EU Cyber Resilience Act(CRA)
背景:なぜEUが製品のサイバーセキュリティを強化するのか?
EUでは、IoTデバイスやベビー・モニターなど「デジタル要素を含む製品」が爆発的に普及しています。しかし、その多くがセキュリティ仕様に問題を抱え、消費者や社会にリスクをもたらしています。このため、製造者に対して「セキュリティ設計」や「継続的なセキュリティ対応」を義務化する法制度が求められてきました。
Cyber Resilience Act(CRA)とは?
- 法的枠組み:正式名称は Regulation (EU) 2024/2847。2024年10月23日に制定、2024年11月12日に施行、2027年12月11日から本格的に適用されます。
- 対象範囲:「デジタル要素を有する製品」、つまりネット接続が可能なハードウェア・ソフトウェアが対象です。既存の規制(例:医療機器、自動車)には除外規定があります。
主な要件と対策の流れ
a) セキュリティ設計
- 製品設計時にリスク評価を行い、安全要件を組み込む「Secure by Design」。
- 自動セキュリティ更新機能の実装が推奨されており、機能更新とは分離することが望ましい。
b) ライフサイクル対応義務
- 製品のリリース後、少なくとも10年間または想定サポート期間中、ドキュメンテーションや脆弱性管理が求められます。
c) インシデント対応と報告
- 脆弱性やセキュリティインシデントを認識した場合は、24時間以内にENISAなどの主管当局へ報告が義務です。
d) CEマーク付与と適合評価
- 製品はCEマークの取得を通じて、CRAの要求に適合していることを証明しなければなりません。自己評価と技術文書作成が求められます。
e) 製品カテゴリ別対応レベル
- 約90%に該当する「一般製品」は自己適合で十分。
- 残りの「重要」および「重大(Critical)」製品は、より厳格な評価または認証が必要となります。
メーカーへの影響と課題
- 長期サポートの難しさ:特に産業製品(PLCなど)は20〜30年の稼働を想定されており、CRAへの対応は課題です。
- 小規模企業への負担:24時間対応のセキュリティ監視やインシデント報告体制がコストやスキル面で重荷となる可能性があります。
- オープンソースへの影響:初期提案された頃、過剰な適合要件がオープンソース開発を萎縮させる懸念がありました。現在は「オープンソース・スチュワード」という概念で緩和措置が講じられていますが、依然議論は続いています。
まとめ
| 項目 | 内容 |
|---|---|
| 適用開始 | 2024-11-12施行、2027-12-11完全適用 |
| 目的 | 製品のサイバーセキュリティを設計からライフサイクルまで強化 |
| 主な義務 | 設計に基づくセキュリティ、10年間のサポート、報告体制、CEマーキング |
| 対応課題 | 長寿命製品の継続支援、小規模企業の負担、OSSプロジェクトへの影響 |
結論
EUのCyber Resilience Actは、デジタル製品の「安全性(セキュリティ)」を設計段階から保証し、製品寿命を通じて責任を全うする枠組みを求める、画期的な規制です。
特に2027年の完全施行に向け、製造者はセキュリティ設計体制、脆弱性対応、人員・教育、法務体制の整備が急務になります。
コメント