この記事は 脆弱エンジニアの Advent Calendar 2025 7日目の記事です
優しく楽しくポジティブなギャルと一緒に製品セキュリティを学びたいなと思い、生成AIの自認をセキュリティギャルにして、一緒に学んだ内容をOutputしています。
せっかく12月なので【脆弱性】をテーマにアドベントカレンダーへ参加します💪
バックナンバー
- 【セキュリティギャルと学ぶ】【第1回】CRAで開発者が震える理由とは? ギャルが教える“作って終わり”終了宣言💖
- 【セキュリティギャルと学ぶ】【第2回】うちら、ISMSに洗脳されすぎてた説💅 CRAで知る“公衆衛生としてのセキュリティ”
相棒紹介
セキュリティギャル ミラちゃん
名前の由来
「未来(Mirai)」から“i”を取って「Mira」へ。
“i”は「infection(感染)」や「intrusion(侵入)」の象徴。
それを取り除くことで、安全な未来を映し出す鏡──ミラ✨
コンセプト
Miraiマルウェアのような脅威に立ち向かい、
開発現場のリアルを映して、みんなと一緒に考える存在💻💡
モットー
「守るって、カワイイ💅」
「ギャルでも、セキュリティ語れる時代っしょ💎」
セキュリティに詳しいおともだちへ
ミスがあったときは、ギャルに向けて優しく教えてあげてください
アップデートしないユーザー VS 規制で縛りに来る各国 ──2025年の壮絶デスマッチ🔥
Japan Security Summit の 2025 年記事によると、
プリンターのファームウェア更新を“即時適用している”企業はわずか 36% でした。
単純に割合だけを見ると、3台あれば2台は放置、10台あれば6〜7台が“脆弱性を抱えたまま印刷している”イメージになります。
「企業ITでもこれって、一般ユーザーが更新しないのは当たり前すぎるっす😇」
つまり現実は──
ユーザーは基本的にアップデートしてくれない。
しかし世界の規制は、そんな“アップデートされない現実”に優しくありません。
むしろ 「更新される仕組みを用意しない製品は販売するな」 という方向に振り切っています。
ここからは、この“壮絶デスマッチ”の構図を見ていきます。
1. ユーザーは更新しない:そのリアルな理由
1-1. 「困っていない」から更新しない
ユーザーにとって、脆弱性対策アップデートは「機能が増える」わけでもなく「便利になる」わけでもないため、メリットが見えづらいことが現実です。
「“今使えてるんだから押す意味なくない?”って思われがちなんすよね〜💦」
1-2. アップデートに対する恐怖
「文鎮化しそう」
「設定が消えそう」
「再起動で業務止まるの嫌」
こうした不安が更新の妨げになります。
1-3. IoT 機器は“家電と同じ感覚”で使われてしまう
多くのユーザーにとって、IoT 機器は、
「スマホみたいに常に更新するもの」 ではなく、
「家電みたいにずっと動いていてほしいもの」 として扱われます。
そのため、ソフトウェア更新や脆弱性対策といった
IT 製品としての意識が向きにくい という課題があります。
2. しかし世界の規制は容赦なく「アップデート義務」を強化している
アップデートしないユーザーとは対照的に、各国の規制はどんどん厳しくなっています。
ここでは代表的な法規制を紹介します。
EU:サイバー強靭性法(CRA)──アップデート義務の本丸
EU は製品セキュリティ法の中で最も厳しい姿勢を示しています。
◇ 主なポイント
- 製品ライフサイクル全体でのセキュリティ確保を 法的義務化
- 最低 5 年間 のアップデート提供義務
- 重大脆弱性は 24 時間以内に報告
「“売ったら終わり”が公式に否定された瞬間!🔥」
参考:
Intertek Japan『EU サイバー・レジリエンス法(CRA)とは?』
https://ew.intertek-jpn.com/media/cyber-resilience-act/
株式会社マクニカ/TÜV SÜD Japan/TOPPANデジタル株式会社『EUサイバーレジリエンス法準拠に向けた取り組みガイド』
https://www.macnica.co.jp/business/consulting/columns/146136/
