セキュリティ関連要件への適合の義務化
第一回では、欧州CRAの概要と制定の背景。第二回は、欧州CRAの対象となる製品の種類、及び適合性評価についてそれぞれ説明しました。第三回は、欧州CRAで求められる要件のうちのセキュリティ要件を中心に説明します。
【第13条で規定された製造者の義務(概要)】
- デジタル要素を含む製品を市場に出す場合、必須要件に従って設計、開発、製造されていることを保証しなければならない
- サイバーセキュリティリスクのアセスメントを実施
- サイバーセキュリティリスクアセスメントは文書化サポート期間中に適宜更新
- 第三者から提供されたコンポーネントを統合する際、当該コンポーネントがデジタル要素製品のサイバーセキュリティを損なわないよう、十分な注意を払わなければならない
- 各セキュリティ更新プログラム最低10年間補償
- 技術文書を作成、適合性評価手続を実施、CEマーキングを貼付
セキュリティ特性要件と脆弱性処理要件
EU内に流通させる製品は、セキュリティ特性要件と脆弱性処理要件を満たすことが必須となります。
製造者はそのセキュリティ特性要件を満たすように設計・開発・製造を行わなければならず、さらに製品に対して「適合性評価」を行い、セキュリティ特性要件を満たしていることを証明しなくてはなりません。また市場にリリースした後5年間は脆弱性への対応を行う必要があり、脆弱性への対応の手続きを定めることや脆弱性発見時には速やかに対応することなどが求められています。
欧州CRAの別紙には「セキュリティ特性要件」及び「脆弱性処理要件」が具体的に記載されています。
【セキュリティ特性要件】
- リスクに基づいて適切なサイバーセキュリティを確保するよう設計・開発・生産されていること
- 悪用可能な脆弱性が含まれないこと
- リスクベースアセスメントに基づいて以下を満たすこと
1.製品を元の状態にリセット可能であるなどの安全な構成
2.適切な制御メカニズムによる、不正アクセスからの保護
3.最先端の暗号化などによる、データの機密性の保護
4.データ・プログラム等の完全性に係る許可されていない操作からの保護
5.必要なデータに限定した処理の実施(データの最小化)
6.DoS攻撃からの回復・緩和など、重要な機能の可用性観点での保護
7.他の機器やネットワークからの自信(製品)への影響の最小化
8.外部インターフェース等の攻撃対象領域を制限した設計・開発・製造
9.インシデントの影響を軽減する設計・開発・製造
10.アクセス等の活動の記録・監視及びセキュリティ情報の提供
11.自動更新などのセキュリティアップデートによる脆弱性対応の実施
【脆弱性処理要件】
- 製品に含まれる脆弱性とコンポーネントの特定・文書化
※読み取り可能な形式でのSBOM作成を含む - セキュリティアップデートの提供など、遅滞なく脆弱性に対処・緩和すること
- 効果的かつ定期的なテストとレビューを行うこと
- 脆弱性情報の公開及び修正を行うこと
- 脆弱性開示ポリシーを導入し、実施すること
- 製品やサードパーティコンポーネントの潜在的な脆弱性に関する情報共有を行い、連絡先を提供すること
- 悪用可能な脆弱性が適時に修正・緩和されるように安全にアップデートを配布するメカニズムを提供すること
- セキュリティパッチや更新プログラムが遅滞なく無料で配布され、ユーザーへの助言メッセージも添付すること
今回の投稿では、欧州CRAのセキュリティ要件と脆弱性対応について解説しました。次回は、当局への報告の義務化の詳細について、解説を行う予定です。
※本内容は記事作成時点での最新のCRA法を参照していますが、今後法律が修正され内容が変更、もしくは新たな記載が追加される可能性があります。また、法律の専門家ではないため、法の解釈が誤っている可能性もあります。本法の内容について参照する際は必ずご自身で内容をご確認ください。