サイト内検索
半導体事業メニュー
半導体事業
HOME
マクニカの
製品・サービス
技術情報
導入事例
イベント・
セミナー
取扱メーカー
サポート

条件を指定して絞り込む

現在2117件がヒットしています。check

新着記事
基礎
設計
製品ピックアップ
CRA対策は“どこから始めればいい?” ~設計・脆弱性対応・古い機器の扱いまで、まとめて相談できる『よろず窓口』~
設計 端末セキュリティ

※すぐにご相談したい方は、こちらからご相談ください。

EUサイバー・レジリエンス法 (CRA) 対応には、設計、ソフトウェア、ハードウェア、脆弱性管理、法規、品質など、社内外の工程や関係者が関わります。しかし、脅威分析やセキュリティ設計、調達部品のセキュリティ対応状況確認、認証関連などを進める中で、複数の企業や専門家と連携する必要が出てくるケースも少なくありません。

その結果、

 「相談先が増えて話が分散する」
 「同じ説明を何度もすることになる」
 「どこから確認すればいいか整理しきれない」

と感じる企業も少なくないのではないでしょうか。マクニカは、CRA 対応のすべてを一社で担う立場ではありません。しかし、半導体、産業機器、セキュリティ、脆弱性管理といった複数領域にまたがり、多くの企業と日常的に関わっているからこそ、「まず状況を整理して相談できる窓口」としてお役に立てると考えています。いただいた課題を整理し、必要な情報を調べ、必要に応じて最適な企業や専門家をご紹介しながら、CRA 対応を進めるうえでの“最初の相談先”として機能できればと考えています。複雑なテーマでなくても構いません。「とりあえずここに相談すれば何か進みそうだ」と思っていただけるよう、CRAに関する疑問や困りごとを気軽にお持ち込みください。

なぜ CRA 対応は関係者が増えやすいのか

CRA 対応について「まず話せる相手がほしい」と感じる企業があるのは、背景として “取り組む範囲、必要な知識、作業が多岐にわたる"からではないでしょうか?

CRA は、設計、ソフトウェア、ハードウェア、脆弱性管理、法規、品質、製造など、社内のさまざまな工程が関わる規則です。ただし、それらの工程を進めるために必要となる 脅威分析、セキュリティ設計、SBOMや脆弱性管理、ハードウェア情報の取得、第三者確認 といった専門的な作業は、どの企業でも一社で完結できるとは限りません。多くの場合、
 ・脅威分析やテストは社外協力先
 ・ソフトウェア脆弱性は別の会社
 ・半導体などの調達部品の情報はメーカーに確認
 ・EU 規則解釈はまた別の専門家
といったように、関係先が多岐にわたることが実情です。そのため CRA 対応を本格的に進めると、どうしても 複数の企業と並行してやり取りを進める構造 になりがちです。結果として、
 ・相談先が増えて話が分散する
 ・同じ説明を何度も行う必要が出てくる
 ・あるテーマの回答が別のテーマに影響するのに、情報が横でつながらない
といった状況になり、「CRA対応は全体像がつかみにくい」と感じる企業も少なくないように思われます。

これらは単体では小さく見える課題でも、複数の専門領域が絡むことで難易度が上がり、相談先が増える→情報が分散する→整理しにくいという循環につながりやすいのではないでしょうか。こうした背景を踏まえると、まず状況をまとめて相談できる場所が必要だと考えます。

CRA 対応で検討が必要になることが多いポイント

CRA への対応を進めていく中では、製品の性質やこれまでの開発プロセスによって、向き合うテーマが少しずつ変わっていきます。どの企業にも共通する“定型の正解”があるわけではありませんが、CRAの内容を読み解きながら進めていく過程では、次のような検討ポイントに触れる場面が自然と増えてくることがあります。

設計段階での整理が必要となるポイント(第13条 に関連)

■ 脅威分析の範囲や深さをどう設定するか
製品ライン全体でおこなうのか、モデル単位や構成単位で行うのかなど、脅威分析の範囲や粒度は製品ごとに異なります。既存のリスク評価手法とCRAの要求をどう整合させるかは、初期段階で考えておく場面が出てくることがあります。

■ 古いデバイス・既存製品の扱い
長く市場に出している製品や、ハードウェアの更新が難しい装置では、すぐに変更ができないケースもあります。その際、設定や構成、周辺環境の見直しなど、どこまで対策が必要かを検討する機会が生まれます。

■ 古い OS・サポート終了 OS への対応
古い OS やサポートが終了間近の OS が残っている場合、製品の寿命や次期計画とのバランスを踏まえて、更新が必要か、あるいは他の手段で補うのかを検討することになります。

製品全体の優先順位をどうつけていくか

CRA の要求は製品の用途・リスク・市場によって影響が異なるため、対応の優先順位を整理する段階も必要になることがあります。
たとえば、
 ・対象製品をどこまでに絞るのか
 ・先に対応すべき要件はどれか
 ・新規製品と既存製品の双方をどう進めるか
といった検討です。個別の技術課題とは別に、こうした“全体の並び”を考える場面が自然に発生します。

マクニカに相談するとどのように役立てるのか

CRA対応を検討するとき、最初に必要になるのは、「自社のどこから手をつけるべきか」を整理することです。ただ、その整理の段階からすでに複数の領域が関わるため、一つのテーマを検討しているつもりでも、ソフト、ハード、法規、脆弱性管理など、さまざまな分野に話が広がることがあります。こうしたときに、社内だけで状況をまとめようとすると、各分野に別々の企業に確認が必要になり、問い合わせが複数に分かれていくケースもあります。

マクニカは、CRA 全体を単独で完結できる立場ではありません。ただ、半導体・産業機器・セキュリティといった複数の技術領域に日常的に接しているため、CRA の検討で必要になりそうな情報が集まりやすい位置にあります。そのため、まず状況を共有いただければ、今どのテーマがどの領域に関係しているのか、どこから整理すると進めやすいのか、といった点を一緒に明らかにしていくことができると考えています。

CRA に関するご相談について

CRA について気になる点があれば、特に整理が進んでいない段階でも構いません。まず状況を伺ったうえで、マクニカとして確認できる範囲からご案内しますので、どうぞお気軽にご相談ください。

お問い合わせはこちら

関連情報

欧州サイバー・レジリエンス法 (CRA) への対応を加速!半導体セキュリティソリューション