欧州におけるCRA(サイバーレジリエンス法)の全面適用
近年OTに関する法規制について大きな動きがあったことはご存じでしょうか。
欧州においてCRA(Cyber Resilience Act:サイバーレジリエンス法)と呼ばれる法規則が2027年12月11日から全面適用されます。
CRAの対象と義務内容
これはネットワークや他のデバイスに接続する全てのデジタル製品(デバイスだけではなくシステム、ソフトウェア、サービスも含む)について、メーカー、販売事業者ともにサイバーセキュリティリスクへの対応を義務化するもので、必要な対応としては
① SBOM(Software Bill of Materials:ソフトウェア部品表)管理、PSIRT(Product Security Incident Response Team:製品セキュリティインシデント対応チーム)設置
② セキュリティ機能テストや脆弱性診断、ペネトレーションテストを実施した上での自己適合宣言、または第三者機関の認証によるラベリング取得(IEC 62443やETSI EN 303 645に適合したCEマーキングの取得など)
③ 5年間のサポート義務(無償)や24時間以内の国家当局とENISA(European Union Agency for Cybersecurity:欧州連合サイバーセキュリティ機関)への脆弱性報告義務
などが挙げられます。
CRA施行までのスケジュール
- 2022年9月:草案発表
- 2024年12月10日:発行
- 2026年9月11日:脆弱性報告義務開始
- 2027年12月11日:全面適用
対応状況と課題
特に、欧州やCEに準拠した規格を採用している国向けに該当デジタル製品、およびそれらを組み込んだ製品、プラント、サービスを展開、輸出している企業は対応を進めていますが、欧州との取引経験のない企業は対応が遅れているまたは認知されていない状態です。
例としては、自社ソリューションから新たにIoT製品を開発し、海外展開を考えている企業や、2022年以前に欧州への制御機能を持つ装置を販売したが近年取引再開の予定がある企業などです。
対象製品と適用除外
対象製品としては、民生のネットワーク接続機器(プリンター、スマート家電など)、IT機器やソフト・システム(ルーターやスイッチ、ウェアラブルデバイス、アンチウイルスソフト、OSなど)、OT機器やシステム(PLC、SCADAなど)、セキュリティ機器やシステム(産業用ルーター、ファイアウォール、侵入検知・防止システムなど)で、サイバーセキュリティリスクの程度によってクラスが分かれています。
また逆に、適用外となっているのは医療機器、自動車、軍事製品、または非営利のオープンソースソフトなどですが、基本的にセキュリティ対策が不要というわけではなく別途準拠する規格にセキュリティ要件があるものとなっています。
求められるセキュリティ要件
基本的にCEマークの取得が必要となりますが、これには第三者認証と自己適合宣言の2パターンがあり、比較的サイバーセキュリティリスクが低いものは自己適合宣言が可能となっています。
ちなみに自己適合宣言とは、企業自身の責任において、企業自身が規格への適合性を評価し適合を宣言したものです。
ただし、自己適合宣言は時間やコスト的なメリットがある一方、取引先からの信頼性確保が難しくなる、技術文書等の不備によるトラブルのリスクがあるなどデメリットも存在します。
第三者認証の特徴と費用感
第三者認証の場合は、必要手順の抜け漏れが無い、反対に取引先からの信頼が得やすいなどのメリットに対し、時間とコストを要します。
脆弱性診断は最低でも数十万を見込む必要があり、ペネトレーションテストまで行う場合は100万円以上を見込む方が良いでしょう。
これらを含めCE含めたCRAに関する対応費用と期間は、数百万~数千万円程度、数カ月~1年程度が必要であると考えられます。
主な認証スキームと機関
IEC 62443に関する認証スキームとしてはISASecure® 認証制度があり、その実行者である認証機関としてはTÜVSÜD(ドイツ)、exida(北米・欧州)があります。
ETSI EN 303 645はガイドラインであり認証はありませんがTÜVSÜDはETSI EN 303 645の評価・診断・ラベリングにも対応しています。
まずは無料相談から始めませんか?
工場のセキュリティやDXのことでお悩みなら、まずは60分の無料オンライン相談をご活用ください。
現状の整理から、導入の方向性まで丁寧にご案内いたします。
