【受付中】まったなし！EU CRA向けセキュリティ対策　組み込み製品におけるセキュリティ対応の進め方を徹底解説

2024年12月、欧州サイバーレジリエンス法（以下CRA）が公布されました。
CRAは欧州市場に組み込み製品を上市する製造業者にサイバーセキュリティ要件への対応を迫る法規です。
対象になる製品は「デジタル要素を備えた製品」となっています。
製品としてハードウェア・ソフトウェアの区別はなく、ネットワークへの直接的・間接的に接続されるものも含みます。
つまり、ハードウェア・ソフトウェア単体の製品はもとより、これらを組み合わせて作られたシステムも対象になり、幅広い製品が含まれることを意味しています。
CRAが求めるサイバーセキュリティ要件に対応できていないと判断されると欧州市場から締め出されるうえ、最大で1万5千€または当該製品の世界総売上高2.5%という金銭的な罰則もあります。

CRAが製造業者に求めるサイバーセキュリティ要件には「脆弱性やインシデントの報告に関するもの、脆弱性に対処する仕組みに関するもの」や 「製品自体に実装するサイバーセキュリティ対策に関するもの」があり、それぞれ2026年9月、2027年12月に施行を迎えます。
一般的に製造者は、製品が法規に適合していることを示すため、法規に対応づく整合規格に準じていることを示します。
CRAに対応する整合規格は2026年6月頃に公開されると言われていますが、CRAの公布が遅れたことから、予定通り公開されるかは分かりません。
しかし施行は14ヶ月後・29ヶ月後に迫っており、期間がひっ迫する可能性があります。
CRA対応に要する期間は、製品の数や複雑さ、社内プロセス変更の難しさなどに依存しますが、2、3年を要すると報告する認定機関もあることから注意が必要です。

製造業者は、CRAが求めるセキュリティ要件がどのようなものであるか、要件に対応するためにはどのような作業が必要か明確にしたうえで、 現状の体制や運用、開発者のスキルで対応できるかを考える必要があり、対応できない場合はどう対処するかを決めなければなりません。
特に「製品に対してサイバーセキュリティのリスクアセスメント（以下、脅威分析）を実施する」「その結果を設計・開発・製造・配送および保守に活かす」ことを求める要件があり、この点がサイバーセキュリティ対応の経験が十分でない製造業者には難しいものとなっています。

本セミナーでは、CRAの概要をご説明するとともに、CRA対応の全体像や想定されるスケジュール、脅威分析の進め方等について解説いたします。
また、組み込み製品のセキュリティ関連規格等に関する試験・診断・評価に実績のあるセキュアイノベーション様に、セキュリティ評価から見えてきた対策等について解説していただきます。

[申し込み時のご注意]
※当セミナーは、Zoomを利用します。お申し込みいただいたお客様へ、後日、開催URLをご連絡いたします。
　以下の事項にご協力いただける方のみ、お申し込みください。
・Zoomアカウントのご用意（有償/無償不問）
・GoogleChrome最新版のご用意
※当セミナーのお申し込みについては、以下のボタンを押して、外部リンク先でご確認ください。

※この記事に掲載されている内容、および製品仕様、所属情報（会社名・部署名）は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。

• このセミナー・イベントへの
  お申し込みはこちら