CEマーキング CRA必須要件(Annex I)に基づく具体対策
サイバーリスク評価の結果をもとに、Annex I(付属書 I)に定められた「設計・実装時に満たすべき要件」を各機器で具体的に落とし込みます。PC:安全な設定と更新管理不要な通信ポート・サービスを停止する(最小権限原則)なぜ必要?パソコンやP...
MSD
CEマーキング CEマーキング Cyber Resilience Act(CRA)附属書 I「必須要件」第1項
対象条文(1) デジタル要素を含む製品は、リスクに応じた適切なレベルのサイバーセキュリティが確保されるように設計、開発、製造されなければならない。目的「製品に内在するセキュリティリスクを、設計段階から最小化し、リリース後も安全な状態を維持で...
安全設計 適合性評価(Conformity Assessment)とCRA対応
このでは、CRA(Cyber Resilience Act)に準拠させるための適合性評価プロセスについて解説します。このプロセスの最終成果物は、EU適合宣言(Declaration of Conformity)であす。適合性評価の概要CRA...
安全設計 スマート監視システムのユーザーセキュリティドキュメントとCRA
近年、スマート監視システムは企業や自治体で急速に普及しています。しかし、同時にサイバー攻撃や不正アクセスといったリスクも増大しており、製品のライフサイクル全体でセキュリティを確保することが不可欠です。そこで重要となるのが、ユーザー向けセキュ...
CEマーキング CRAにおけるインシデント対応プロセスとは?
IoT機器やスマート家電の普及により、セキュリティインシデント(サイバー攻撃や情報漏えい)の被害は年々増加しています。こうした状況を受け、EU(欧州連合)では「サイバーレジリエンス法(CRA:Cyber Resilience Act)」が制...
安全設計 OT製品の脆弱性管理(Vulnerability Handling)とCRA対応
OT製品の脆弱性管理は、CRAおよびIEC 62443に基づき、特定・評価・修正・通知のプロセスで進められます。CVSSスコアで優先度を決定し、緊急は7日以内、クリティカルは30日以内など修正期限を設定。修正困難な場合はリスクレジスターに記...
安全設計 OT製品のリスクレジスター(Risk Register)管理とCRA対応
ここでは、リスクレジスター(Risk Register)の重要性と活用方法を解説します。CRA(Cyber Resilience Act)法に準拠する上で、未緩和リスクを追跡・管理することは必須です。リスクレジスターの目的リスクレジスターは...
安全設計 OT資産のリスク値の算出(ステップ5)
1. リスク値の定義リスク値 = 「資産の重要度」 × 「脅威レベル」 × 「脆弱性レベル」各評価が 1〜3 の整数値であるため、リスク値は 最小 1、最大 27 になります。値が大きいほど、その資産は「リスクが高い」と判断されます。2. ...
安全設計 OT資産の脆弱性レベルを評価(ステップ4)
現状の対策確認と対策レベル「対策確認」とは、脆弱性レベルを決定するために実施する重要な工程です。これは、対象となる資産やシステムに対して、実際にどのようなセキュリティ対策が導入され、どの程度有効に機能しているかを体系的に確認することを意味し...
安全設計 OT資産の脅威レベルを評価(ステップ3)
脅威(攻撃)を特定機器(装置)に対する脅威 と 通信経路(ネットワーク)に対する脅威 に分け、各項目を簡単に説明します。機器(装置)に対する脅威(主なもの)不正アクセス(リモートからの侵入)説明:ネットワーク経由で機器に侵入し、操作や情報取...