現在、インターネットに接続されるデジタル製品は多様化している。それらのデジタル製品がサイバー攻撃のターゲットにされることもあり、世界規模でデジタル製品などにおけるサイバーセキュリティの向上が急務になっている。
そうしたサイバーセキュリティの向上を担保する目的で、EU域内で流通するデジタル製品のセキュリティレベル向上のためにつくられた法律がEUサイバーレジリエンス法である。
このEUサイバーレジリエンス法の適用が始まれば、EU域内に規制対象となるデジタル製品などを輸出する日本企業も、この法律に準拠したさまざまな対応をしなければならない。
本稿では、2025年に適用が始まるといわれているEUサイバーレジリエンス法で、どのような規制が実施されるのか、その規制に対応するために、どんな施策を講じる必要があるのかなど、日本企業がとるべき対策について、ソフトウェア脆弱性管理プラットフォーム「Cybellum(サイベラム)」の開発元であり、EUサイバーレジリエンス法にも詳しいサイベラム・テクノロジーズ合同会社 プリンシパルセールスエンジニア 池川 史憲氏と、Cybellumを展開する丸紅情報システムズ株式会社 製造ソリューション事業本部 事業企画部 仲原 英喜に話を聞いた。
EUサイバーレジリエンス法がいよいよ適用開始に
EUサイバーレジリエンス法とは、EUが制定する法律Cyber Resilience Actの日本語訳であり、CRAと略されることもある。このEUサイバーレジリンス法では、EU域内で流通する、およそすべてのデジタル製品に関して、悪用され得る可能性のある脆弱性が含まれていないことなどをはじめとした、さまざまなサイバーセキュリティ基準の順守を求める法的規制が盛り込まれている。
いわゆるサイバー攻撃は世界的規模で増加傾向にあり、その要因として次のような点が挙げられている。
- 低レベルのサイバーセキュリティや脆弱性の蔓延に対処するためのセキュリティアップデートが不十分
- ユーザが適切にセキュリティ対策を備えた製品を選択できていない
この状況を改善するために、EUのサイバーセキュリティ当局である欧州連合サイバーセキュリティ機関(以下、「ENISA」と表記)が、サイバー攻撃の対象となり得るすべてのデジタル製品(EU外からEUに輸入される製品を含む)に対して、包括的なサイバーセキュリティ要件を規定し、法律によって規制しようとしたのだ。
また、サイバー攻撃を受けた際の事業継続におけるサイバーレジリエンスについては以下記事で解説している。
日本企業への影響範囲
このEUサイバーレジリエンス法が適用となれば、EU域内にデジタル製品を輸出している多くの日本企業が、この法律の規定に準拠することが必要になる。
「デジタル製品を開発・製造して輸出している日本企業であれば、非常に大きな影響を受けることは必至です。また、現時点でEU市場に参入していない日本企業であっても、これから市場参入を図る上ではこの法律の規定に準拠する必要がありますから、先々の輸出であるとしても、今から準備する必要があるでしょう。」と池川氏は、影響を受ける日本企業がかなり多くなるだろうと憂慮する。
「たとえば、これまでサイバーセキュリティ対策を考慮する必要がなかった製品に対しても対応が必要となり、かつ、セキュリティ対策に無頓着であったメーカーでも対応が迫られることになります。」と仲原は話す。
日本企業が対応すべき課題
「法律が規定するところを遵守するのは当たり前ですが、それを具現化するために、人材の育成や、リソースの割り当てなどを実施する必要が出てくるでしょう。具体的な規制のひとつに報告義務が挙げられます。輸出した製品に関して、万が一何らかのインシデントが発生した場合には、法律の規定に基づいて、そのインシデントを認識した時点から24時間以内にENISAに対して迅速に報告することが義務付けられています。そのため、報告のための体制づくりやシステムづくりが必要になります。さらにいえば、24時間以内に報告できるよう、悪用される可能性のあるエクスプロイトが、自社の製品に含まれていないことを、製造事業者は証明しなければなりません。」と池川氏はいう。
大手メーカーなどであれば、すでにそうした対応のための組織を設置しているケースも少なくないので、当該の組織を少し拡張するだけで対応可能という場合もあるだろう。しかし、中小企業や新興企業などは、その体制づくりがまずは大きなハードルになるだろう。
「課題に対応するためにはPSIRTを中心とし、対応し迅速に報告する必要があるため、さらなる体制強化が求められています。」と仲原はいう。
