NRIセキュアテクノロジーズは2024年12月3日、SIサービス「欧州IoTセキュリティ法規準拠支援サービス」を提供開始した。欧州市場向けにデジタル製品を製造・輸出する企業に対して、EUサイバーレジリエンス法(CRA)をはじめとした欧州のIoTセキュリティ法規への準拠を支援する。
NRIセキュアテクノロジーズの「欧州IoTセキュリティ法規準拠支援サービス」は、欧州市場向けにデジタル製品を製造・輸出する企業に対して、欧州のIoTセキュリティ法規への準拠を支援するSIサービスである。IoT製品に対するサイバー攻撃が増え、欧州でIoT製品を対象としたサイバーセキュリティ対策の法規制定や適用が進んでいることから提供する(図1)。
図1:欧州IoTセキュリティ法規で求められる製品のライフサイクルにおける活動(出典:NRIセキュアテクノロジーズ)拡大画像表示
例として、2026年には、欧州市場向けにデジタル製品を製造、輸出するすべての企業が対象となるEUサイバーレジリエンス法の適用開始を挙げている。違反時の罰則の影響が大きいことから、経営上のリスクの高まりが懸念されているという。
今回提供するサービスは、EUサイバーレジリエンス法をはじめ、EU機械規則(2027年から適用)、EU無線機器指令2022/30/EU(2025年中にEUで適用を開始)、英PSTI法(2024年4月から英国で適用を開始)といった欧州IoTセキュリティ法規への準拠を支援する。
これらの法規の中では、製品のライフサイクル全体でセキュリティに関する活動を導入することが求められる。例えば、EUサイバーレジリエンス法においては、要件定義から運用フェーズを通して、脅威分析やリスク評価といったリスク管理のほか、体制チェックや責任分担明確化といったサプライヤー管理への対応が必要になる。
各法規に準拠することで、事業者はサイバー攻撃に対して一定の耐性を有していることを対外的に説明することが可能になる。NRIセキュアは、各法規が対象とする製品の製造工程ごとのセキュリティ対策状況を可視化し、規格への準拠に必要な対応策の提示、ロードマップの策定、対策の実行までを包括的に支援する。
同サービスは、以下の3つの内容で構成する。
- セキュリティ法規への準拠状況の可視化および対策の提示
欧州IoTセキュリティ法規の要件と企業の対策状況を照らし合わせ、企業のセキュリティ対策が欧州IoTセキュリティ法規に準拠しているかを分析し、準拠のために必要なセキュリティ対策を提示する。 - セキュリティ対策のロードマップ策定支援
欧州IoTセキュリティ法規への準拠に必要な対策を確実に実行するために、必要に応じて社内規程や運用体制、人員や設備、技術的対策などの整備を支援する。このうえで、セキュリティ対策について優先度を定義し、企業に適した実効性のあるロードマップを策定する。 - セキュリティ対策の実行支援
ロードマップで策定した施策の実行が完了するまでの一連の活動を支援する。企業の要望や課題に応じて適切なセキュリティ製品を提案するほか、安全な開発プロセスの整備、PSIRT構築、サプライヤー管理、継続的なセキュリティ監視体制のアドバイザリなどが含まれる。
NRIセキュアテクノロジーズ / 製造 / 欧州 / SI / コンサルティング