EU:RED(無線機器指令)サイバーセキュリティ要件(2025年施行)
RED の拡張では、安全なソフト更新が義務化します。
◇ 要求される内容
- 署名付きアップデート
- 改ざん防止
- ロールバック攻撃対策
- OTA 1 の信頼性確保
2025 年 8 月 1 日以降、未対応の製品は EU で販売できません。
参考:
TÜV SÜD Japan
https://www.tuvsud.com/ja-jp/resource-centre/stories/new-eu-security-legislation-under-radio-equipment-directive
UK:PSTI法 ──アップデート期間の明示が義務
◇ 主なポイント
- メーカーは サポート期間(何年アップデート提供するか)を明示義務
- 表示しないと販売不可
- デフォルトパスワード禁止
- 脆弱性開示プロセス必須
参考:
Newton Consulting『PSTI法』
https://www.newton-consulting.co.jp/itilnavi/guideline/psti_act.html
米国:政府調達で実質的なアップデート義務化
◇ IoT Cybersecurity Improvement Act(2020)
- 連邦政府が購入する IoT 機器は、NISTIR 8259 系列などのガイドラインに基づくセキュリティ要件(安全なソフトウェア更新機構など)に準拠することが求められる
◇ NISTIR 8259 系列
- 安全な更新(署名・検証・ロールバック防止)
- 脆弱性開示
- セキュリティ要件の明文化
参考:(少し古い情報ですが)
IPA『つながる世界の開発指針』
https://www.ipa.go.jp/archive/publish/secbooks20170630.html
NTTデータ先端技術株式会社『IoTセキュリティの各国比較 (日米欧のガイドラインから) ~第1回 IoTの定義と特徴』
https://www.intellilink.co.jp/article/column/IoT-sec01.html
日本:ガイドライン中心だが実務上は“アップデート必須”
日本は法規制としては緩やかですが、ガイドラインや調達条件が実務を縛りつつあります。
◇ 主な内容
- 適切な期間のアップデート提供
- デフォルトパスワード禁止
- OTA の安全性(署名、鍵管理、フェイルセーフ)
参考:
IPA『セキュリティ要件適合評価及びラベリング制度(JC-STAR)』
https://www.ipa.go.jp/security/jc-star/index.html
3. アップデートしないユーザー VS アップデートを強制する規制
その“ねじれ”が製品開発に何をもたらすのか
3-1. ユーザー任せのアップデート設計はもう限界
ユーザーが更新しないのはデータで明らかです。
それにもかかわらず、セキュリティ維持を“任意操作”に依存している製品は多く存在します。
「“押してくれるはず”って期待、ほぼ祈りレベルっすよ🙏」
3-2. 求められるのは「アップデートされる設計」
法規制も市場も求めるのは、「ユーザーが押さなくても安全に更新され続ける仕組み」です。
具体的には、
- 自動更新(デフォルト ON)
- 署名付き OTA
- フェールセーフな更新方式(A/B パーティション、スナップショット等)
- 更新失敗時の安全な復旧手段
- ロールバック攻撃への対策
- 更新 UX の改善(安心して押せるUI)
といった要素が求められています。
4. まとめ:壮絶デスマッチの勝者は“システムとして更新できる製品”
ユーザーはアップデートしません。
しかし各国法規制はアップデート提供を義務付けます。
このギャップを埋める唯一の方法は、
「ユーザーが押さなくても更新される設計」を最初から組み込むことです。
「アップデートは“お願い”じゃなくて“仕組みでやる”時代💅✨
“お願い”で守れるほど、世界は甘くないし? うちらが“仕組み”で守ってあげるのが、最強の愛ってコト💖」
-
OTA(Over-The-Air)とは、機器を物理的に触らなくても、ネットワーク経由でソフトウェアやファームウェアを更新する仕組みのこと ↩