EUサイバーレジリエンス法(EU Cyber Resilience Act)とは
EUサイバーレジリエンス法(EU Cyber Resilience Act)とは、世界的なサイバー攻撃の増加に対抗するため、EU域内で流通するデジタル製品に対して国境を超えたサイバーセキュリティの対策を義務化する法案です。現在流通しているデジタル製品の約60%にサイバー攻撃に対する脆弱性が含まれると言われており、2025年後半に向けて策定の審議が急ピッチで行われているのが現状です。
EUサイバーレジリエンス法にて義務化される内容の一部
- EU域内で流通するデジタル製品において、少なくとも5年間はサイバー攻撃に対する脆弱性への責任を持つこと
- デジタル製品のセキュリティに関して体系的に文書化すること
- デジタル製品において、脆弱性の発見やインシデントが発生した場合にENISAへ通知すること
EUサイバーレジリエンス法が成立すれば、EU製品に関わる世界中の多くの企業は要件を満たすような対策が必要となります。日本国内の企業も例外ではありません。さらに、義務化にあたり罰則もあるため、各企業は的確かつ早急な対応が求められます。
2025年の最終案では、内容が多少変更になる可能性があります。
EUサイバーレジリエンス法の対象製品
デジタル要素を備えた
全ての製品が対象( デバイスやネットワークに
直接的/間接的に接続されるものも含む)
-
医療機器規則、体外診断用医療機器規則、民間航空機規則、自動車の型式承認規則の対象製品は除外
-
国家安全保障に関するデジタル製品や軍事目的、機密情報処理目的のものは除外
-
SaaSなどのソフトウェアサービスや研究開発目的のOSSなども除外
対象製品の分類と求められる適合レベル
デジタル要素を備えたすべての製品において、EUサイバーレジリエンス法は適用されますが、さらに重要度別に3つに分けられます。分類によって適合性評価レベルが異なります。例えば重要なデジタル製品でないものは、社内で適合性テストなどを行うといった自己適合宣言も可能ですが、重要なデジタル製品に該当するものは、第三者による認証が必要になります。
すべてのデジタル要素を含む製品
| 重要なデジタル製品以外 | 重要なデジタル製品 クラスⅠ(低リスク) |
重要なデジタル製品 クラスⅡ(高リスク) |
|---|---|---|
|
該当製品例
|
該当製品例
|
該当製品例
|
|
適合性評価のレベル 自己適合宣言 |
適合性評価のレベル EUCCやEN規格の対象外は |
適合性評価のレベル 第三者認証 |
EUサイバーレジリエンス法の対象事業者
EU向けの商品を作っている
販売、製造に携わる
全ての人に適用されます!
EUサイバーレジリエンス法が適用される対象の事業者は、EU圏内でデジタル製品を輸入・製造・販売する事業者だけではありません。EU圏外の事業者であっても、EU圏で販売・製造される製品に携わる製造者であれば対象となります。日本国内の製造者もEU向けに輸出を行う場合には、対象事業者に該当します。
各企業様が対応すべき内容例
EUサイバーレジリエンス法への適合にともなって、各企業でさまざまな取り組みや対策が必要になり、対策を進めるうえで課題も多く出てくることが予想されます。2025年後半に向けて審議を重ねる中で、現行案と変更になる可能性もあるため以下はあくまでも一例ですが、EUサイバーレジリエンス法成立までにある程度全体像のイメージを持っておいていただければと思います。
- 1対応製品の見極め
自社製品やサービスがEUサイバーレジリエンス法の適用対象なのか、どの分類に該当するのかの見極め
- 2適合性の証明
必要文書の作成に関して漏れなく効率的に行うための事前準備
- 3セキュリティ
要件への適合脆弱性がないことの確認、SBOM管理などへの取り組み
- 4ENISAへの報告
脆弱性を発見またはインシデントが発生した場合は発見された際の24時間以内にEU当局への報告を実現するためのSIRT組織構築
実施すべき内容の
検討及び支援
(アセスメント)
対策に際しては、自社で扱う特定の製品を別規格で製造するのか、すべての製品をEUサイバーレジリエンス法に合わせた同一規格で製造するのかという選択も必要になるでしょう。
このように決定するべきことが多い点や、EU当局とコミュニケーションをとりながら進める必要がある点があることからも、EUサイバーレジリエンス法への対応は後手に回りやすいかもしれません。
早めから意識を高めておくことで、法案成立後にも業務への影響を最小限に抑えたスムーズな対応ができるのではないでしょうか。
当社支援例
サイバーレジリエンス法の成立に向けて、各企業はさまざまな対応が必要となります。
富士ソフトでは、サイバーレジリエンス法への適応に必要な支援サービスを提供しています。富士ソフトがどのようなサポートができるのか、具体例をいくつか紹介します。
-
1脆弱性診断
プラットフォームの解析結果やOS・ミドルウェアのバージョン情報などを分析し、既知の脆弱性を発見するほか、通信パケットの監視による、不審な外部通信が行われていないことの確認や、機器に対してのファジングテストを通じて、停止することなく稼働し続けることの確認を行うなど、診断対象のインタフェースや特性に応じて最適な脆弱性診断を実施します。詳しくはIoT脆弱性診断をご覧ください。
<診断内容例>
既知脆弱性診断の診断(CVE調査)、バイナリ解析、ネットワークキャプチャ
ネットワークスキャン、ファームウェア解析、ファジングテスト※ファジングテストツール(Raven for Fuzzing)
-
2SIRT構築支援
富士ソフトでは、加速するサイバー攻撃に対抗するための、社内セキュリティチーム(CSIRT)の構築・運用を支援するサービスも提供しています。詳しくはCSIRT構築・運用支援サービスをご覧ください。
今後対応予定例
-
SBOM作成・監視支援
サイバーレジリエンス法では、製造業者に対してSBOMの作成が義務付けられています。
SBOMとはソフトウェア部品表(Software Bill of Materials)の略称であり、サイバー攻撃への有効な管理手法の一つとして注目されています。
SBOMを作成することにより、OSSのコンポーネント情報を正確に把握し、見つかった脆弱性に対して効率的に対処することが可能となります。
富士ソフトでは現在、SBOMの作成および作成したSBOMをもとにした脆弱性監視を支援する体制を構築中です。