『まもなく公布、欧州サイバーレジリエンス法(CRA)』というテーマのウェビナーを開催

■ 欧州サイバーレジリエンス法、2026年から順次適応へ

2024年内に欧州連合(EU)で「サイバーレジリエンス法(Cyber Resilience Act)」の公布が予定されています。

これにより、デジタル要素を備え、直接的・間接的にネットワークに接続される製品を製造する企業は、製品のセキュリティアセスメントや脆弱性対策など、製品全般にわたるセキュリティ要件に準拠する必要があります。もし準拠しない場合、これらの製品はEU市場での販売ができなくなる可能性があります。

IoT機器やネットワーク機器はもちろんのこと、その他の一般消費者向け・産業向け製品も、新しい法規制に適合するために自社製品のセキュリティ対策を強化することが求められています。

■ 製品開発におけるセキュリティ法規制等の遵守とその課題

しかしながら、製品開発の担当者がセキュリティ法規制等を満たす製品にするには、多くの課題があります。

まず、欧州CRAの適用範囲は広く、製品の設計だけでなく、開発時や製品リリース後のサポート等のプロセス全体にも影響があります。また、製品全体に対するセキュリティアセスメントが義務付けられており、開発者は設計の初期段階から脅威分析を行う必要があります。

そのためには、一般的なセキュリティ規格への遵守だけでは不十分で、攻撃者は製品の何(資産)を狙って、どこからどのようにして攻撃するのかを理解している必要があります。

そのため、設計の初期の段階で、自社製品の資産が何かを特定、どれほど重要なのかを評価し、脆弱性評価や潜在的な攻撃シナリオのシミュレーション、対策案の策定を行ったうえで、包括的なリスクマネジメントを行う必要があります。

また、欧州CRAではSBOMの導入が求められており、製品リリース後の脆弱性のモニタリングや定期的なアップデート方法も定義する必要があります。

■ 組み込み製品におけるCRA対応とは

本セミナーでは、組み込み製品に対する欧州CRA等の法規制に対応する必要がある企業向けに、組み込み製品にセキュリティ対応が求められる背景や、国内外の法規制等の説明に加え、欧州CRA等の法規制を考慮してセキュリティアセスメントを行い、セキュリティ対策を導出して実現する進め方を詳しく説明します。

オージス総研は、IoT機器や組み込みシステムの開発に携わる企業に対して、『コンサルティング』『診断』『開発』『研修トレーニング』など、幅広いリューションを提供しています。欧州CRAに関しても、セキュリティ規格に準拠したリスクアセスメント支援を通じて、組織の課題解決をサポートします。

欧州CRA対応に課題を抱える方だけでなく、これから組み込み製品のセキュリティ対応を進めたい方全般にお薦めするセミナーです。

■主催・共催
 株式会社オージス総研
  ■協力
 株式会社オープンソース活用研究所
 マジセミ株式会社

---

マジセミは、今後も「参加者の役に立つ」ウェビナーを開催していきます。
 過去セミナーの公開資料、他の募集中セミナーは▶こちらでご覧いただけます。