[架け橋 by CIO Lounge]

2024年7月23日(火)CIO Lounge

リスト

[Focus] これからのセキュリティ戦略

　日増しに拡大するサイバーセキュリティの脅威は、さまざまな業界・企業における大きなリスクであり、経営課題ともなっています。特に製造業ではサプライチェーンにまたがる多くの関連企業がネットワーク化されており、自社の対策を講じただけでは十分ではありません。万一、どこかの企業のセキュリティが侵害されると甚大な影響を及ぼす可能性があります。

　このような脅威に対応するため、各国や各業界においてサイバーセキュリティに関するさまざまな規制や標準が策定され、アップデートされています。製造プロセスの複雑さと国際的なサプライチェーンの広がりにより、サプライチェーン全体の対策を強化するためです。当然、グローバルに展開する日本の製造業は各国の規制や業界のガイドラインを理解し、適切にサイバーセキュリティ対策を強化する必要があります。

　では具体的にどんな規制や標準があるのでしょうか？ ここでは、国レベルの規制例として欧州サイバーレジリエンス法（European Cyber Resilience Act）と、業界におけるガイドライン例として半導体業界のサイバーセキュリティ対策ガイドラインであるSEMI E187およびSEMI E188を取り上げ、企業がどのような対策を講じるべきかについて考えてみます。

EUの欧州サイバーレジリエンス法

　欧州サイバーレジリエンス法は、欧州連合（EU）が提案した法案で、欧州におけるデジタル製品・サービスのサイバーセキュリティを強化することを目的としています。この法案は、急速に進化するサイバー脅威に対抗して、欧州の消費者と企業のデジタル環境をより安全にするための包括的な枠組みを提供します。

　適用の対象となるのは、ハードウェア、ソフトウェア、デジタルサービスを含む広範な製品・サービスで、そこにはIoTデバイスやネットワーク機器、クラウドサービス、ソフトウェア、アプリケーションなどが含まれます。

　この法案は、製品やサービスの設計・開発・製造・運用・保守・廃棄に至るまでの全ライフサイクルにわたるセキュリティ要件を規定しています。具体的な要件としては、以下の4項目があります。

①脆弱性管理：製品の脆弱性の定期的評価、必要な修正の迅速な実施
②セキュリティ更新：製品ライフサイクル全体にわたるセキュリティ更新の提供と、既知脆弱性の修正
③リスク評価：製品のリスク評価と適切なセキュリティ対策の実施
④データ保護：ユーザーデータ保護の確保と不正アクセスやデータ漏洩を防ぐための対策の実施

　脆弱性と対象コンポーネントを特定するためには、ソフトウェア部品表（SBOM：Software Bill Of Materials）の作成と管理が重要ですので、SBOM管理ツールプロセスの導入も考慮する必要があるでしょう。

　欧州に製品を輸出する企業には、製品が法案のセキュリティ要件を満たしていることを証明する文書の提供や、重大なセキュリティインシデントが発生した場合の迅速な報告、製品のセキュリティリスクや対策についての消費者への適切な情報提供など、厳格な義務が課されます。

　違反すると500万～1500万ユーロ（約8億5000万～25億7000万円）、または前会計年度の売上高の1～2.5％の高いほうに相当する罰金が科される可能性があります。2025年には適用が開始される予定ですので、企業はPSIRT（Product Security Incident Response Team、注1）を設置するとともに、全社プロジェクトとして部門横断で対応する必要があります。

注1：PSIRT（Product Security Incident Response Team）とは、自社で製造・販売した製品やサービスのセキュリティレベルの向上、セキュリティインシデント発生時の有事対応などを行う組織

●Next：半導体業界のサイバーセキュリティ規格SEMI E187/E188を解説