「サイバーセキュリティのリスク診断も義務付けられています。また技術文書を作成して保管したり、適合性評価手続きを実施したりといったことも要求されます。さらには、サイバーセキュリティの認証スキームにより、適切なセキュリティ対策を実装し、データやシステムを保護していることを示す必要がありますが、日本企業はこのコンプライアンスを証明するために、関連する国際規格やスキームを把握しなければならず、その煩雑さも大きな負担であり、多大な影響を及ぼすでしょう。その他、細かく挙げれば、さまざまな対応、対処が必要なります。EUサイバーレジリエンス法に限ったことではありませんが、実装と文書化をしなければならないというのは、コンプライアンスの中核になります。他のコンプライアンス法と同じような形で、リスク評価、脆弱性評価の実施をしなければいけなかったり、適切なセキュリティ対策を実施したり、ENISAへの報告義務があったりといったところが、日本企業の課題だといえるでしょう。」池川氏は日本企業の課題について、このように説明する。
今後、日本企業はこうした数々の規制に適切に対応しなければならないのだ。EUサイバーレジリエンス法は、2022年9月に草案ができ、2023年後半に発効、そして2025年後半の適用を目指しているという。適用がスタートしてからの対応では製品輸出に支障をきたすことになる。できるだけ早く対策を講じることが重要だ。
やるべき課題への対応方法
そうした課題に対して、日本企業はどのように対応すべきだろうか。
まず定義されているセキュリティ特性の要件としては、リスクベースのアセスメントを実施することになり、その要件の中で大きなものとしてはSBOMの作成が挙げられるという。
「セキュリティパッチの配布などを速やかに行うといった対応が必要とされるため、ソフトウェアの構成要素を洗い出してSBOMを作成することは必要不可欠となります。しかし、SBOMの作成は大変なので、自動化ツールなどを活用することが望ましいといえます。」と池川氏は、EUサイバーレジリエンス法対応には、自動化がひとつのキーワードになると説明する。
「SBOMをベースとし、VEXなどのサイバーセキュリティ対応状況をサプライヤーを通して示し、迅速に対応することが必要です。」と仲原はいう。
出荷した製品に対して、サイバーセキュリティ対策を効率的に行うには、サイバーデジタルツインを用いる方法がある。仮想空間に製品のデジタルレプリカを作成することで、脆弱性の特定や有効性の評価などをシミュレーションし、製品の復元力・弾力性を評価し、適切なセキュリティ対策を行うことができるのがデジタルツインとなる。
EUサイバーレジリエンス法への対応をワンストップで実現する「Cybellum」
「Cybellum」は、イスラエルに本社を置くサイベラム・テクノロジーズ合同会社が開発し、丸紅情報システムズが販売提供するソフトウェア脆弱性管理プラットフォームである。自動車、医療機器、IoT機器などの脆弱性管理などをワンストップでサポートしくれるソフトウェア脆弱性管理プラットフォームだ。
EUサイバーレジリエンス法では、自動車、医療機器などいくつかの分野は適用除外となっているが、それはEUサイバーレジリエンス法とは別のレギュレーションが存在するからである。こうした分野では、Cybellumはすでに多くの企業に導入されている実績をもつ。
すでに触れたように、Cybellumには、SBOMに基づく脆弱性管理機能やバイナリ解析機能、サイバーデジタルツイン機能などが備わっており、多くの機能が自動化されているので、EUサイバーレジリエンス法への対応もワンストップで実現可能だ。
「CybellumではサイバーデジタルツインからSBOMを生成することが可能です。また、一旦SBOMを作成すると、パッケージのリストから、公開されている脆弱性の情報を洗い出して提供することができます。さらに継続的に監視し続けることにより、新しい脆弱性が出てくれば、速やかに表示し、対策を施しリスク分析や書類の作成と管理などをワンストップで提供できます。脆弱性管理プロセスの多様な作業を自動化で対応できるのはCybellumの強みのひとつです。 またCybellumはリリース毎のサイバーデジタルツインのバージョン管理が可能です。これにより、市場に複数バージョンの製品が投入されている状況で、発生したリスクについて、どのパーションの製品が影響を受けるのかといった点を瞬時に把握することができます。」と池川氏がいうように、脆弱性管理機能やバイナリ解析機能、サイバーデジタルツイン機能はCybellumの大きな強みである。
Cybellumを導入することが、EUサイバーレジリエンス法対策として、大きな安心材料になるだろう。
Cybellum お役立ち資料
Cybellumのカタログやホワイトペーパーをダウンロードいただけます。
