欧州サイバーレジリエンス法への対応
欧州連合(EU)のサイバーレジリエンス法(CRA)は、デジタル要素を伴う製品のサイバーセキュリティを強化することを目的としており、製品のライフサイクル全体を通じてセキュリティを確保する義務をメーカーに課すものです。欧州医療機器規則など既存の規制を受けないコネクテッド製品を EU に販売するメーカー(OEM)には、CRA のコンプライアンスと証明書が義務付けられています。製品には、CRA の要求事項に適合していることを示す CE マーキング が適用されます。
DigiCert® Device Trust Manager は、デバイスの ID とセキュリティを管理する包括的なプラットフォームとなり、CRA の要件に準拠しようと意図する OEM を支援します。 DigiCert® TrustCore SDK と TrustEdge は、保管中および転送中のデータ暗号化など、CRA の要件に準拠する目的で開発者が使用できる主なデバイスセキュリティ機能を提供します。 DigiCert® Software Trust Manager の強力な脆弱性コードスキャンおよびソフトウェア機能によって、認証されたセキュアなソフトウェアがデバイスにデプロイされ、ソフトウェア部品表(SBOM)によって透明性が保証されます。
CRA の第 6 条では、デジタル要素を伴う製品の中核的なセキュリティ要件が定義されています。
デジタル要素を伴う製品は、以下の場合にのみ提供できるものとします。
(a)附属書 I のパート I に定めるサイバーセキュリティの必須要件を満たしていること。ただし、それらが適切に設置されたうえで維持され、意図された目的または合理的に予測可能な条件下で使用され、かつ、該当する場合、必要なセキュリティアップデートがインストールされていること。
(b)当該メーカーが実施するプロセスが、附属書 I のパート II に定められているサイバーセキュリティの必須要件に適合していること。
同法は、証明、報告書、情報開示、施行に関する要件も定めています。
CRA は規制 なので(指令ではなく)、発効後は EU の全加盟国に直接適用されます。CRA の目的は以下のとおりです。
EU 域内で販売されるデジタル製品のサイバーセキュリティを向上させること。
メーカーが製品のライフサイクルを通じてセキュリティに真剣に取り組むよう図ること。
企業に明確なルールを示し、市場の分断を減らすこと。
消費者がより多くの情報に基づいた意思決定を下せるよう図ること。
適用範囲
CRA の適用対象は、「デジタル要素を伴う製品」(PDE)です。以下のものが該当します。
ソフトウェア(アプリ、OS、ファームウェア)。
デジタルコンポーネントを備えたハードウェア(IoT デバイス、スマート家電)。
産業システムおよびコネクテッド製品。
EU で販売するメーカーのうち、 EU を拠点とするメーカーと EU 域外 で販売するメーカーのどちらにも適用されます。
コア要件
メーカーの義務は次のとおりです。
デフォルトでサイバーセキュリティ・バイ・デザインを確保する。
リスクアセスメントを実施する。
セキュリティアップデートとパッチを提供する。
脆弱性を報告する(ENISA や各国当局への報告も含む)。
サイバーセキュリティ対策を文書化する。
コンプライアンスと義務規定
製品は重要度に応じてクラス分けされています。
デフォルトのカテゴリ: 標準製品。
クラス I と II: 高リスクの製品(セキュリティが決定的なソフトウェア、インフラシステムなど)。
重要な製品については、(自己評価ではなく)第三者評価が必要な場合もあります。
タイムライン
サイバーレジリエンス法は 2024 年 12 月 10 日に施行されました。この法律によって導入される主な義務は、2027 年 12 月 11 日から適用されます。
ペナルティー
違反した場合、最高で以下の罰則が科せられます。
1500 万ユーロ、または
全世界の年間売上高の 2.5%(いずれか高いほう)。
DigiCert Device Trust ソリューションは CRA コンプライアンスをどうサポートするか
CRA は、脆弱性管理、セキュアなアップデート、透明性の高いセキュリティ情報に重点を置いて、コネクテッドデバイスに対する強力なセキュリティ対策を義務付けています。Device Trust ソリューションは、デバイスメーカーや OEM が CRA 附属書 I の 22 の要件のうち 17 項を部分的または完全に満たすことを可能にするうえで、きわめて重要な役割を果たすことができます。
通し番号 | 要件番号 | 要件の本文 | OEM によるコンプライアンスに対するデジサートの支援 |
|---|---|---|---|
