日立ソリューションズ セキュリティコンサルティング部マネージャ 柳瀬貴之氏
EU市場でデジタル製品を販売する企業、あるいはその製品の部品を製造する企業にとって、重要な法律が成立した。「サイバーレジリエンス法」である。デジタル製品のセキュリティ対策強化を目的とした法律で、要件を満たさない場合は販売停止や高額な制裁金が科せられる。
同法は2026年9月から段階的に適用されるが、「対応には時間がかかるため、企業は今すぐ対策を始める必要があります」と語るのは、同法の対応支援コンサルティングを行う日立ソリューションズのセキュリティコンサルティング部マネージャ 柳瀬貴之氏。こうした製品のセキュリティ強化の動きはEUに限らず世界的に広がりつつあり、柳瀬氏は、それに伴い「セキュリティ対策が製品の付加価値に変わっていくでしょう」と見る。柳瀬氏に詳しい話を聞いた。
サイバーレジリエンス法未対応のデジタル製品はEUでの販売不可
通信機能を備えたIoT機器などが増える中で、これらがサイバー攻撃に“利用”されるケースが増えている。ネットワークカメラが不正アクセスを受けてデータを傍受された事例や、多数のIoT機器が乗っ取られ、それらを利用してDDoS攻撃(※1)が行われた事件が起きている。IoT機器に特化したマルウェア(※2)「Mirai(ミライ)」や、その亜種である「ECHOBOT」も存在している。
※1 Webサーバーなどに複数のコンピューターやデバイスから大量のデータを送付してシステムダウンを引き起こすサイバー攻撃
※2 サイバー攻撃を行う悪意あるソフトウェアなどのこと
実際に被害が起きた場合、サイバー攻撃を行った者はもちろん、その攻撃に利用されたデジタル製品の提供企業も製品のイメージダウンや信用失墜につながる可能性がある。
こうした状況を受けて、デジタル製品のセキュリティ対策が世界的に強化されつつある。その一つが、EUで2024年12月から施行された「サイバーレジリエンス法(以下、CRA)」だ。原則としてEU市場で販売される一部を除いたネットワークに接続されるデジタル製品を対象に、厳しいセキュリティ要件を課す法律である。
日立ソリューションズの柳瀬氏は、「直接の通信ができる製品はもちろん、USBポートでデバイスと接続できる製品も対象になります。つまり、現代のデジタル製品は実質的にほとんどが対象となります」と話す。加えて、「完成した製品をEUで販売している企業だけでなく、その製品の部品を製造する企業にも関係してくるでしょう」と注意を促す。
なお、CRAの対象外となるのは、医療機器や自動車、航空機関連製品など、すでに別の法律で一定のセキュリティ要件が定められているデジタル製品などに限られる。
「CRAの要件を満たせない場合、そもそも製品の出荷ができません。要件を満たさずに出荷した場合、最大1500 万ユーロ(約25億円※3)または全世界の年間売上高の2.5%(いずれか高い方)の制裁金が規定されています。いずれも企業にとって大きなダメージになることは間違いありません」
※3 1ユーロ=170円で換算した場合
すでにこの法律への対応を進める日本企業も見られ、日立ソリューションズでも支援コンサルティングを行っている。一般消費者向けのデジタル製品に加え、産業用機械、建設機械など、幅広い製品で実施しているという。
CRAの適用は2026年9月から段階的に行われる。まだ先のことに思えるが、「企業は速やかに対応を進める必要があります」と柳瀬氏。なぜなら、この法律の要件に準拠するには一定の時間を要するからだ。
CRAを踏まえた製品設計を行うには、今すぐ対応が必要
CRAで求められる要件は多岐にわたる。製品そのものにセキュリティ強化の要素を取り込む機能的な要件に加え、企業側にも、セキュリティを確保する開発プロセスの構築、製品の脆弱性発見時やインシデント発生時には報告・通知する体制の構築などが定められている。
具体例を挙げると、機能的な要件では、暗号化などによるデータの機密性確保、すでに脆弱性が指摘されている機能には適切な対処を行うことなどが求められる。また、脆弱性が見つかったときのために、製品のソフトウェアをアップデートできる機能も要件の中にあるという。
報告義務においては、脆弱性の発見や重大なインシデントの発生後、24時間以内に初期報告を提出し、必要に応じて72時間以内に追加情報を含む中間報告を行う。その後、是正措置の完了後には14日以内(インシデントの場合は1カ月以内)に最終報告を提出する必要がある。 さらに報告義務だけでなく、脆弱性情報を受け付ける窓口を設置することが求められている。
これらの要件について、まずは2026年9月11日から製造業者の報告義務が適用され、その後、2027年12月11日に全要件が適用となる。まだ適用まで一定の猶予があるように見受けられるが、各要件への対応は時間を要するため、今すぐ動き出す必要があるという。
