機械製造業者にとってのサイバーセキュリティの重要性
本記事では、EUの新機械規制2023/1230とCRAの関係性や、サイバーセキュリティ要件の主なポイントについて解説します。CRAのサイバーセキュリティ義務を遵守することは、規則(EU)2023/1230の要件を満たすことにもつながります。これは、EU史上初めて、ハードウェアおよびソフトウェア製品のライフサイクル全体にわたってサイバーセキュリティの必須要件を課す法律です。
規則(EU)2023/1230について
2023年6月29日、欧州議会と欧州連合理事会は、既存の機械指令2006/42/ECに代わる機械規則(EU)2023/1230を発表しました。この最新の規則は、指令2006/42/ECが当初対象としていた製品範囲と適合性評価手順を改訂しています。規則(EU)2023/1230の範囲に該当する製品は、付属書IIIのセクション1.1.9および1.2.1に規定されたサイバーセキュリティ要件を満たす必要があります。この規則は、2023年7月19日に発効し、2027年1月14日までに全面施行される予定です。
CRAと規則(EU)2023/1230の関係性について
さらに、欧州連合(EU)は、サイバーレジリエンス法(CRA)として知られる新しいサイバーセキュリティ規則を導入しました。この法律は、ソフトウェアからモノのインターネット(IoT)デバイス、機械設備に至るまで、デジタル化されたほぼすべてのエンティティにセキュリティ基準を定めているという点で重要です。CRAは、「デジタル要素を持つ製品」を対象とすることで、規則(EU)2023/1230の範囲内の製品に対するサイバーセキュリティ要件を拡大しています。これは、チップ、ソフトウェア、デバイス、アプリケーションなどのコンポーネントを含む機械が影響を受けることを意味します。CRAのサイバーセキュリティ義務を遵守することは、規則(EU)2023/1230の要件を満たすことにもつながります。
これは、EU史上初めて、ハードウェアおよびソフトウェア製品のライフサイクル全体にわたってサイバーセキュリティの必須要件を課す法律です。特筆すべき点は、この法律は、製品、特にCEラベルが貼付された製品が、基本的なサイバーセキュリティ基準を満たし、少なくとも5年間のセキュリティサポートが受けられることが保証され、長期にわたり安心して使用できるようになった点です。
この法律の主な内容:
- サイバーセキュリティに重点を置き、デジタル要素を持つ製品を市場に投入する際のルールを定めています。
- これらの製品の設計、開発、製造に関する基本的な要件を定義し、事業者がこれらの要件を満たす責任について概説しています。
- 製造業者が製品ライフサイクル全体を通して脆弱性をどのように管理すべきかについて、事業者の責任を含み、基本的なガイドラインを策定しています。
- 上記の規則と要件の市場監視と執行のための措置が記されています。
EUサイバーレジリエンス法の現状
2023年11月30日、欧州議会と欧州理事会は、2022年9月に欧州委員会が当初提案したサイバーレジリエンス法(CRA)について政治的合意に至りました。その後、2024年3月12日、欧州議会は、EU内のすべてのデジタル製品をサイバー脅威から保護することを目的とした新しい基準を承認しました。ただし、この合意はまだ最終的なものではなく、欧州議会と欧州理事会の双方から正式な承認を得る必要があります。
承認されれば、産業界はこれらの新しい規則に適応するために36カ月の猶予が与えられます。一方、報告義務はそれよりも早く、法律が可決されてからわずか21カ月後に発効となります。CRAは2024年第2四半期までに可決される見込みです。つまり、新しい要件は2027年4月~6月の間に適用開始となり、インシデントおよび脆弱性の報告義務は2026年1月~4月の間に発効ということになります。
新しいサイバーセキュリティ要件の主なポイント
CRAは、EU市場におけるハードウェアおよびソフトウェア製品の製造業者、輸入業者、販売業者に影響がおよびます。製造業者は、次のことを行う必要があります。
- 計画・設計から開発、生産、納品、メンテナンスまでのあらゆる段階でサイバーセキュリティを組み込む。
- すべてのサイバーセキュリティリスクを文書化する。
- 悪用された脆弱性やインシデントを積極的に報告する。