1 | 附属書 I パート I - 1 | デジタル要素を伴う製品は、リスクに基づいて適切なレベルのサイバーセキュリティを確保するように設計、開発、製造されること。 | ✅TrustCore SDK および TrustEdge はセキュアな設計をサポートしており、OEM はデバイスソフトウェアに含まれる SDK コンポーネントを完全に制御できるため、デバイスの攻撃対象領域を減らすことができます。しかも、TPM、ソフトウェア、ハードウェアベースのセキュアエレメントのサポートによって鍵は常に保護されています。 |
2 | 附属書 I パート I - 2(a) | 製品は、悪用可能な既知の脆弱性がない状態で市場に提供されること。 | ✅Software Trust Manager は、CI/CD プロセスの一環として、デバイスソフトウェアの 自動ソフトウェア認証と脆弱性スキャンを提供します。また、プロセスの一環として SBOM を生成し、デバイスで使用されているソフトウェアの透明性を示すこともできます。 ✅TrustCore SDK と TrustEdge の各コミットおよびリリースは、ソフトウェアの脆弱性を自動的にスキャンされます。 |
3 | 附属書 I パート I - 2(b) | 製品は、デジタル要素を含むオーダーメイド製品に関してメーカーとビジネスユーザーとの間で別段の合意がない限り、デフォルトで安全な状態で市場に提供されるものとし、これには製品を元の状態にリセットする可能性も含まれる。 | ✅TrustCore SDK はモジュール式なので、OEM は必要な機能のみをコンパイルでき、攻撃対象領域を減らすことができます。 ✅デフォルトでは、オープンなポートを無効化あるいはファイアウォール処理しなくて済むように、TrustEdge はオープンなインバウンド TCP/UDP サービスポートなしで出荷されます。 ✅TrustCore SDK と TrustEdge はどちらも、TPM、セキュアエレメント、PUF(Physical Unclonable Functions)を使った秘密鍵の保護をサポートしています。 ✅TrustCore SDK と TrustEdge はどちらも、TLS 1.3 とセキュア MQTT を使用した転送中のデバイスデータの暗号化と、AES、ML-DSA、または SLH-DSA を使用した静止中のデータの暗号化をサポートしています。 ✅TrustCore SDK と TrustEdge はどちらも耐量子コンピュータ暗号(PQC)に対応しており、ML-KEM、ML-DSA、SLH-DSA をサポートし、差し迫る量子の脅威からデバイスを保護します。 |
4 | 附属書 I パート I - 2(c) | 脆弱性がセキュリティアップデートによって対処できるよう保証すること。該当する場合、これにはデフォルトで有効な、適切な期間内にインストールされる自動セキュリティアップデート、明確で使いやすいオプトアウトの仕組み、利用可能なアップデートのユーザーへの通知、一時的に延期するオプションなどが含まれる。 | ✅Device Trust Manager と TrustEdge を使用すると、MQTT を介したバイナリのセキュアな OTA アップデートと、構成ファイルのアップデートが可能になります。アップデートは、ユーザーへの通知、オプトアウトのサポート、アップデートの延期などの機能をパッケージ化できます。 ✅Software Trust Manager は、デバイスにインストールされたソフトウェアコンポーネントを表す SBOM をモニターし、オープンソースのソフトウェアパッケージなどの依存関係に新しい CVE が発見されると、開発チームに通知します。 |
5 | 附属書 I パート I - 2(d) | 認証、ID、アクセス管理システムを含む(ただしこれらに限定されない)適切な制御メカニズムによって不正アクセスを確実に防ぎ、不正アクセスの可能性について報告する。 | ✅Device Trust Manager は、なりすましを回避するために、証明書によって裏付けされた強固な ID を各デバイスに保証する、セキュアなクレデンシャルプロビジョニングポリシーを提供します。証明書発行、OTA アップデート、ポリシーへのデバイスアクセスは、デバイスの証明書支援 ID、デバイスグループのメンバーシップ、デバイスグループへのポリシーの割り当てを通じて厳密に制御されます。 ✅Device Trust Manager のユーザーと API アクセスは、ロールベースのアクセス制御、API キー、二要素認証、クライアント証明書認証、および一般的な IDP のサポートを組み合わせることで、最小特権で厳密に制御されます。 |
