　欧州ではIoT機器のサイバーセキュリティを強化するための法規制が相次ぎ生まれている。中でも、日本の製造業に大きな影響を及ぼすと考えられるのが、無線機器のサイバーセキュリティ強化を求める欧州無線機器指令（RED）と欧州サイバーレジリエンス法（CRA）だ。本連載ではこのうちCRAについて、製造業各社が対応するために必要な基礎知識と方法論を3回にわたって解説する。

　連載最終回の本稿では、CRAに対応し、セキュアなIoT機器を開発するために必要な技術的対策および組織的対策について解説する。

ギャップ分析を通じた「CRA対応の実際」

　CRAへの対応を含め、製品のサイバーセキュリティ対応については、開発体制、技術要件への適合状況、組織的な対応ができているかなど、現状を把握することからスタートするのが定石だ。そのうえで、CRAに適合するための要求事項とのギャップを洗い出し、具体的なアクションプランを作成し、着実に実行していくことになる。

　ギャップ分析には大きく分けて「チェックリストを用いた机上でのギャップ分析」と「実機に対するセキュリティテスト」があり、それぞれ役割が異なる。まずチェックリストを用いたギャップ分析だが、KPMGではCRA適合性を確認するためのチェックリストを準備しており、主に下記項目の適合性確認を行っている。

機器のサイバーセキュリティリスクを評価したうえで、開発を行うことができているか
製品開発における技術要件を満たすことができているか
脆弱性の技術的な取り扱い方法（リスク分析、対策）が十分か
脆弱性が見つかった際、メーカーとしての報告ができる体制が整っているか
CEマーキングを取得するための認証関連体制が整っているか
規制当局とのコミュニケーションを円滑に行う準備と体制が整っているか

　次に、実機に対するセキュリティテストでは、「必要十分なセキュリティ機能が備わっているか」「製品内部に脆弱性が残存していないか」「認証を取得する際の適合性評価を通過できるか」「サンプル機器（DUT： Device Under Testing）に対して非破壊テストを行うことで確認することができるか」などのチェックを行う。

　実機に対するセキュリティテストは、チェックリストを用いたギャップ分析を補完する有効な手段だ。しかし、DUTの数だけテスト費用が発生するため、机上でのギャップ分析の結果や、開発の進捗状況を考慮したうえで実施方法を検討するのがよいだろう。

脆弱性の少ない事業者に共通する「あるポイント」

　　　　　　 1|2 次のページへ