ワンストップ型セキュリティ認証取得支援サービス

ワンストップ型セキュリティ認証取得支援サービス
           






ワンストップ型セキュリティ認証取得支援サービス









こんなお悩みをお持ちのセキュリティ担当者様へ

いったい…何から始めたらいいのか
いったい…何から始めたらいいのか

  • 急に上司から…!!

    上司からサイバーセキュリティ対策を急ぎ進めてほしいと指示があったが、いったい何から始めたら良いのかわからず、社内には知識が豊富な人間も見当たらない。このままでは自身の危機どころか、会社の危機に陥ってしまうかもしれない。

  • CRA基準を満たしているのか、実態がわからない

    以前からサイバーセキュリティに力を注いで入るが、サイバーセキュリティ法案の基準を満たしているのか自社内で判断することができず困っている。
    自身を持って商品を届けるために認証取得をしたいが、その方法がわからない。

  • そもそもCRAとは何かを理解できていない

    IT担当に任命されたが、「欧州サイバーレジリエンス法案」という言葉を初めて聞き対応に困っている。
    どうやら、自社では対策の必要があるらしいが、その対策方法はおろか、法案の内容すら理解できていない。

  • サイバーセキュリティ対策が先延ばしになっている

    どうやら現在必要な対策はできているらしい。
    しかし、サイバーセキュリティ法案は現状より多くの項目をクリアする必要があるものの、上司曰く「罰則があるのはまだ先だから、急ぎ対応する必要は無い」とのこと。
    本当にそうなのだろうか??

対策ができていなければ…
取り返しのつかない事態
なってしまうかもしれません

?
?
?
?

罰金1,500万ユーロ?!?!もし違反したら、会社の危機不可避
罰金1,500万ユーロ?!?!もし違反したら、会社の危機不可避
  • 欧州サイバーレジリエンス法案に
    違反した場合の罰則内容

    1,500万ユーロ(約26億円:2024年7月9日時点)または前年度の全世界の年間総売上高の2.5%のいずれか高い方の金額を上限とする行政罰が科せられる可能性があります。

  • 違反が発覚しなかったとしても…。

    昨今増加しているサイバー攻撃の対象になり、個人データの漏洩など実被害が出てしまった場合、賠償金の額は罰則金額以上になってしまうことも。
    もちろん、その場合は違反も発覚することとなり罰則金の支払いも同時に発生することになってしまいます。

  • 対策を後回しにしてしまった場合

    欧州サイバーレジリエンス法案の発効後、36ヶ月の猶予期間が経過した2027年12月11日以降、法案適合していない商品はEUでの取引ができなくなります。
    つまり、取引先にEUが含まれている場合、早急に対策を始めなければ大切な取引先を失うことになってしまうのです。

弊社のサービスで
サイバーセキュリティ対策を

お手伝いいたします

対策可能なセキュリティ法案及び規格
対策可能なセキュリティ法案及び規格

  • 欧州サイバーレジリエンス法案 – CRA

    欧州における全てのデジタル製品向けにセキュリティ対応を義務付けるサイバーレジリエンス法案への対応準備のご支援を致します。
    ※CRA適合性評価機関に関する規定は同法成立後18ヶ月後のため、統合予定となっている下記RED-DAを前提にご支援します。

    Cyber Resilience Act
  • 欧州無線機器指令委託法令 – RED-DA

    欧州無線機器指令むけセキュリティ認証取得を支援します。ETSI EN 18031‐1/2/3への対応を前提にご支援します。

    Radio Equipment Directive Delegated Act
  • IEC 62443-4

    産業オートメーションシステム向けのセキュリティ規格であるIEC 62443認証取得を支援します。特にコンポーネントサプライヤー向けの規格であるIEC 62443‐4-1及び4-2をターゲットに対応をご支援します。

    IEC 62443-4
  • EN 303 645

    民生用IoT機器に適用される一連の基本的なサイバーセキュリティに関する規定となるEN 303 645認証取得を支援します。

    EN 303 645
各法案関係図

CRA規格の大部分が、現行の他規格と範囲が重複すると予想されます。
対応範囲が他規格よりも広く、完備には時間が必要ですが、

現行の他規格に準拠することで、早めの対応が可能です。

ワンストップで提供するセキュリティ対策の概要
ワンストップで提供するセキュリティ対策の概要

  • point01

    熟練エンジニアが担当につき、状況に応じた技術支援

    開発経験15〜30年以上のエンジニアが担当します。
    必要な対策は各社それぞれ異なるものです。ベテランエンジニアが貴社ならではの問題に対してセキュリティ認証までのシステム構築および統合や改変のお手伝いをいたします。
    担当するエンジニアはIEC62443講習修了者なので、ご安心ください。

    熟練エンジニアが担当につき、状況に応じた技術支援

  • point02

    各種セキュリティ認証に必要な機能及びツールのご提供

    ・ファームウェア更新(wolfSSL社提供のwolfBoot)
    ・暗号モジュール(wolfSSL社提供のwolfCrypt)
    ・セキュリティ評価ツール(Onward Security社提供のSecDevice・SecSAM)
    これらのツールのご提供はもちろん、導入まで弊社エンジニアがサポートいたします。

    各種セキュリティ認証に必要な機能及びツールのご提供

  • point03

    テストラボ「Onward Security」と
    世界最大級認証機関「DEKRA」との窓口

    認証取得の前段階として、どの項目が対策必須であるのかレポートしてもらうために「Onward Security」というテストラボに対象機器の情報を送ります。レポート内容に基づき対処を重ねて問題が無くなれば、世界最大級の認証機関「DEKRA」に申請する流れです。
    これらの手続きには、弊社が窓口となり密な連携をとることでスムーズな認証取得へサポートいたします。

    テストラボ「Onward Security」と世界最大級認証機関「DEKRA」との窓口

欧州サイバーレジリエンス法案(CRA)の概要
欧州サイバーレジリエンス法案(CRA)の概要

  • ?