6 | 附属書 I パート I - 2(e) | 保存、送信、その他の方法で処理される個人データやその他のデータの機密性を保持する。これには、最先端のメカニズムを用いて保存中または転送中の関連データを暗号化することや、その他の技術的手段を使用することが含まれる。 | ✅デフォルトでは、Device Trust Manager は、TLS 1.3 暗号化を介してデバイスとのセキュアな MQTT 通信をサポートします。 ✅TrustCore SDK と TrustEdge はどちらも、TLS 1.3 とセキュア MQTT を使用した転送中のデバイスデータの暗号化と、AES、ML-DSA、または SLH-DSA を使用した静止中のデータの暗号化をサポートしています。 |
7 | 附属書 I パート I - 2(f) | 保存、送信、その他の方法で処理されるデータ、個人その他のデータ、コマンド、プログラム、および設定の完全性を、ユーザーによって許可されていない操作や変更から保護し、破損について報告する。 | ✅デフォルトでは、Device Trust Manager は、TLS 1.3 暗号化を介してデバイスとのセキュアな MQTT 通信をサポートします。デバイスへの署名付きアップデートのデプロイにも対応します。 ✅TrustCore SDK と TrustEdge はどちらも、TLS 1.3 とセキュア MQTT を使用した転送中のデバイスデータの暗号化と、AES、ML-DSA、または SLH-DSA を使用した静止中のデータの暗号化をサポートしています。 |
8 | 附属書 I パート I - 2(g) | デジタル要素を伴う製品の意図された目的に関連して、適切で関連性があり、必要なものに限定された個人その他のデータのみを処理する(データの最小化)。 | ✅デフォルトでは、TrustEdge はデバイスから Device Trust Manager に個人データを送信せず、Device Trust Manager はデバイスから個人データを受信または保存しません。デバイスのセキュリティとアップデートを管理するために、TrustEdge から Device Trust Manager に送信されるのは、オペレーティングシステム、バージョン、MAC アドレスなどデバイスのメタデータのみです。 |
9 | 附属書 I パート I - 2(h) | インシデント発生後も、サービス拒否攻撃に対する回復力と緩和策など、必要不可欠で基本的な機能の可用性を保護する。 | ✅Device Trust Manager で、管理者はインシデントの調査中にデバイスを一時的に無効化できます。デバイスと Device Trust Manager、統合型クラウドプラットフォームとの間で通信が即座に切断されます。また、デバイスが危殆化した場合には、デバイスの証明書は完全に失効します。 |
10 | 附属書 I パート I - 2(i) | 他のデバイスやネットワークが提供するサービスの可用性に対する、製品自身またはコネクテッドデバイスによる悪影響を最小限に抑える。 | ✅Device Trust Manager で、管理者はインシデントの調査中にデバイスを一時的に無効化できます。デバイスと Device Trust Manager、統合型クラウドプラットフォームとの間の通信が即座に切断されます。また、デバイスが危殆化した場合には、デバイスの証明書は完全に失効します。 |
11 | 附属書 I パート I - 2(j) | 外部インターフェースを含む攻撃面を制限するように設計、開発、製造されること。 | ✅TrustCore SDK はモジュール式なので、OEM は必要な機能のみをコンパイルでき、攻撃サービスを減らすことができます。 ✅デフォルトでは、オープンなポートを無効化あるいはファイアウォール処理しなくて済むように、TrustEdge はオープンなインバウンド TCP/UDP サービスポートなしで出荷されます。 |
12 | 附属書 I パート I - 2(k) | 悪用を緩和する適切なメカニズムと技術を用いて、インシデントの影響を軽減するように設計、開発、製造されること。 | ✅Device Trust Manager で、管理者はインシデントの調査中にデバイスを一時的に無効化できます。デバイスと Device Trust Manager、統合型クラウドプラットフォームとの間の通信が即座に切断されます。また、デバイスが危殆化した場合には、デバイスの証明書は完全に失効します。 |
13 | 附属書 I パート I - 2(l) | データ、サービス、機能へのアクセスや変更など、関連する内部活動を記録および監視して、セキュリティ関連情報を提供する。ユーザーに対してオプトアウトの仕組みも用意する。 | [デジサートから近日公開の予定] |