- 製品寿命または5年のいずれか短い期間、脆弱性を効果的に管理する。
- デジタル要素を持つ製品の使用方法について、明確で分かりやすい説明書を提供する。
- セキュリティアップデートを少なくとも5年間提供する。
表1.デジタル要素を持つ製品の特性に関するセキュリティ要件
| カテゴリー | 説明 |
| 脆弱性の軽減 | 製品は、市場にリリースされる前に、既知の悪用可能な脆弱性がない状態であること。 |
| セキュリティ・バイ・デフォルト | カスタマイズされた製品の場合、ビジネスユーザーと別途合意した場合を除き、製品は安全なデフォルト設定で提供され、元の状態にリセットするオプションが含まれていること。 |
| 脆弱性の修復 | 脆弱性は、適切な期間内にデフォルトで有効化される自動アップデートを含んだ、セキュリティアップデートを通じて対処する必要があり、明確なオプトアウトメカニズムとユーザー通知機能を備えていること。 |
| 不正アクセスの保護 | 認証やID管理などの適切な制御メカニズムを通じて、不正アクセスから保護し、不正アクセスの可能性を報告すること。 |
| 機密性の保護 | 保存中、送信中、または処理中のデータを、最新のメカニズムを用いて暗号化し、機密性を確保すること。 |
| 完全性の保護 | 保存中、送信中、または処理中のデータの完全性を、不正な操作または変更から保護し、破損があれば、報告すること。 |
| データの最小化 | 製品の本来の目的に関連して、必要かつ関連性のあるデータのみを処理すること。 |
| 可用性の保護 | サービス拒否攻撃に対する回復力(レジリエンス)と軽減策を通じて、インシデント発生後であっても、必須機能の可用性を維持すること。 |
| 悪影響の最小化 | 他のデバイスやネットワークが提供するサービスの可用性に対するインシデントの影響を最小限に抑えること。 |
| 攻撃対象領域の縮小 | 外部インターフェースを含み、攻撃対象領域を制限するように製品の設計、開発、製造を行うこと。 |
| インシデントの影響軽減 | 適切な悪用軽減メカニズムと技術を用いて、インシデントの影響を軽減すること。 |
| セキュリティ情報の提供 | 内部活動を記録および監視し、ユーザーにはオプトアウトメカニズムを提供することにより、セキュリティ関連情報を提供すること。 |
| セキュアなデータ削除 | ユーザーがすべてのデータと設定内容をセキュアかつ簡単に永久に削除できるようにし、該当する場合は他の製品またはシステムへのセキュアなデータ転送を確保すること。 |
| 出典:欧州議会 | |
表2.脆弱性処理の要件
| カテゴリー | 説明 |
| 脆弱性とコンポーネントの特定 | デジタル製品の脆弱性とコンポーネントを特定し、文書化すること。これには、少なくともトップレベルの依存関係を網羅したソフトウェア部品表(SBOM)の作成が含まれる。 |
| 脆弱性の修復 | 特にデジタル製品にリスクをもたらす脆弱性については、技術的に可能な場合は常に、機能更新とは別にセキュリティアップデートを提供することで、迅速に対処し修正すること。 |
| 効果的で定期的なテストの実施 | デジタル製品のセキュリティを定期的にテストして見直し、効果の最適化を図ること。 |
| 修正済み脆弱性に関する情報の公開 | 修正済み脆弱性に関して、その説明、影響を受ける製品、影響度、深刻度、および修正に関する指針などの情報を公開すること。公開のリスクが利益を上回る正当な理由がある場合に限り、ユーザーがパッチを適用する機会を得るまで開示を遅らせることができる。 |
| 脆弱性の開示 | 調整された脆弱性開示に関するポリシーを策定し、実施すること。脆弱性が発見された際に報告を行うための連絡先アドレスを提供すること。 |
| 潜在的な脆弱性に関する情報共有 | 脆弱性報告のための連絡先アドレスを提供するなど、デジタル製品およびサードパーティコンポーネントにおける潜在的な脆弱性に関する情報共有を促進すること。 |
| 製品のアップデートのセキュアな配信 | 該当する場合には、セキュリティアップデートに関しては自動配信を行うなど、脆弱性を修正または軽減するために、デジタル製品のアップデートをタイムリーにセキュアに配信するメカニズムを実装すること。 |
