世界的なサイバー攻撃増加により、諸外国でサイバーセキュリティ対策強化を目的としたセキュリティの法整備が進んでいます。特に注目を集めているのが、サイバーレジリエンス法（EU Cyber Resilience Act）です。原則、EUで販売されるネットワークに接続するすべてのデジタル製品が対象となっており、ハードウェア・ソフトウェア問わず厳しいセキュリティ要件が課せられます。

サイバーレジリエンス法は、2022年に草案が提出され、発効をめざした審議が続けられています。リスク評価にもとづいたセキュリティ機能、ならびにソフトウェア部品表（SBOM^※1）の整備などによる脆弱性への対応が要件と規定されています。経過措置として適用は発効してから36カ月後^※2ですが、製造者に対するインシデント発生時・脆弱性発見時の報告義務については、発効から24カ月後^※2の適用となります。自社製品に合わせたセキュリティ要件の実装や、組織・プロセスの構築、SBOMの管理を行うには今から準備が必要です。

また、日本国内においても、経済産業省より2023年7月にソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引 Ver. 1.0」が公開されるなど、さらなるセキュリティ対策が求められています。法規が適用されるまで猶予期間があると考えるのではなく、日々増加しているサイバー攻撃に対処するために、脆弱性に対応できる組織やセキュリティ機能を実装した製品づくりをしていく必要があります。

※1 SBOM:Software Bill of Materials
※2 2023年7月に可決されたサイバーレジリエンス法の修正案より。今後も修正案が発行されます。

サイバーレジリエンス法には、要件を満たすため具体的に必要な対策が記載されておらず、どこまで対応すれば準拠していると言えるか判断に悩むところです。日立ソリューションズでは、自社におけるセキュリティ製品の開発とセキュリティコンサルティングで培った経験とノウハウを生かしてリスク評価を行い、サイバーレジリエンス法の要件を組織にどのように取り込めばよいか、製品に必要なセキュリティ機能（特性要件）は具体的にどういう機能かなどセキュリティ要件定義を支援します。
また、脆弱性管理の体制やプロセスの策定を支援します。例えば、SBOMを導入するためにどのようなツールを選定するか、セキュリティパッチや更新プログラムを製品に適用するために、どのようなシステムを構築すればよいかなどお客さまのお悩み解決をお手伝いします。さらに製品やシステム開発においても支援可能です。

• 製品の特長や予算を考慮して、サイバーレジリエンス法への対応に必要なセキュリティ対策を検討します。
• セキュリティ製品の開発経験をもとに、製品のセキュア開発からリリース後の脆弱性管理を含めて、必要な体制構築やプロセス策定を支援します。
• 決定した対応方針にもとづく設計、製造、運用、脆弱性対策についてソリューションを提供します。

企画・設計から開発、保守・運用にいたる製品のライフサイクル全体において、セキュリティを確保するために必要な方針、ルール、プロセス策定を支援します。

• お客さまへのヒアリングやIEC62443などを参考に、サイバーレジリエンス法要件への適合状況を整理、分析。
• 適合していない要件への対応方針をお客さまとともに検討。
• 具体的にどのように対策すればよいか、お客さまで判断することができるよう情報を提供。

脆弱性発見時の報告義務などサイバーレジリエンス法の要件を満たす脆弱性管理ができるよう、体制やプロセスの構築を支援します。

• 有償・無償ツールや手動での作成など、お客さまの意向に合ったSBOMの導入を支援。
• システム開発や運用保守におけるセキュリティパッチや更新プログラムの適用方法の検討。
• 脆弱性情報を収集し、当社独自の見解を提供することで、脆弱性のトリアージ・分析を支援。

※本コンサルティングは、サイバーレジリエンス法への準拠を約束するものではありません。

作業期間は一例です。お客さまの組織規模、対象製品や実施内容により異なります。詳細はお問い合わせください。

個別見積もり