14 | 附属書 I パート I - 2(m) | ユーザーがあらゆるデータや設定を安全かつたやすく完全に削除できる可能性を提供し、そのようなデータを他の製品やシステムに転送できる場合は、安全な手段で転送できるよう図る。 | ✅TrustCore SDK と TrustEdge はどちらも、TLS 1.3 とセキュア MQTT を使用した転送中のデバイスデータの暗号化と、AES、ML-DSA、または SLH-DSA を使用した静止中のデータの暗号化をサポートしています。また OEM は、TrustCore SDK と TrustEdge を使用して、静止中のデータを復号化し、TLS 1.3 を介してデータを別のデバイスに安全に転送できます。 |
15 | 附属書 I パート II - 1 | デジタル要素を伴う製品に含まれる脆弱性とコンポーネントを特定して文書化する。これには、少なくとも製品のトップレベルの依存関係を網羅した、一般的に使用され機械で読み取り可能な形式のソフトウェア部品表を作成することも含まれる。 | ✅Software Trust Manager は、CI/CD プロセスの一環として、デバイスソフトウェアの 自動ソフトウェア認証と脆弱性スキャンを提供します。また、プロセスの一環として SBOM を生成し、デバイスで使用されているソフトウェアの透明性を示すこともできます。 |
16 | 附属書 I パート II - 2 | デジタル要素を伴う製品に生じるリスクに関して、セキュリティアップデートを提供するなどして、遅滞なく脆弱性に対応し、それを是正する。技術的に可能な場合、新しいセキュリティアップデートは、機能のアップデートとは別に提供すること。 | ✅TrustEdge を使用する Device Trust Manager では、MQTT を介したバイナリおよび構成ファイルのセキュアな OTA アップデートが可能です。機能アップデートの場合もセキュリティ修正の場合もあります。アップデートは、大規模なデバイスグループにも迅速にデプロイできます。デバイスには、アップデートがただちに通知されます。 |
17 | 附属書 I パート II - 3 | デジタル要素を伴う製品のセキュリティについて、効果的かつ定期的なテストとレビューを実施する。 | ❌ この要件の対象はメーカーです。 |
18 | 附属書 I パート II - 4 | セキュリティアップデートが利用可能になったら、修正された脆弱性に関する情報を共有し、公開する。これには、脆弱性の説明、デジタル要素に影響を受ける製品をユーザーが特定するための情報、脆弱性の影響、その深刻度、およびユーザーが脆弱性を修正するための明確でアクセス可能な情報が含まれる。正当な理由があり、公開によるセキュリティリスクがセキュリティ上の利益を上回るとメーカーが判断した場合は、ユーザーが関連するパッチを適用する機会が与えられるまで、修正された脆弱性に関する情報の公開を延期することができる。 | ❌ この要件の対象はメーカーです。 |
19 | 附属書 I パート II - 5 | 協調的な脆弱性開示に関するポリシーを導入し、実施する。 | ❌ この要件の対象はメーカーです。 |
20 | 附属書 I パート II - 6 | デジタル要素を伴う製品の場合、および当該製品に含まれる第三者のコンポーネントに関して潜在的な脆弱性に関する情報の共有を促すための措置を講じること。なお、デジタル要素を伴う製品の場合には、当該製品で発見された脆弱性を報告する連絡先を提供することも含まれる。 | ❌ この要件の対象はメーカーです。 |
21 | 附属書 I パート II - 7 | デジタル要素を伴う製品のアップデートを安全に配布して、脆弱性が適切なタイミングで、またセキュリティアップデートに該当する場合は自動的な方法で、修正または緩和されるようにするメカニズムを提供する。 | ✅TrustEdge を使用する Device Trust Manager では、MQTT を介したバイナリおよび構成ファイルのセキュアな OTA(Over-The-Air)アップデートが可能です。機能アップデートの場合もセキュリティ修正の場合もあります。アップデートは、大規模なデバイスグループに迅速にデプロイできます。接続されると、デバイスにはアップデートがただちに通知されます。 |
22 | 附属書 I パート II - 8 | 特定されたセキュリティ問題に対処するためのセキュリティアップデートが利用可能な場合には、遅滞なく、かつデジタル要素を含むオーダーメイド製品に関してメーカーとビジネスユーザーとの間で別段の合意がない限り無料で配布され、ユーザーが取るべき潜在的な措置を含む関連情報を提供する勧告メッセージを必ず添付する。 | ✅Device Trust Manager では、MQTT を介したバイナリおよび構成ファイルのセキュアな OTA アップデートが可能です。機能アップデートの場合もセキュリティ修正の場合もあります。アップデートは、大規模なデバイスグループに迅速にデプロイできます。接続されると、デバイスにはアップデートがただちに通知されます。 |
関連リンク
CRA コンプライアンスに関してお勧めの関連情報は次のとおりです。