NRIセキュア、グローバル製造業における欧州IoTセキュリティ法規の準拠支援サービスを提供開始

NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は、欧州市場向けにデジタル製品を製造、輸出する企業に対し、EUサイバーレジリエンス法（CRA）[i]をはじめとした欧州のIoTセキュリティ法規への準拠を支援する「欧州IoTセキュリティ法規準拠支援サービス（以下、本サービス）」の提供を本日開始します。

◆欧州でデジタル製品を販売する製造企業に新たなIoTセキュリティ法規が適用

近年、IoT製品（インターネット等に接続され、データの収集、送信、処理ができる機能を備えた製品）が急速に普及する一方で、これらの製品に対するサイバー攻撃の事例が多数報告されています。これに伴い、欧州ではIoT製品を対象としたサイバーセキュリティ対策の法規制定や適用が進んでいます。2026年以降、欧州市場向けにデジタル製品を製造、輸出するすべての企業が対象となるEUサイバーレジリエンス法の適用が開始され、違反時の罰則の影響が大きいことから経営上のリスクの高まりが懸念されています。

◆本サービスの概要

本サービスは、EUサイバーレジリエンス法をはじめ、EU機械規則[ii]、EU無線機器指令2022/30/EU [iii]、英PSTI法[iv]といった欧州IoTセキュリティ法規への準拠を支援します。これらの法規の中では、製品のライフサイクル全体でセキュリティに関する活動を導入することが求められています。例えばEUサイバーレジリエンス法においては、要件定義から運用フェーズを通して、脅威分析やリスク評価といったリスク管理のほか、体制チェックや責任分担明確化といったサプライヤ管理への対応が必要となります。各法規に準拠することで、事業者はサイバー攻撃に対して一定の耐性を有していることを対外的に説明することが可能になります。

さまざまな製造業種に対してのコンサルティング実績を持つNRIセキュアの専門家が、各法規が対象とする製品の製造工程ごとのセキュリティ対策状況を可視化し、規格への準拠に必要な対応策の提示、ロードマップの策定、対策の実行までを包括的に支援します（下図を参照）。

図：欧州IoTセキュリティ法規で求められる製品のライフサイクルにおける活動

本サービスは、以下の3つの内容から構成されます。

1. セキュリティ法規への準拠状況の可視化および対策の提示

欧州IoTセキュリティ法規の要件と企業の対策状況を照らし合わせ、企業のセキュリティ対策が欧州IoTセキュリティ法規に準拠しているかを分析し、準拠のために必要なセキュリティ対策を提示します。

2. セキュリティ対策のロードマップ策定支援

欧州IoTセキュリティ法規への準拠に必要な対策を確実に実行するために、必要に応じて社内規程や運用体制、人員や設備、技術的対策などの整備を支援します。そのうえで、セキュリティ対策について優先度を定義し、企業に適した実効性のあるロードマップを策定します。

3. セキュリティ対策の実行支援

ロードマップで策定した施策の実行が完了するまでの一連の活動を支援します。企業の要望や課題に応じた最適なセキュリティソリューションの提案をはじめ、セキュア開発プロセスの整備、PSIRT[v]構築、サプライヤ管理、継続的なセキュリティ監視体制のアドバイザリなどが含まれます。

本サービスの詳細については、次のWebサイトをご参照ください。

https://www.nri-secure.co.jp/service/consulting/europe_iot

NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。

              

[i] EUサイバーレジリエンス法（Cyber Resilience Act）：2026～2027年にかけて適用が開始される新しいEUの法律です。CRAの適用範囲には、ハードウェアだけでなくソフトウェアやクラウドサービス（SaaS）も含まれ、サプライチェーン管理や設計要件等に対応することが求められています。

[ii] EU機械規則：2027年から適用が開始される新しいEUの法律です。従来施行されている機械指令2006/42/ECに対して、最新技術に対応するための要件を補完しています。具体的には、機械製品についてAIやサイバーセキュリティに関係する要件を満たすことが求められています。

[iii] EU無線機器指令2022/30/EU：2025年中にEUで適用が開始される予定の法律です。従来施行されている欧州無線機器指令2014/53/EUに対してサイバーセキュリティに関する要件を補完しています。無線機器がインターネットに接続される場合、その機器が個人データの保護や詐欺防止などの要件を満たすことを求めています。

[iv] 英PSTI法（Product Security and Telecommunication Infrastructure Act）：2024年4月から英国で適用が開始された、英国内で販売されるIoT製品に対するサイバーセキュリティの強化を目的とした英国の法律です。具体的には、出荷時の共通パスワードの禁止、脆弱性情報の報告方法の提供、セキュリティサポート期間の明示などを求めています。

[v] PSIRT： Product Security Incident Response Teamの略で、企業が製造または販売した製品のセキュリティ脆弱性に関わるリスクマネジメントや、セキュリティインシデント発生時の対応を行う組織を指します。