
-
上司からサイバーセキュリティ対策を急ぎ進めてほしいと指示があったが、いったい何から始めたら良いのかわからず、社内には知識が豊富な人間も見当たらない。このままでは自身の危機どころか、会社の危機に陥ってしまうかもしれない。
-
以前からサイバーセキュリティに力を注いで入るが、サイバーセキュリティ法案の基準を満たしているのか自社内で判断することができず困っている。
自身を持って商品を届けるために認証取得をしたいが、その方法がわからない。 -
IT担当に任命されたが、「欧州サイバーレジリエンス法案」という言葉を初めて聞き対応に困っている。
どうやら、自社では対策の必要があるらしいが、その対策方法はおろか、法案の内容すら理解できていない。 -
どうやら現在必要な対策はできているらしい。
しかし、サイバーセキュリティ法案は現状より多くの項目をクリアする必要があるものの、上司曰く「罰則があるのはまだ先だから、急ぎ対応する必要は無い」とのこと。
本当にそうなのだろうか??
対策ができていなければ…
取り返しのつかない事態に
なってしまうかもしれません






-
欧州サイバーレジリエンス法案に
違反した場合の罰則内容1,500万ユーロ(約26億円:2024年7月9日時点)または前年度の全世界の年間総売上高の2.5%のいずれか高い方の金額を上限とする行政罰が科せられる可能性があります。
-
違反が発覚しなかったとしても…。
昨今増加しているサイバー攻撃の対象になり、個人データの漏洩など実被害が出てしまった場合、賠償金の額は罰則金額以上になってしまうことも。
もちろん、その場合は違反も発覚することとなり罰則金の支払いも同時に発生することになってしまいます。 -
対策を後回しにしてしまった場合
欧州サイバーレジリエンス法案の発効後、36ヶ月の猶予期間が経過した2027年12月11日以降、法案適合していない商品はEUでの取引ができなくなります。
つまり、取引先にEUが含まれている場合、早急に対策を始めなければ大切な取引先を失うことになってしまうのです。
-
欧州サイバーレジリエンス法案 – CRA
欧州における全てのデジタル製品向けにセキュリティ対応を義務付けるサイバーレジリエンス法案への対応準備のご支援を致します。
※CRA適合性評価機関に関する規定は同法成立後18ヶ月後のため、統合予定となっている下記RED-DAを前提にご支援します。 -
欧州無線機器指令委託法令 – RED-DA
欧州無線機器指令むけセキュリティ認証取得を支援します。ETSI EN 18031‐1/2/3への対応を前提にご支援します。
-
IEC 62443-4
産業オートメーションシステム向けのセキュリティ規格であるIEC 62443認証取得を支援します。特にコンポーネントサプライヤー向けの規格であるIEC 62443‐4-1及び4-2をターゲットに対応をご支援します。
-
EN 303 645
民生用IoT機器に適用される一連の基本的なサイバーセキュリティに関する規定となるEN 303 645認証取得を支援します。

CRA規格の大部分が、現行の他規格と範囲が重複すると予想されます。
対応範囲が他規格よりも広く、完備には時間が必要ですが、
現行の他規格に準拠することで、早めの対応が可能です。
-
熟練エンジニアが担当につき、状況に応じた技術支援
開発経験15〜30年以上のエンジニアが担当します。
必要な対策は各社それぞれ異なるものです。ベテランエンジニアが貴社ならではの問題に対してセキュリティ認証までのシステム構築および統合や改変のお手伝いをいたします。
担当するエンジニアはIEC62443講習修了者なので、ご安心ください。 -
各種セキュリティ認証に必要な機能及びツールのご提供
・ファームウェア更新(wolfSSL社提供のwolfBoot)
・暗号モジュール(wolfSSL社提供のwolfCrypt)
・セキュリティ評価ツール(Onward Security社提供のSecDevice・SecSAM)
これらのツールのご提供はもちろん、導入まで弊社エンジニアがサポートいたします。 -
テストラボ「Onward Security」と
世界最大級認証機関「DEKRA」との窓口認証取得の前段階として、どの項目が対策必須であるのかレポートしてもらうために「Onward Security」というテストラボに対象機器の情報を送ります。レポート内容に基づき対処を重ねて問題が無くなれば、世界最大級の認証機関「DEKRA」に申請する流れです。
これらの手続きには、弊社が窓口となり密な連携をとることでスムーズな認証取得へサポートいたします。
-
欧州サイバーレジリエンス法案とは?
