NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は、欧州市場向けにデジタル製品を製造、輸出する企業に対し、EUサイバーレジリエンス法(CRA)をはじめとした欧州のIoTセキュリティ法規への準拠を支援する「欧州IoTセキュリティ法規準拠支援サービス」の提供を開始した。
欧州のIoTセキュリティ法規
近年、IoT製品へのサイバー攻撃の事例が多数報告されており、欧州ではIoT製品を対象としたサイバーセキュリティ対策の法規制定や適用が進んでいる。
例えば、EUサイバーレジリエンス法や、EU機械規則、EU無線機器指令2022/30/EU、英PSTI法などが挙げられる。
EUサイバーレジリエンス法
EUサイバーレジリエンス法は、ヨーロッパ連合(EU)が提案した、2026~2027年にかけて適用が開始されるEUの法律だ。デジタル製品とサービスの消費者を守るため、サイバーセキュリティを強化することを目的としている。
そのために、EU内で提供されるすべての製品やサービスに対し、セキュリティ基準を満たすことを義務付けるものだ。
具体的には、ソフトウェアやIoTデバイスを含むデジタル製品の開発から廃棄に至るまでのライフサイクル全体において、セキュリティ要件を確立し、開発者や販売者は、製品のサイバーセキュリティリスクについて情報を提供する義務を負う。万が一製品の脆弱性を発見した場合は、修正プログラムを提供する責任があるというものだ。
対象者は、欧州市場向けにデジタル製品を製造、輸出する全ての企業で、EUサイバーレジリエンス法の適用が開始されると、違反時には罰則が課せられる。
EU機械規則
EU機械規則は、機械の安全性とサイバーセキュリティを強化し、IoTデバイスが物理的安全性だけでなくサイバーリスクにも対処することを義務付けている、2027年から適用が開始される法律だ。
機械製品についてAIやサイバーセキュリティに関係する要件を満たすことが求められている。
EU無線機器指令2022/30/EU
無線通信デバイスに対してサイバーセキュリティ要件を追加し、消費者保護を強化することを目的とした、2025年中にEUで適用が開始される予定の法律だ。
従来施行されている欧州無線機器指令2014/53/EUに対して、サイバーセキュリティに関する要件を補完している。
無線機器がインターネットに接続される場合、その機器が個人データの保護や詐欺防止などの要件を満たすことを求めている。
英PSTI法(Product Security and Telecommunication Infrastructure Act)
消費者向けIoTデバイスに対し、セキュリティの最低基準を導入し、製品設計・販売後サポートの透明性確保を目的に2024年4月から英国で適用が開始された法律。
具体的には、出荷時の共通パスワードの禁止、脆弱性情報の報告方法の提供、セキュリティサポート期間の明示などを求めている。
「欧州IoTセキュリティ法規準拠支援サービス」の概要
「欧州IoTセキュリティ法規準拠支援サービス」は、上記のような欧州IoTセキュリティ法規への準拠を支援するサービスだ。
これらの法規は、製品のライフサイクル全体でセキュリティに関する活動を導入することを求めている。
例えばEUサイバーレジリエンス法においては、要件定義から運用フェーズを通して、脅威分析やリスク評価といったリスク管理のほか、体制チェックや責任分担明確化といったサプライヤ管理への対応が必要となる。
そこで、「欧州IoTセキュリティ法規準拠支援サービス」では、NRIセキュアの専門家が、各法規が対象とする製品の製造工程ごとのセキュリティ対策状況を可視化し、規格への準拠に必要な対応策の提示やロードマップの策定、対策の実行などを支援する。
なお、このサービスは、以下の3つの内容から構成されている。
セキュリティ法規への準拠状況の可視化および対策の提示
欧州IoTセキュリティ法規の要件と企業の対策状況を照らし合わせ、企業のセキュリティ対策が欧州IoTセキュリティ法規に準拠しているかを分析し、準拠のために必要なセキュリティ対策を提示する。
セキュリティ対策のロードマップ策定支援
欧州IoTセキュリティ法規への準拠に必要な対策を実行するために、必要に応じて社内規程や運用体制、人員や設備、技術的対策などの整備を支援する。そのうえで、セキュリティ対策について優先度を定義し、企業に適した実効性のあるロードマップを策定する。
セキュリティ対策の実行支援
ロードマップで策定した施策の実行が完了するまでの一連の活動を支援する。
例えば、企業の要望や課題に応じた最適なセキュリティソリューションの提案や、セキュア開発プロセスの整備、PSIRT構築、サプライヤ管理、継続的なセキュリティ監視体制のアドバイザリなどが含まれている。
無料メルマガ会員に登録しませんか?
IoTに関する様々な情報を取材し、皆様にお届けいたします。