EUサイバーレジリエンス法における「サイバーレジリエンス」の具体的な要件とは?

セキュリティ

2024年12月に施行されたEUサイバーレジリエンス法(Cyber Resilience Act:CRA)は、デジタル製品に対するサイバーセキュリティ要件を法制化した画期的な規則です。この法律の核心は「サイバーレジリエンス」――つまり、製品がサイバー攻撃に対して強靭であることにあります。

では、その「サイバーレジリエンス」とは具体的にどのような項目を含むのでしょうか?本記事では、CRAが求める具体的なセキュリティ要件についてわかりやすく解説します。

サイバーレジリエンスの具体的な内容(要件一覧)

CRAにおけるサイバーレジリエンスの確保には、以下のような技術的および組織的要件が含まれます。

1. セキュア・バイ・デザイン(Secure by Design)

  • 製品設計の段階からセキュリティ対策を組み込むことが必須。

  • 初期設定の段階で安全な構成がなされていること(例:不要なポートを閉じる)。

  • 安全な認証機構の実装(デフォルトパスワードの禁止など)。

2. 脆弱性の管理体制の構築

  • 製品リリース後も、脆弱性情報のモニタリングと管理を継続。

  • セキュリティアップデートをユーザーに対して迅速かつ確実に提供。

  • 既知の脆弱性を放置せず、一定期間内に対処。

3. サプライチェーンセキュリティ

  • 使用するサードパーティ製品やコンポーネントのセキュリティも確認・管理。

  • ソフトウェア部品表(SBOM:Software Bill of Materials)の提供が求められる場合もあり。

4. インシデント検知と対応

  • サイバー攻撃やインシデントを検知するための仕組みを備える。

  • 重大なインシデントが発生した場合、24時間以内にENISA(EUサイバーセキュリティ機関)へ報告。

  • 報告内容には影響範囲、原因、対応状況などの詳細を含む。

5. ユーザーへの通知とサポート

6. 製品ライフサイクル全体でのセキュリティ維持

  • 製品の設計、製造、出荷、運用、廃棄に至るまで、全ライフサイクルでセキュリティを維持。

  • 製品サポート期間中は定期的なセキュリティパッチの提供が必須。

特に重要なポイント:クラス分けによるリスク評価

CRAでは、製品のリスクに応じて3段階に分類し、要件の厳格度を調整します。

  • クラスI(低リスク):家庭用ルーターやスマートウォッチなど

  • クラスII(中リスク):ネットワーク機器やOSなどのソフトウェア

  • クラスIII(高リスク):産業用制御システムなど、重要インフラに関わる製品

リスクが高いほど、より厳格なセキュリティ設計や監査義務が課せられます。

日本企業にとっての影響

日本の製造業やソフトウェア企業がEU市場へ製品を出荷する場合も、CRAの対象となります。特にIoT関連製品やクラウド対応製品を扱う企業は、今後以下の点に留意すべきです。

  • 製品開発フローにセキュリティ評価工程を追加

  • リリース後のサポート体制(アップデート配布・報告義務)の整備

  • サードパーティ製のソフトウェアやライブラリの管理強化

まとめ

EUサイバーレジリエンス法が求めるのは、「安全な製品を作る」だけでなく、「継続的にセキュリティを維持する」ことです。製造者・開発者・販売者すべてが、製品ライフサイクル全体を通してセキュリティと向き合う必要があります。

この新しいルールに対応することは、コストや手間の増加を意味するかもしれません。しかし一方で、それは企業やブランドの信頼性を高めるチャンスにもなります。

あなたの製品は、サイバーレジリエンスを備えていますか?