    欧州サイバーレジリエンス法案とは?

    巧妙化、増加の一途をたどるサイバー攻撃に対抗するため、EU域内で流通するデジタル製品に対して、国境を超えたサイバーセキュリティ対策を義務化する法案です。

  • アイコン

    テロ組織が車を遠隔操作して

    動かし多大な被害が…。

    アイコン

    病院を管理しているネットワークが

    テロ組織にジャックされて患者の危機に…。

    これは、
    映画の話だけでは無いかもしれないのです。

  • ?

    規格適合が必要な製品とは?

    対象はEU市場で入手可能な「デジタル要素をもつ製品(products with digital elements)」です。
    つまり、意図した目的としてネットワークへ接続する製品はもちろん、意図せずともネットワークへ接続することが予見可能な製品(ネットワーク接続機能が搭載されている製品)は対象ということです。
    製品というのはハードウェアに限らず、ソフトウェアの領域でも幅広く、
    ハードウェアデバイスを制御できるソフトウェアなども対象です。

    規格適合が必要な製品とは?
  • ?

    いつから義務が発生するのか?

    2024年12月11日に発行されましたので、2年以内に報告義務が発生し、約3年後にはその他の義務も発生します。
    2年以内に体制を整えるのは専門知識がなければ到底叶うものではありません。
    弊社の認証取得サービスを利用していただいたとしても急ぎの対応が必要なことは明白です。

    いつから義務が発生するのか?
  • ?

    適合のために求められる対応は?

    上記の通り、欧州サイバーレジリエンス法案の整合規格はまだ確定していません。
    しかし、法案の概要は公表されており、その内容には「欧州無線機器指令委託法令 – Radio Equipment Directive Delegated Act(通称:RED-DA)」が大部分を占めることがわかっています。弊社では他規格の内容も加味しながら、欧州サイバーレジリエンス法案の整合規格確定後、速やかに対応できるよう「RED-DA」の適合を最初のステップにしています。

    適合のために求められる対応は?
    • ETSI EN 303 645 の機能要件から
      想定される項目

      No universal default passwords
      デフォルトパスワード禁止

      Implement a means to manage reports of vulnerabilities
      脆弱性の管理

      Keep software updated
      最新状態のソフトウェア

      Securely store sensitive security parameters
      設定値の安全な管理

      Communicate securely
      セキュアな通信

      Minimize exposed attack surfaces
      攻撃範囲の最小化

      Ensure software integrity
      ソフトウェア完全性

      Ensure that personal data is secure
      個人情報のセキュアな管理

      Make systems resilient to outages
      システムの堅牢性

      Examine system telemetry data
      テレメトリーデータの検査

      Make it easy for users to delete user data
      ユーザー情報の削除

      Make installation and maintenance of devices easy
      メンテナンスの容易性

      Validate input data
      入力値のバリデーション

    • RED-DA の機能要件から
      想定される項目

      Access control
      アクセス制御

      Authentication
      認証

      Secure update
      安全な更新

      Secure storage
      安全なストレージ

      Secure communication
      安全な通信

      Logging
      ロギング

      Deletion
      データの完全な削除

      Resilience
      回復能力

      Network monitoring
      ネットワーク監視

      Traffic control
      トラフィック制御

      User notification
      ユーザー通知

      Confidential cryptographic keys
      機密暗号鍵

      General equipment capabilities
      一般的な機能

      Cryptography
      暗号技術

    • IEC 62443 4-2 の機能要件から
      想定される項目

      Identification and authentication control
      識別及び認証管理

      Use control
      使用制御

      System integrity
      システム完全性

      Data confidentiality
      データの機密性

      Restricted data flow
      制限されたデータフロー

      Timely response to events
      イベントへの適時対応

      Resource availability
      資源の可用性

    デフォルトパスワードの禁止など、広く一般的に対応されている項目もあれば、最新状態のソフトウェアなど理解していても対応が難しい項目も含まれています。
    また、これらの項目も何を持ってクリアにするのかという基準が自社内判断を難しくしている一因でもあります。

導入フロー

  • phase01
  • phase02
  • phase03
  • phase04
  • phase05

お問い合わせフォーム







  • 貴社名

  • お名前必須

  • ふりがな必須

  • メールアドレス必須

  • お問い合わせ内容必須

  • プライバシーポリシーに同意し、送信する必須

    はい

  • ※上記内容は、弊社の掲げる個人情報保護方針に沿って管理し、本件に関するお問い合わせ、
    お申込み等いただいた内容への対応のために利用する場合がございます。
    お客様の同意なく目的外の利用や第三者への開示、提供することはございません。
    詳細につきましては、当サイトの「個人情報保護方針」をご参照ください。



CONTACT

まずはお気軽に
お問い合わせください!

PAGE TOP