EUサイバーレジリエンス法(CRA)適応のタイムライン

本年2024年11月20日に、EUサイバーレジリエンス法(以下、CRA)は欧州官報（OJEU）へ掲載され効力が発効されました。*1
無線機器指令(以下、RED)の整合規格も欧州官報（OJEU）へ掲載されました。*2
これによりCRAへの適応のタイムラインの大枠が定まり、各製造業企業の方々にとっては時間的制約と取り組み施策の精査がより具体化していくと推察しています。
ここでは、改めて欧州への輸出の課題であるCRAを始め主要な法規制のタイムラインを示します。

図１　欧州法規制タイムライン

前述のタイムラインが示している通り、適応対象製品の開発・生産・輸出を踏まえて逆算すると、適応するための取り組みに対する時間的猶予は厳しい状況だといえます。
特に、CRAを見据えた製品製造事業者でREDにも該当する製品を製造している場合は、より厳しいタイムラインといえます。
取り組み順序としても、製品へのセキュリティ要件に関する内容が色濃いREDから始まることも、取り組み計画を複雑にしている要因であると感じます。

製品製造事業者の懸念と取り組み

製品製造事業者にとっては、HW改修が必要なのかどうか、脆弱性報告義務における時間的制約をクリアできるのかと、製品開発から企業としての仕組み作りまで幅広く懸念点は存在すると思います。
まずは、取り組み全体像の把握、社内ステークホルダーの整理、既存セキュア開発プロセスの把握、対象製品の精査、など計画と判断が急務となります。
セキュア開発プロセスは、参考とすべき標準化*3が存在するため着実に進捗できるため、比較的容易ではないかと推察します。
ただし、セキュリティ機能要件に関しては、導入候補となるセキュア機能内容と導入に関する計画化の把握がしづらいものがあります。

製品セキュリティ要件に関する具体例

例えば、PKI(Public key infrastructure ：公開鍵基盤)の必要性を検討する場合、どのような手数と時間がかかるのかを参考情報として記載します。
整合規格や標準化規格での製品セキュリティ要件の1つとして記載のある認証に関する技術領域であり、標準的な通信プロトコルへも組み込まれている技術です。
利用用途としては、自社製品同士の機器認証、他社製品同士の相互運用における機器認証などがあります。
ただし、PKIそのものへの理解、製造している製品が置かれる想定環境を踏まえて認証が必要な認証境界の精査、導入における社内ステークホルダー整理、認証局選定など導入までに取り組むべき施策は多いといえます。
重要なことの1つは、製品ライフサイクルとビジネスモデルを通じた認証局運用に関しての基本設計を行うことです。
これらの一連の取り組みに必要な時間は半年程度かかると考えています。 

例えば、HWセキュリティの必要性を検討する場合、どのような手数と時間がかかるのかを参考情報として記載します。 

実装するセキュリティの選定方法については、以下のポイントを考慮すると良いと考えられています。

1. セキュリティ要件の定義: （1週間〜数週間）

   守りたいアセット（資産）やリスク、脅威を明確化し、どの程度のセキュリティが必要かを定義します。そのリスクや脅威に応じて、運用で対処するか、ソフトウェアでの対策を導入するか、HWセキュリティを導入するか、を決めます。
   必要な要件には、攻撃耐性、データの暗号化、認証方法なども含まれます。 

2. 用途の明確化:

   HWセキュリティ（ここではセキュアエレメントとします）の導入を決めたら、セキュアエレメントに求める機能を明確にします。用途（例：決済、認証、データ保護など）によって必要な性能や機能が異なります。 

3. 市場調査（数週間）:

   さまざまなセキュアエレメントのオプションを調査し、比較します。この段階では、複数の供給者から情報を集めることが重要です。

   
   調査項目例
   • 規格と認証
     ・セキュアエレメントが準拠している規格（例：CC（Common Criteria）、FIPSなど）や認証を確認します。これにより、信頼性やセキュリティレベルを評価できます。
   • 性能要件
     ・処理速度や消費電力、メモリ容量などの性能要件を考慮します。特に、リアルタイム性が求められる用途では重要です。
   • 互換性
     ・他のシステムやデバイスとの互換性を確認します。特に、既存のインフラとの統合が必要な場合は重要です。
   • 供給者の信頼性
     ・セキュアエレメントの供給者の信頼性やサポート体制を評価します。長期的なサポートが受けられるかも考慮に入れます。
   • コスト
     ・セキュリティインシデント発生時のリスクとコストを天秤にかけて選択します。高価な選択肢が必ずしも最適とは限りません。
4. 評価と比較（１ヶ月）:

   収集した情報を基に、候補を評価し、比較検討します。このプロセスには、技術的な評価とコスト分析が含まれます。 

5. 選定と決定（1週間）:

   最終的な選定を行い、関係者と合意を得ます。 

6. 導入計画（数週間）:

   選定したセキュアエレメントの導入計画を策定します。
   セキュアエレメントは一般的な半導体より製造リードタイムが長いといわれているため、十分余裕をもった期間設定が必要です。

セキュアエレメントの選定にかかる期間は、全体として、数週間から数ヶ月程度の期間がかかることが一般的です。ただし、特定の要件や状況によっては、さらに時間がかかる場合もあります。プロジェクトの進行状況に応じて、柔軟に対応することが重要です。

また、セキュアエレメントの選定や導入に関わるために必要な知識の習得も必要です。

• セキュリティ知識
  ・セキュリティの基本概念（暗号化、認証、アクセス制御など）
  ・セキュリティ標準や規格（例：CC、FIPSなど）に関する知識
• 技術的スキル
  ・ハードウェアおよびソフトウェアの理解
  ・セキュアエレメントのアーキテクチャやプロトコルに関する知識
  ・プログラミングスキル（特に、セキュリティ関連の開発やテストに役立つ）

これらのポイントを基に、具体的なセキュアエレメントを比較検討し、最適な選定を行うことが重要です。必要に応じて専門家の意見を求めることもおすすめします。

リスク評価プロセスの構築と重要性

ここまで手戻り発生観点でのいくつかの参考情報（気付き情報）を記載してきました。
記載意図としては設計への手戻り影響もありますが、リスク評価内容への影響も大きいことがあります。
CRA（セキュア開発プロセス運用）を見据えたリスク評価プロセスを構築することが重要だと考えています。
専門性が必要な領域での検討が不十分な場合、実際に設計・実装を進めていく際や第3者評価を行った際に、適切な説明が出来ない部分が存在してしまう可能性があるためです。また、今後は新製品だけではなく流通している製品に対しての適用も不十分になってしまいます。
非常に時間的猶予が厳しい状況ではありますが、製造事業者の皆様は準備も進められているかと思います。構築されたプロセスを振り返る意味も込めて、今後の参考となれば幸いです。

図２　リスク管理とプロセスの関係性抽象化図

■外部参照
*1…https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202402847
*2…https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32025D0138&qid=1738805602149
*3…IEC62443-4-1