サイバーレジリエンス法（CRA:Cyber Resilience Act）の概要

皆さんこんにちは。富士通の関口です。本記事では最近話題になっているサイバーレジリエンス法（CRA：Cyber Resilience Act）について、調査した時点での概要と企業や私たちの生活へどのように影響するかという観点でまとめたいと思います。

本内容は記事作成時点での最新のCRA法を参照していますが、記事執筆時点でCRA法はまだ正式に発効していないため、今後法案が修正され内容が修正されたり新たな記載が追加される可能性があります。また、法律の専門家ではないため、法の解釈が誤っている可能性もあります。本法の内容について参照する際は必ずご自身で内容をご確認ください。

1. イントロダクション: サイバーレジリエンス法（CRA）とは何か？

CRAは増加するサイバー攻撃への対応とデジタル製品への包括的なサイバーセキュリティの要件を規定することを目的としてEUで作成されている法律です。2022年9月に草案が提出され、2023年の後半の発効、2025年後半の適用を目指しています。

2. CRAの適用範囲:

CRAは、インターネットに接続される様々なデジタル製品に適用されます。たとえば、スマートフォン、タブレット、スマートウォッチ、ホームセキュリティシステム、さらにはクラウドサービスなど、インターネットに接続できるあらゆるデバイスやソフトウェアが対象です。それらデジタル製品をセキュリティに対する重要度などで３つのカテゴリに分類し、分類によって異なるレベルでのセキュリティへの対応を求められます。

デジタル製品販売業者は、製品がCRAの基準を満たしていることを保証するために、新たなチェックリストやプロセスを導入する必要があります。

3. CRAの主な目的と要件:

CRAの主な目的は、製品のセキュリティを向上させ、それによって消費者の個人情報を保護することです。企業は、消費者に対して製品の安全性に関する詳細情報を提供することで、信頼とブランドイメージを高めることができると考えられます。またデジタル製品がこの基準に従って開発されると、ユーザーはより安心して利用できるようになります。

4. 製品分類:

CRAでは、製品をリスクレベルに基づいて「クラスII」「クラスI」「未分類またはデフォルト」の3つのカテゴリに分類します。クラスIIは高リスク、クラスIは中リスクを意味し、リスクが低いものは未分類またはデフォルトカテゴリに分類されます。リスクの基準には、製品がどのように使われるか、どの程度の個人情報や機密情報を扱うかなどが含まれます。

高リスクの製品（クラスII）は、例えば産業用の制御システムや医療機器など、重要な機能を果たす製品です。これらの製品のセキュリティが強化されることで、例えば病院の機器がサイバー攻撃による障害から守られ、患者の安全が確保されます。これにより、事故や障害のリスクが減少し、企業のリスク管理も強化されます。

カテゴリ	定義	製品例
クラスII	第6条 (2) (a) 項および (b) 項両方の基準を満たすデジタル要素を有する製品のカテゴリー	PNサーバーやクライアントなどの仮想プライベートネットワーク (VPN) 機能をサポートするデジタル要素を備えた製品・オペレーティングシステムおよび同様の環境の仮想化実行をサポートするハイパーバイザおよびコンテナランタイムシステム・ファイアウォール、侵入検知および/または防止システム
クラスI	第6条 (1a) 項 (a) または(b)の基準を満たすデジタル要素を有する製品のカテゴリー	悪意のあるソフトウェアを検索、削除、検疫するソフトウェア・マイクロプロセッサ・マイクロコントローラ
デフォルト・未分類	クラスII・I以外	-

5. セキュリティと脆弱性要件:

CRAではSecurity By Design¹に基づいて設計された製品は、最初から安全性を考慮して作ることを求められます。また、製造者に対し、製品に含まれる脆弱性やコンポーネントの文書化と、機械読み取りが可能な形式で一般的に利用されるSBOMの作成を義務付けています。さらに、脆弱性に対応するためのパッチや更新プログラムは無料で速やかに配布する必要があります。²

6. 適合性評価と報告義務:

CRAではクラスIIカテゴリの製品およびクラスIカテゴリの対象製品について第三者認証による評価を義務付けることで、製品の安全性が客観的に保証します。これにより、消費者は製品を安心して購入できるようになります。

また、脆弱性発見後24時間以内に対応組織や場合によってENISA³に対し通知する⁴ことが義務付けられています。この通知には当該脆弱性に対する是正措置もしくは緩和措置を含める必要があります。これにより、企業は製品に対し、脆弱性の継続的な監視と発見後の迅速な対応が求められることになります。

7. 実施と監視:

CRAでは市場監視機関による監視と罰金制度を定めており、要件を遵守しない企業に対して罰金を科すことが規定されています。企業は違反の程度に応じて、最高で数百万ユーロ以上の罰金⁵が課される可能性があります。これにより、企業に対して法案の要件を真剣に受け止め、適切なセキュリティ対策を講じる強制力が与えられます。
本法は発効から24ヶ月後に適用が開始されます。11条に記載された脆弱性に関して24時間以内に報告するという製造者の義務については発効後12ヶ月後に適用が開始されるので注意が必要です。⁶

8. まとめ

脆弱性発見時の速やかな報告や消費者への通知、無料のアップデートの提供、SBOM作成、第三者認証など、実施事項は多岐にわたること、また、義務履行違反時のペナルティーの重さなどを考えると、EU加盟国に対する製品提供を現在実施している、またはこれから提供を検討している企業は、適用開始まで猶予があるとはいえ、早い段階でCRAへの適応を検討すべきと考えます。

9. English Summary

The article discusses the EU's Cyber Resilience Act (CRA), aimed at enhancing digital product security and protecting consumer data. It applies to various internet-connected devices, classifying them by risk level and requiring appropriate security measures. Compliance involves fulfilling security and vulnerability standards, with higher-risk products needing third-party certification. Non-compliance may result in fines, underscoring the importance of CRA adherence for companies in the EU market.

1. Security By Design(セキュリティ・バイ・デザイン)：製品の設計・開発段階からセキュリティを考慮することを意味します。これにより、製品が市場に出る前にセキュリティの脆弱性を減らし、最終的な製品がより安全になることを目指します。 ↩

2. ANNEX I 2 "VULNERABILITY HANDLING REQUIREMENTS" ↩

3. 欧州連合サイバーセキュリティ機関(The European Union Agency for Cybersecurity) ↩

4. Article11 "Reporting obligations of manufacturers" 1(a) ↩

5. Article53 "Penalties" 3~ ↩

6. Article 57 "Entry into force and application" ↩