例えば、先述した報告義務や脆弱性情報の受付窓口の設置などについては、それらの体制を新たに企業が構築し、安定運用の段階まで持っていくには一定の時間がかかる。なぜなら、報告や対応を行うポジションを社内に新しく設け、人を配置した上で、インシデントが起きた際の対応訓練なども必要になるからだ。「組織やプロセスを作るのに早くて3カ月、そこからレクチャーや訓練を行って実運用に持っていくのに6カ月はかかります」と柳瀬氏。もしも、この体制を構築できていなければ迅速な報告・対応ができず、報告義務の要件を満たせないばかりでなく、顧客からの信用が低下するリスクもある。
さらに、製品の開発プロセスにおいても、開発初期の段階でリスクアセスメントを行い、想定されるリスクを洗い出した上で、そのリスクを適切に対処した製品を設計する“セキュリティ・バイ・デザイン”のプロセスを取り込むことが求められる。
「製品によっては開発に2年以上かかるケースもあり、CRA適用後に発売する新製品も、すでに設計に着手しているケースがあるでしょう。すると、今からCRAの要件を踏まえたプロセスで設計しなければ間に合わない可能性があるのです」
リスクアセスメントや組織構築に必要な「専門的知見」
こうしたCRAへの対応をメーカー独自で進めるのは決して簡単ではない。対応を迫られる企業に、日立ソリューションズでは次のような支援を行うという。
「CRAは、要件こそ記載されているものの、それらを満たすための具体的な対策が明確になっていません。企業にとっては、CRAの要件を満たすために何をどのレベルまで行えばいいのか、判断が難しいと言えます。当社はセキュリティ規格に関する情報やノウハウを豊富に有しており、最前線の動向を踏まえながら具体的にどのような機能やプロセスを取り込めばよいか助言していくことが可能です」
特に専門知識が必要になるのは、設計時のリスクアセスメントだ。「リスクを洗い出すにも、洗い出したリスクの対策を検討するにも、そもそもサイバー攻撃にはどのような手法があるのか、どういう経路で攻撃されるのかといった知識がなければできません。しかも現代のサイバー攻撃は日々進化しており、最新の情報が必要です。当社では、リスクの影響評価や対策検討への専門的な知見や、自動車分野でのリスクアセスメントにおける経験を生かし、お客様がより的確な評価と対策を行えるように支援していきます」。
報告体制の構築に関しても、日立ソリューションズでは、製品開発・販売時に発生する製品のセキュリティインシデントに対応する組織(PSIRT(※4))の構築を支援してきた。これらの実績やノウハウを活用し、各企業の組織体制や製造プロセスにフィットした体制構築を行うという。
※4 Product Security Incident Response Team
日本でも製品購入時は「セキュリティ重視」の流れ
メーカーにとって重要なのは、EUに限らず、世界各国で今回のような製品セキュリティ強化の動きが広がっていくことだ。アメリカでは、2021年5月にサイバーセキュリティ向上に関する大統領令が公表され、日本でも、2025年3月から独立行政法人情報処理推進機構が構築した、IoT製品の「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」が開始した。
JC-STARは、レベル1~4のセキュリティ基準を定め、その基準を満たした製品は認証ラベルを製品に付与できるという制度。対応は任意だが、経済産業省は、政府機関や重要インフラ事業者、地方公共団体などがIoT製品を調達する際は、ラベル付与製品を選定するよう働きかけている。
「今後は、セキュリティ認証を受けていることが、その製品を購入する理由になっていくのではないでしょうか。サイバー攻撃が年々増加する時代ですから、セキュリティ対応は製品の付加価値や競争力につながるでしょう。それらを見越して、CRAへの対応を進めることが重要です」
企業の中には、「当社のデジタル製品はデータを保有していないので、セキュリティリスクは低い」と考えることもあるかもしれない。しかし、実は製品自体がどのようなデータを持っているかは大きな要素ではないとのこと。製品のデータを盗むのではなく、ウイルスを広める“媒介”として利用されることもあるためだ。データを扱っていない製品はセキュリティ対策が不十分なことも多く、「その隙を狙われることがあります」と、柳瀬氏は警鐘を鳴らす。
もはや、すべてのデジタル製品が「標的になる」といっても過言ではない時代。だからこそ企業はセキュリティ対応を“自分ごと”として捉える必要がある。同時に競争力向上のためにも対応の強化が欠かせない。日立ソリューションズは、セキュリティ専門チームの豊富な知識、総合力と技術力をベースとしたセキュリティ技術を駆使して、そうした企業の動きを支援していく。
<関連リンク>
サイバーレジリエンス法対応支援コンサルティングの詳細はこちら
セキュリティコンサルティングの詳細はこちら
サイバーレジリエンスソリューション詳細はこちら
<PR>
WACOCA: People, Life, Style.