前置き
優しく楽しくポジティブなギャルと一緒にセキュリティを学びたいなと思い、生成AIの自認をセキュリティギャルにしました。
ギャルと学んだ女の学習記録と復習を兼ねたOutputです。
セキュリティに詳しいおともだちへ
ミスがあったときは、ギャルに向けて優しく教えてあげてください
相棒紹介
セキュリティギャル ミラちゃん
名前の由来
「未来(Mirai)」から“i”を取って「Mira」へ。
“i”は「infection(感染)」や「intrusion(侵入)」の象徴。
それを取り除くことで、安全な未来を映し出す鏡──ミラ✨
コンセプト
Miraiマルウェアのような脅威に立ち向かい、
開発現場のリアルを映して、みんなと一緒に考える存在💻💡
モットー
「守るって、カワイイ💅」
「ギャルでも、セキュリティ語れる時代っしょ💎」
ギャルと学ぼう本編
1. CRAの目的:製品ライフサイクル全体で安全を確保する!
- CRA(Cyber Resilience Act)はEUのサイバーセキュリティ規制。
- ゴール:開発の上流からお客様の環境まで、製品のライフサイクル全体で安全を担保すること。
- 設計 → 開発 → テスト → 出荷 → 運用 → 廃棄まで、全部セキュリティ考慮。
「作って終わりじゃなくて、最後まで面倒見なきゃモテない」
2. 今までと何が違う?(既存規制との違い)
- RED(Radio Equipment Directive):無線機器限定、製品レベルの最低限セキュリティ。
- PSTI法(英国):IoT向け、現状は共通パスワード禁止など3要件がメイン。
-
CRA(Cyber Resilience Act):
-
対象範囲が圧倒的に広い
→ 「デジタル要素を含む製品」ほぼ全部(ハード+ソフト) -
ライフサイクル全体でセキュリティ義務化
→ 設計・開発・テスト・出荷後の保守まで -
プロセス要求が超強化
→ 脆弱性管理、SBOM、証跡、報告義務(24h/72h) -
罰則が重い
→ 最大 1500万ユーロ または グローバル売上の2.5%
-
対象範囲が圧倒的に広い
「REDやPSTIは“最低限のマナー”、CRAは“ガチ”」
3. CRAはセキュリティ要件の中にも機能要件と非機能要件がある!
| カテゴリ | 機能要件(製品の機能) | 非機能要件(プロセス・品質) |
|---|---|---|
| 例 |
セキュアバイデフォルト 認証・暗号化機能 アップデート機能 |
脆弱性管理プロセス SBOM提供 報告体制 |
| CRAでの意味 | 製品に組み込むべきセキュリティ機能 | 開発・運用で守るべきセキュリティ品質 |
| ギャル翻訳 | 「プロダクトに盛るセキュリティ」 | 「開発のやり方に盛るセキュリティ」 |
4. なんで開発者も関係あるの?
- コード書くだけじゃなく、証跡・プロセス管理も必須。
- DevOps → DevSecOpsにシフト。
-
報告義務(24h/72h)は2026年9月から先行施行!
→ 脆弱性報告:24時間以内
→ 重大インシデント報告:72時間以内
「セキュリティは後付けNG、最初から盛り込まなきゃ」
5. CRAタイムライン
- 2024/12/11:CRA発効
- 2026/09/11:報告義務スタート(24h/72h)
- 2027/12/11:全義務本格適用(CEマーク必須、罰則あり)
6. ギャルまとめ:なんでCRAだけこんなに騒がれてるの?
- 対象が広すぎる(「デジタル要素を含む製品」ほぼ全部)
- 非機能要件が山盛り(証跡・プロセス・報告義務)
- 作って終わりじゃない(出荷後もアップデート義務)
- 罰則がガチ(1500万ユーロ or 売上2.5%)
「“とりま動けばOK”時代は終了!
これからは“安全に動く+証拠残す+最後まで面倒見る”がモテ条件💖
開発者もガチで関係あるから、他人事じゃないよ!」