見出し画像

サイバーレジリエンス法案を解説~EUが変われば日本も変わる?~

Cyber NEXT

みなさんは、サイバーレジリエンスという言葉をご存じでしょうか。

レジリエンスとは「回復力」を意味する言葉で、サイバーレジリエンスは「サイバー攻撃を受けたとき、影響を最小化し、早急に元の状態に戻す仕組みや能力」と定義されています(米国立標準技術研究所(NIST))。

もし最近この言葉を見かけたとしたら、2022年9月にEUで提出された「サイバーレジリエンス法案」のことかもしれません。どのような法案なのか、なぜ遠い日本でも話題になっているのか、今回は「サイバーレジリエンス法案」を、シーイーシーセキュリティオペレーションセンター(CEC SOC)のセキュリティアナリストが解説します。


サイバーレジリエンス法案の背景

近年、サイバー攻撃は世界的に増加しており、短時間でサプライチェーン全体に多大な影響を与えることも少なくありません。EUでは、セキュリティアップデートの不十分さや、利用者がセキュリティ対策を適切に備えた製品を選択できないことを課題として捉え、国境を越えてEU市場全体で対策することが必要と考えました 。

しかし、現在はEUサイバーセキュリティ法(2019年)で特定製品について言及されるのみで、デジタル製品への具体的なサイバーセキュリティ必須要件などは含まれていません。そこで、デジタル製品に関する包括的なサイバーセキュリティ要件を定めることを目的とし、サイバーレジリエンス法が起案されました。

サイバーレジリエンス法案とは

サイバーレジリエンス法案を簡単にいうと、「EUで流通するあらゆるデジタル製品に対して、一定のサイバーセキュリティレベルを満たすことを、デジタル製品の製造業者に義務づける法案」です。2023年の発効および2025年の適⽤を目指して、審議が行われています。
サイバーレジリエンス法案で注目すべきポイントを、3つにまとめました。

1.すべてのデジタル製品が対象

一部の例外を除き、EUで流通するすべてのデジタル製品が対象となります。そのためEU加盟国以外の国であっても、EUにデジタル製品を販売する製造業者は漏れなく対応を迫られます。

【対象製品】

  • デバイスやネットワークに直接的/間接的に接続されるものも含む。

  • 医療機器規則、体外診断用医療機器規則、民間航空機規則、自動車の型式承認規則の対象製品は適用除外。

  • 国家安全保障に関するデジタル製品や軍事目的・機密情報処理目的のものは除外。

  • SaaSなどのソフトウェアサービスは対象外。研究開発目的のOSSなども対象外。

2.デジタル製品の製造業者が、適合性評価を行う

デジタル製品は、使用される環境や取り扱うデータの機密性、影響の範囲を考慮して大きく3つに分類されます。そしてデジタル製品の製造業者には、SBOM(※1)の作成や、無料のセキュリティアップデートの提供などといったサイバーセキュリティ要件への適合と、分類に応じた適合性の評価が求められます。

サイバーレジリエンス法案 分類別の適合性評価方法

※1 SBOM・・・製品に含まれるソフトウェアコンポーネントや互いの依存関係、ライセンスデータなどをリスト化したもの
※2 EUCC・・・IoT製品を対象とする欧州サイバーセキュリティ認証
※3 EN規格・・・欧州整合化規格

3.報告義務と罰則

デジタル製品の製造業者には、適合性評価の他にも多くの義務が課されます。特に報告義務は厳しく定められ、報告を怠った違反者には最高1,500万ユーロ(2023年11月の為替レートで約24億円)、または当該企業の全世界売上高の2.5%以内の罰則があります。

【報告義務】

  • 悪用された脆弱性を発見してから24時間以内に欧州連合サイバーセキュリティ機関(ENISA)に通知

  • インシデトを認識してから24時間以内にENISAに通知

  • インシデントの影響を緩和するための是正措置について遅滞なくユーザーに通知

  • OSSコンポーネントの脆弱性を特定した場合、それを維持する個人/団体に報告

日本への影響

サイバーレジリエンス法案が施行されると、日本にどのような影響があるのかを推測してみました。

EUとの直接取引がなくても?

前述の通りEUで流通するデジタル製品が対象のため、日本からEUへ輸出されるデジタル製品も対象となり、該当する日本の製造業者は対象となります。日本国内の流通や、EU以外の国への輸出のみを行う製造業者には一見無関係に見えますが、実はそうでもないかもしれません。例えば、デジタル製品の部品製造業者の場合は、国内で納品した部品が、最終的にEUへの輸出製品に組み込まれることも考えられます。そうなると、なんらかの対処を求められることもあるかもしれません。

今後、EU以外にも波及?

EUを含め諸外国へ輸出をする製造業者の場合、当初はEU向けの製品のみの対処でよいですが、同じくこの法律に則る諸外国が、いずれ自国のルールとして定めることも十分に考えられます。結果、ほとんどの取引が対象になるといった事態が起こるかもしれません。
もしくは日本自身が、世界的な経済大国としての責任を果たすため、同等のルールを定めることになるかもしれません。そうなると、日本のデジタル製品の製造業者はすべて対象となってしまいます。

まとめ

ここまでの推測では、サイバーレジリエンス法案はデジタル製品の製造業者への負担でしかない、と受け取られそうですが、もちろんプラスの面も考えられます。

例えば、サイバー攻撃により自社のデジタル製品の脆弱性が悪用され、多くの被害が発生すると、復旧・恒久対処のために多大な人的・金銭的コストが発生します。もちろん信用の失墜は避けられません。EUサイバーレジリエンス法案をきっかけとして、デジタル製品のサイバーセキュリティレベルが引き上げられると、サイバー攻撃を未然に防いだり、被害に遭った際の影響範囲を縮小するなどの効果が期待できます。

サイバー攻撃は今後も世界中で増え続けるだろう、と考えると、今以上のセキュリティレベルが求められるのは当然のことかもしれません。製造業者は、自社のデジタル製品におけるセキュリティ対策が十分であるかを今一度見直し、未来に向けて対応を講じる時期に来ているのではないでしょうか。

出典:EUサイバーレジリエンス法(草案概要)(経済産業省)https://www.meti.go.jp/policy/netsecurity/netsecurity/CRAdraft.pdf


CEC SOC マネージドセキュリティサービス|マルチベンダー対応可能[Cyber NEXT] (cec-ltd.co.jp)
CEC SOC(Security Operation Center)は「初動対処」「恒久支援」フェーズに対応するセキュリティ運用サービスを提供します。24時間365日体制で監視、異常と判断した際は即座に通報します。調査では必要に応じて周辺装置のログ確認を行い、同一原因による再感染防止の支援を実施します。