| セキュリティパッチやアップデートの無償配信 | オーダーメード製品について別途合意した場合を除き、特定された問題に対処するためのセキュリティアップデートは、迅速かつ無償で配信すること。推奨される措置を含む、関連情報のアドバイザリメッセージをユーザーに提供すること。 |
| 出典:欧州議会 | |
輸入業者(EU域内でEU域外の事業者の名称または商標で製品を販売する事業者)および販売業者(EU市場で製品の性能を変更せずに提供する事業者)にも責任があります。彼らは、EUの基準に適合していることを示すCEマークの適切な貼付を含め、製造業者がCRAを遵守しているかどうかを確認する必要があります。
コンプライアンス要件の対象となる製品の特定
製造業者は、自社の製品がEUのサイバーレジリエンス法の適用範囲に含まれるかどうかを判断し、適切に準拠する必要があります。この法律は、製品を3つのタイプに分類しており、準拠するためにはそれぞれ異なるアプローチが必要となります。
- クラスI 重要製品:これらは、第三者評価を受けるか、策定した基準を満たしていることを自己宣言する必要があります。
- クラスII 重要製品:第三者の評価が必要です。
- 極めて重要な製品:これらは、国家当局の監督下で第三者評価を受けます。
ただし、CRAはすべての製品に適用されるわけではありません。他のEU規制ですでに対象となっている特定の製品は免除されます。たとえば、次のようなものが該当します。
- EU 2017/745で規制されている医療機器
- EU 2017/746で規制されている体外診断用医療機器
- EU 2019/2144で規制されている道路交通安全製品
- EU 2018/1139で規制されている民間航空および航空輸送機器
- 指令2014/90/EUで対象となっている船舶用機器
また、国家安全保障または防衛目的のために特別に設計された製品、または機密情報を扱うことを目的とした製品は、CRAの対象外です。
表3.デジタル要素を持つ重要な製品と極めて重要な製品
| 製品カテゴリー | 重要な製品 | 極めて重要な製品 | |
| カテゴリー | クラスI | クラスII | 極めて重要 |
| 基準 | 以下の基準の少なくとも1つを満たすもの: ・このデジタル要素製品は、主に他の製品、ネットワーク、またはサービスにとって重要なサイバーセキュリティ機能を実行する。 ・このデジタル要素製品の機能は、多数の他の製品またはユーザーの健康と安全に直接的に影響をおよぼし、深刻なリスクをもたらす可能性がある。 |
・クラスII製品は、クラスI製品と比較して、その機能により、より大きなリスクをもたらし、その侵害はより深刻な影響をおよぼす。 | ・これらの製品は、関連指令に記載されているように、重要な事業体にとってインフラに不可欠な依存関係にある。 ・その重要性から、さまざまな形態の認証が必要であり、欧州サイバーセキュリティ認証制度に含まれている。 |
| 適合性評価 | ・適用規格を満たしていることの自己適合宣言または第三者評価による確認。 | ・第三者評価 | ・より高いレベルの欧州サイバーセキュリティ認証 |
TXOneの機械製造業者向けソリューションポートフォリオ
Element:機械の納品前セキュリティ検査
納品前に、機械製造業者は各機械に対して包括的なマルウェアスキャンを実施することが非常に重要です。このプロセスには、悪意のあるソフトウェアの検知と文書化が含まれます。さらに、Elementソリューションは、資産情報を収集してインベントリリストを作成できるため、IT/OTの可視性が高まり、シャドーIT/OTを排除することができます。この予防策により、機械が引き渡し時点で安全であり、意図したとおりに機能することが保証されます。
Stellar:事業継続のための包括的なマルウェア対策
Windowsオペレーティングシステムで動作するあらゆる規模のマシンの場合、エンドポイントマルウェア対策ソフトウェアを使用することが最も効果的な防御手法です。このソフトウェアは、通常次の2つのモードで動作します。
- 稼働環境での振る舞い異常検知:Stellarは、高度なアルゴリズムを利用して、システム稼働環境の異常な振る舞いをリアルタイムで検知します。この異常検知機能により、早期検知と迅速なアラートが可能になり、セキュリティが向上して、疑わしい活動の迅速な調査と軽減がスムーズに進められます。
- 保護モード:システムとその環境を積極的にスキャンして、脅威を検知し、軽減します。
