欧州サイバーレジリエンス法 (CRA) の概要と対策

承認：エディタ

欧州サイバーレジリエンス法 (CRA) とは？

欧州サイバーレジリエンス法 (Cyber Resilience Act) は、2024年10月10日にEUで採択制定された規制です。
デジタル要素を持つ製品（接続デバイスやソフトウェアなど）が、そのライフサイクル全体を通じて厳しいサイバーセキュリティ要件を満たすことを目的としています。
また、市場に提供されるデジタル要素を持つ製品のサポート期間に関する透明性を向上させるなど、ユーザーがデジタル要素を持つ製品を選択および使用する際にサイバーセキュリティを考慮できる条件を整備することも目的としています。

対象となるデジタル要素を持つ製品とは？

「デジタル要素を持つ製品」とは、ソフトウェア又はハードウェア製品や、製品の機能を果たすために不可欠な距離を隔てた場所でのデータ処理(=遠隔データ処理)のソリューションを指します。
また、個別に市場に出るソフトウェア/ハードウェアの部品も含みます。

CRA はデバイスやネットワークに接続する「デジタル要素を持つ製品」が対象になります。
→ IoTデバイスや産業用制御システムをはじめとして、非常に多くの製品が対象になります。

ただし、個別に規制対象となっている以下のものは対象外になります。

EU 2017/745で規制されている医療機器
EU 2017/746で規制されている体外診断用医療機器
EU 2019/2144で規制されている道路交通安全製品
EU 2018/1139で規制されている民間航空および航空輸送機器
指令2014/90/EUで対象となっている船舶用機器

製造業者は何をしなければならないか？

CRA への対応にあたって、製造業者は様々な義務が課されます。特徴的なものを一部ご紹介します。

サイバーセキュリティ要件への準拠

対象となる製品を、リスクに基づいて適切なレベルのサイバーセキュリティを確保するように設計、開発、製造する必要があります。(=セキュリティ・バイ・デザイン)
例えば、認証やアクセス管理システムなどによる制御メカニズムによって不正アクセスからの保護を行う必要があります。
また、データの保存時や転送時に暗号化などの技術的手段を用いて、データの機密性を保護することも求められます。

ライフサイクルセキュリティの確保

製品のサポート期間中は、セキュリティアップデートやパッチ適用を継続的に行う必要があります。
設計から保守運用まで、ライフサイクル全体を通じた安全性を提供することが求められます。

CRA と OPC UA の関係

CRA のサイバーセキュリティ要件へ対応する、標準規格の1つとして IEC 62443 があげられます。
OPC UA はIEC62443-3-3 および IEC 62443-4-2で定義された安全なシステムとコンポーネント設計のための要件に対し以下のような機能を持っています。

ロールベースのアクセス制御 (RBAC)
TLSなどの暗号化プロトコル
認証機能 (例: X.509証明書)

また、OPC UAは、セキュリティ・バイ・デザインの原則を採用しそのアーキテクチャの全ての層でサイバーセキュリティを実現しているため、CRA のサイバーセキュリティ要件に対する理念と一致しています。

SRA が提供する OPC UA 導入支援については、こちらをご覧ください。

本ページには、弊社独自の考察・見解を記述している箇所がございます。
本ページの利用によって生じたいかなるトラブル・損害等について当社は一切責任を負わないものとします。
本ページは予告なく内容の変更や削除を行う場合があります。

OPC UA の導入について資料を見る・相談する (無料)

ページトップへ

サービスサイトロゴ