巧妙化、増加の一途をたどるサイバー攻撃に対抗するため、EU域内で流通するデジタル製品に対して、国境を超えたサイバーセキュリティ対策を義務化する法案です。
-
規格適合が必要な製品とは?
対象はEU市場で入手可能な「デジタル要素をもつ製品(products with digital elements)」です。
つまり、意図した目的としてネットワークへ接続する製品はもちろん、意図せずともネットワークへ接続することが予見可能な製品(ネットワーク接続機能が搭載されている製品)は対象ということです。
製品というのはハードウェアに限らず、ソフトウェアの領域でも幅広く、
ハードウェアデバイスを制御できるソフトウェアなども対象です。 -
いつから義務が発生するのか?
2024年12月11日に発行されましたので、2年以内に報告義務が発生し、約3年後にはその他の義務も発生します。
2年以内に体制を整えるのは専門知識がなければ到底叶うものではありません。
弊社の認証取得サービスを利用していただいたとしても急ぎの対応が必要なことは明白です。 -
適合のために求められる対応は?
上記の通り、欧州サイバーレジリエンス法案の整合規格はまだ確定していません。
しかし、法案の概要は公表されており、その内容には「欧州無線機器指令委託法令 – Radio Equipment Directive Delegated Act(通称:RED-DA)」が大部分を占めることがわかっています。弊社では他規格の内容も加味しながら、欧州サイバーレジリエンス法案の整合規格確定後、速やかに対応できるよう「RED-DA」の適合を最初のステップにしています。-
ETSI EN 303 645 の機能要件から
想定される項目No universal default passwords
デフォルトパスワード禁止Implement a means to manage reports of vulnerabilities
脆弱性の管理Keep software updated
最新状態のソフトウェアSecurely store sensitive security parameters
設定値の安全な管理Communicate securely
セキュアな通信Minimize exposed attack surfaces
攻撃範囲の最小化Ensure software integrity
ソフトウェア完全性Ensure that personal data is secure
個人情報のセキュアな管理Make systems resilient to outages
システムの堅牢性Examine system telemetry data
テレメトリーデータの検査Make it easy for users to delete user data
ユーザー情報の削除Make installation and maintenance of devices easy
メンテナンスの容易性Validate input data
入力値のバリデーション -
RED-DA の機能要件から
想定される項目Access control
アクセス制御Authentication
認証Secure update
安全な更新Secure storage
安全なストレージSecure communication
安全な通信Logging
ロギングDeletion
データの完全な削除Resilience
回復能力Network monitoring
ネットワーク監視Traffic control
トラフィック制御User notification
ユーザー通知Confidential cryptographic keys
機密暗号鍵General equipment capabilities
一般的な機能Cryptography
暗号技術 -
IEC 62443 4-2 の機能要件から
想定される項目Identification and authentication control
識別及び認証管理Use control
使用制御System integrity
システム完全性Data confidentiality
データの機密性Restricted data flow
制限されたデータフローTimely response to events
イベントへの適時対応Resource availability
資源の可用性
デフォルトパスワードの禁止など、広く一般的に対応されている項目もあれば、最新状態のソフトウェアなど理解していても対応が難しい項目も含まれています。
また、これらの項目も何を持ってクリアにするのかという基準が自社内判断を難しくしている一因でもあります。 -
テロ組織が車を遠隔操作して
動かし多大な被害が…。
病院を管理しているネットワークが
テロ組織にジャックされて患者の危機に…。
これは、
映画の話だけでは無いかもしれないのです。