- ロックダウンモード:信頼できるアプリケーションのホワイトリストを作成し、明示的に許可されていないソフトウェアは自動的にブロックします。このモードは、システム上で実行できるものを厳密に制御するためには必須で、悪意のある介入に対する防御を強化します。
Edge:セキュリティ侵害を防御するためのネットワークセキュリティの強化
ネットワーク・セキュリティ・アプライアンスは、特にリモート管理されている機械を保護する上で重要な役割を果たします。運用制御技術(OT)環境において、OT中心のファイアウォールを導入してネットワーク接続を保護することが不可欠です。さらに、侵入防御システム(IPS)は、悪意のあるデータパケットや不正なネットワークコマンドを事前にブロックするために実装します。これらのシステムは、適用する規模やアプローチが異なります。
- 組み込み型フォームファクター:小規模なIPSデバイスは、個々のマシンに直接統合できます。
- OTネットワークセグメンテーション:このソリューションは、各ゾーンに定義された適切なレベルに基づいて、論理的または物理的にセグメント化を効果的に実現するためのさまざまなセキュリティ機能を提供します。
- シグネチャベースの仮想パッチ:仮想パッチを使用することで、ネットワークは既知の脅威に対して強力かつ最新の第一線の防御線を確保できます。ユーザーはパッチ適用プロセスをより詳細に制御できるため、インシデント発生時の予防的な防御が可能になり、レガシーシステムの保護も強化されます。
- 大規模ソリューション:より大きなユニットは、複数のマシンを同時にネットワーク保護できるため、ネットワークセキュリティの課題に対するスケーラブルなソリューションを提供します。
まとめ
サイバーレジリエンス法(CRA)の施行は、セキュリティが将来のデジタルデバイス開発の中核となることを目的としています。つまり、製造業者が製品の開発方法を見直さなければならないことになります。これまでは、デバイスのエネルギー効率など、機能面に重点が置かれていたかもしれません。しかし今後は、最初からセキュリティを真剣に考慮しておく必要があります。
しかし、CRAは、製造業者、輸入業者、販売業者にとって、コンプライアンスコストと課題も大幅に増加させます。新たな要件や基準に適応し、インシデントや脆弱性を監視・報告する必要があり、コンプライアンス違反があった場合には制裁や責任を負う可能性があります。CRAの基本的なセキュリティ要件を満たしていない場合、違反の種類に応じて、500万~1500万ユーロ、または前会計年度の世界売上高の1~2.5%のいずれか高い方の罰金が科せられる可能性があります。罰金にとどまらず、当局はEU市場から製品を撤去するよう要求することもできます。
理想を言えば、製造業者は製品開発ライフサイクル全体を通してセキュリティを中心に据える必要があります。TXOneのOTネイティブソリューションは、脅威を特定し、デバイスがさらされている攻撃対象領域とリスクを削減し、これらの脅威を軽減する方法を提案します。また、企業とその産業資産の両方において、OTゼロトラスト防御アプローチを組み込むことを強くお奨めします。そうすることで、セキュリティ対策を効果的に強化することができます。
参考資料
- [1] 欧州議会および欧州連合理事会。「機械に関する規則(EU)2023/1230、および欧州議会および理事会の指令2006/42/ECならびに理事会指令73/361/EECの廃止」、欧州連合官報、2023年6月29日。
- [2] 欧州議会、「デジタル要素を含む製品に対する水平的なサイバーセキュリティ要件に関する欧州議会および理事会の規則案および規則(EU)2019/1020の改正に関する2024年3月12日の立法決議」、欧州議会、2024年3月12日。
- [3] Jon Clay、「EUレジリエンス法が製造業におよぼす影響」、トレンドマイクロ、2023年12月12日。
- [4] Justyna Ostrowska。『サイバーレジリエンス法案: 知っておくべきこと」、A&O Shearman、2024年1月4日。
- [5] Anu Laitila、Kristian Herland、「サイバーレジリエンス法 – EU全域でのサイバーセキュリティの強化」、Deloitte Finland。(n.d.).取得日 2024年5月3日。
