欧州サイバーレジリエンス法 (CRA) 対応支援
欧州のサイバーレジリエンス法(CRA)が2024年12月に発効され、全てのデジタル製品にセキュリティ対策が義務付けられます。2026年9月には脆弱性報告義務が、2027年12月には全ての条項が施行され、違反企業には高額なペナルティが科せられます。製造業者には適合証明の取得と長期サポートが求められ、ハード・ソフト両方が対象です。自動車分野では特殊車両やアフターマーケット製品が対象となり、サプライヤ提供の部品も含まれる見込みです。
施行の背景
全てのデジタル製品にサイバーセキュリティ対策を義務付ける欧州サイバーレジリエンス法(EU Cyber Resilience Act: CRA)が2024年12月に発効されました。CRAでは、製造業者に対して、製品の安全を確保し、適合証明書を取得することを義務付けるほか、長期間のサポートも要求します。ハードウェア、ソフトウェアともに対象で、日本を含めて幅広い企業に影響が及ぶと予想されています。
自動車業界における対応
CRAにおいては、既存の型式認証規則(EU)2019/2144 によりサイバーセキュリティに対応した車両は対象外となっていますが、それ以外の特殊車両やアフターマーケット製品はCRAの適用対象となることが予想されます。また、(EU)2019/2144の適用対象は、現状ではOEMに限られ、欧州委員会によるCRAに関する影響評価報告書の中で「サプライヤから供給されるシステムやコンポーネントはCRAの対象である」と述べています。
具体的な対策に向けて
サイバーセキュリティに関して、CRA、機械規則、PSTI (Product Security and Telecommunications Infrastructure)等の規則が公表される中で、規則間で類似する要件や差分要件などが出てきており、製造者として対応が求められています。
そのような要件に対して、UN-R155をベースとしてCSMS構築、CS対策、PSIRT運用を行うことにより、複数の規則や要件にスムーズに対応することができます。また、CRAの要件として、企業はVulnerability Disclosure Program (VDP)の導入を義務付けられています。VDPは、ユーザ等が製品の脆弱性を見つけた場合に、製品を提供している企業に対して脆弱性の報告を可能にする仕組みです。
CRAに対して取り組むべきこと
- CS対応組織とルールを整える
- リスク分析手法、 検証、CSテストの手順を整える
- 無線機器、デジタル機器に対するリスク分析を実施し、CS 要求を設計・開発に織り込む。
- サプライチェーン管理を整える
- CS開発、 CS 品質保証の責任分担を明確にする。
- SBOMを構築して、CS情報監視チームを運営する
- Product Incident Response Team (PSIRT) と連携し、広く脆弱性/インシデント監視を行う。
- セキュリティアップデートとユーザ説明の配信サーバを構築する
DNVのCRA対応支援サービス例
- CS相談室
- 1時間×2回/月で半年単位での勉強会、相談窓口
- UN-R155 プロセス認定対応キットのご提供&レクチャー
- CSリスク分析、検証、CSテストキット
- RE指令、CRA対応へのチューニング
- UN-R155型式帳票の作成支援
- SIRT構築&運用代行
- PSIRTプロセス構築支援
- 該非調査(トリアージ)と該当の場合の深掘り支援
- SBOM作成支援
- SBOM (Software Bill of Material:ソフトウェア部品表)の作成から管理、運用、活用までサポート
社員向けCSトレーニング
目的や習熟度に応じた豊富なトレーニングメニューを提供
関連リンク
Cyber Resilience Act - Impact assessment