 「CEマーキング適合宣言」 「テクニカルファイルの構築」 など
prEN50742 に基づく機械のサイバーセキュリティ対応
2025年12月、EN50742(機械の安全性 – 改ざんに対する保護)のドラフト版が公開され、機械のサイバーセキュリティ対応方法に関する新たな指針がEU内で示されました。
※ 本規格はまだドラフト版であり、最終版の発行は2026年末~2027年前半へとずれ込む可能性があります。 最終版の発行後、2027年1月より適用開始の EU機械規則 2023 の整合規格となる見込みです。
これまでサイバーセキュリティ対応のデファクトスタンダードとして参照されてきたIEC62443シリーズはOT環境全般の「汎用的な」セキュリティ基盤であるのに対し、prEN50742は「機械の安全機能の保護」に特化した機械固有の規格です。
IEC62443では資産・情報の保護(Security)を目的としていますが、prEN50742ではあくまで機械の安全性の維持(Safety)を目的としており、サイバー攻撃による機械の偶発的または意図的な(悪意のある)操作を防止するための要件が定められています。
prEN50742 では、適合アプローチとして以下の2つが規定されています。
- アプローチA: IEC62443との整合を必要としない適合方法
- アプローチB: IEC62443と整合した適合方法
アプローチAでは、
ISO12100で導き出した深刻度レベルに、3つのパラメータ(曝露レベル ・ 攻撃の機会 ・ 攻撃者の能力)を組み合わせてSRSL(安全関連セキュリティレベル)を算出します。
このSRSLに基づき、具体的な要件が規定されています。
既にIEC62443への対応を始めている場合は、アプローチBの採用が可能です。
アプローチBでは、
IEN62443-4-1に準拠したセキュア開発プロセスの実装、3-3に準拠した機械要件の実装、4-2に基づく部品要件の実装が採用でき、各要件に対して必要なセキュリティレベルが定義されています。
上記いずれの場合もセキュリティコンテキストの定義、脅威評価、脆弱性管理、既存の技術資料への落とし込みが必要です。