【終了】まもなく公布、欧州サイバーレジリエンス法（CRA）
～組み込み製品におけるセキュリティ対応の進め方を徹底解説～

欧州サイバーレジリエンス法、2026年から順次適応へ
2024年内に欧州連合（EU）で「サイバーレジリエンス法（Cyber Resilience Act）」の公布が予定されています。
これにより、デジタル要素を備え、直接的・間接的にネットワークに接続される製品を製造する企業は、製品のセキュリティアセスメントや脆弱性対策など、製品全般にわたるセキュリティ要件に準拠する必要があります。もし準拠しない場合、これらの製品はEU市場での販売ができなくなる可能性があります。IoT機器やネットワーク機器はもちろんのこと、その他の一般消費者向け・産業向け製品も、新しい法規制に適合するために自社製品のセキュリティ対策を強化することが求められています。

製品開発におけるセキュリティ法規制等の遵守とその課題
しかしながら、製品開発の担当者がセキュリティ法規制等を満たす製品にするには、多くの課題があります。
まず、欧州CRAの適用範囲は広く、製品の設計だけでなく、開発時や製品リリース後のサポート等のプロセス全体にも影響があります。また、製品全体に対するセキュリティアセスメントが義務付けられており、開発者は設計の初期段階から脅威分析を行う必要があります。
そのためには、一般的なセキュリティ規格への遵守だけでは不十分で、攻撃者は製品の何（資産）を狙って、どこからどのようにして攻撃するのかを理解している必要があります。そのため、設計の初期の段階で、自社製品の資産が何かを特定、どれほど重要なのかを評価し、脆弱性評価や潜在的な攻撃シナリオのシミュレーション、対策案の策定を行ったうえで、包括的なリスクマネジメントを行う必要があります。
また、欧州CRAではSBOMの導入が求められており、製品リリース後の脆弱性のモニタリングや定期的なアップデート方法も定義する必要があります。

組み込み製品におけるCRA対応とは
本セミナーでは、組み込み製品に対する欧州CRA等の法規制に対応する必要がある企業向けに、組み込み製品にセキュリティ対応が求められる背景や、国内外の法規制等の説明に加え、欧州CRA等の法規制を考慮してセキュリティアセスメントを行い、セキュリティ対策を導出して実現する進め方を詳しく説明します。
オージス総研は、IoT機器や組み込みシステムの開発に携わる企業に対して、『コンサルティング』『診断』『開発』『研修トレーニング』など、幅広いソリューションを提供しています。欧州CRAに関しても、セキュリティ規格に準拠したリスクアセスメント支援を通じて、組織の課題解決をサポートします。
欧州CRA対応に課題を抱える方だけでなく、これから組み込み製品のセキュリティ対応を進めたい方全般にお薦めするセミナーです。

※当セミナーは、オンラインでの開催となり、Zoomを利用します。お申し込みいただいたお客様へ、後日、開催URLをご連絡いたします。
※当セミナーの詳細なご案内やお申し込みについては、以下ボタンを押した外部リンク先でご確認ください。
※この記事に掲載されている内容、および製品仕様、所属情報（会社名・部署名）は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。