|
【講座主旨】
EU(欧州)では、あらゆるデジタル製品にサイバーセキュリティ対策を義務付ける「サイバーレジリエンス法(Cyber
Resilience Act:CRA)」の策定が進んでおり、早ければ今年中に発効され、その36か月後には法規制が開始される見込みです。そして、この法規に違反した企業には巨額の罰金が科されることがあります。
サイバーセキュリティに関連する法規と言えば、2021年にUN ECE(国連欧州経済委員会)より発行されたUN-R155が記憶に新しいですが、UN-R155の対象が自動車のみであったのに対して、CRAでは「あらゆるデジタル製品」が対象となります。つまり、それは欧州に製品を輸出する全ての企業にて対応が必要となることを意味しています。
本セミナーでは、まずCRAによる法規制の動向から各種要求事項について解説します。その後、それらの要求事項を満たすために必要となる様々な取り組みについて事例を交えて紹介します。なお、サイバーセキュリティ対策の事例については、先行して取り組みが進んでいる自動車業界の事例を参考とします。
【講座内容】
1.Cyber Resilience Act(CRA)とは?
(1)CRA策定の背景と目的
(2)CRAの概要
a.デジタル製品の開発&生産に関する必須要件
b.デジタル製品の脆弱性対応プロセスに関する必須要件
c.当局による市場監視の実施
(3)CRAの対象となる製品
a.重要だがリスクの低いデジタル製品(CLASS I)
b.重要でリスクの高いデジタル製品(CLASS II)
c.その他、重要でないデジタル製品
(3)CRAへの適合評価の方法
a.自己適合宣言
b.第三者による型式審査&生産管理
c.第三者による品質保証システムの審査
(4)CRAによる規制が開始されるまでのスケジュール
(5)CRAに違反した場合の罰則
2.Cyber Resilience Act(CRA)における製造業者の義務
(1)デジタル製品に実装すべきサイバーセキュリティ対策
a.デジタル製品にリスクアセスメントの実施
b.リスクに応じたサイバーセキュリティ対策の実施
c.ハード&ソフトの設計・開発時に適用が必要な要求事項
d.サプライチェーンを通じたサイバーセキュリティの保証
(2)デジタル製品の脆弱性に対処するための仕組み
a.デジタル製品の脆弱性の特定と文書化
b.デジタル製品のSBOMを利用した脆弱性管理
c.デジタル製品に対するセキュリティアップデートの実施
d.脆弱性とセキュリティアップデートに関する情報公開
(3)デジタル製品の製造業者に課せられる報告義務
a.ENISAに対する脆弱性/インシデント情報の報告
b.ユーザに対する脆弱性/インシデント情報の通知
c.OSSの管理団体に対する脆弱性情報の通知
3.Cyber Resilience Act(CRA)への適合に必要な技術文書
(1)技術文書を体系的に作成するためのCSMS(Cyber
Security Management System)
(2)デジタル製品に対する脅威分析とリスクアセスメント結果の事例
(3)デジタル製品のサイバーセキュリティアーキテクチャの事例
(4)デジタル製品に対する脆弱性分析/脆弱性評価結果の事例
(5)デジタル製品のセキュリティアップデート機能の事例
(6)デジタル製品のSBOMの作成事例
4.Cyber Resilience Act(CRA)への適合に必要なP-SIRTの仕組み
(1)P-SIRT活動を実施するための体制
(2)P-SIRT活動を実施するためのプロセス
a.脆弱性/インシデント情報を調査&収集するプロセス
b.脆弱性/インシデント情報に対する脆弱性分析を実施するプロセス
c.脆弱性/インシデント情報のリスクアセスメントを行うプロセス
d.脆弱性/インシデント情報の対処を行うプロセス
e.脆弱性情報を外部へ開示するためのプロセス
【質疑応答】
◆◆講師プロフィール◆◆◆
(専門分野)
サイバーセキュリティ、機能安全、リアルタイムOS、自動車、農業機械/建設機械、
産業ロボットなど
(略歴・活動・著書など)
・ヴィッツ入社以来10年間、RTOSを専門とした開発活動に従事。
・名古屋大学との共同研究にて次世代車載向けRTOSを開発。
・機能安全対応RTOSの開発に伴い、TUVのアセスメントも経験。
・2012年より組込みセキュリティの研究業務に従事し、セキュリティ対応
RTOS開発のプロジェクトリーダを務めた。その後、自動車部品メーカーを中心に組込みセキュリティの導入支援に関連する業務を実施。
・2023年9月より子会社のアトリエへ転籍し、コンサルティング活動に注力
著書:自動車サイバーセキュリティ規格 ISO/SAE
21434規格準拠のポイント徹底解説 (日経BP)
|