Security Online Press

「疎かにすれば市場を失う」発効まで1年半、日本企業を阻む欧州サイバーレジリエンス法“3つの壁”と対策

既に出後れている国内製造業……まず何から始める？

2025/03/29 08:00

通知

　2024年10月10日、デジタル要素を含む製品の消費者を保護し、製品におけるサイバーセキュリティの確保を製造者に義務付ける「欧州サイバーレジリエンス法（CRA）」が成立した。この法律は2026年9月から一部適用され、2027年12月11日から全面適用される見込みだ。最大のポイントは認証機関が発行する「CEマーク」を取得できない製品は欧州市場で販売できなくなること。一見時間に猶予があるように見受けられるが、何も対策していない製造業がいちから対策を考えるとなれば、残された時間は決して多くない。CRAで何がどう変わるのか、日本の製造業はどのような対応を取るべきか。今回は、総務省・経済産業省が公表している「IoTセキュリティガイドラインv1.0」の策定に携わった経験を持つGMOサイバーセキュリティ byイエラエの伊藤公祐氏が解説した内容をお届けする。

通知

140万台の大規模リコール、人命に関わる脆弱性も……

　冒頭でも触れたとおり、2024年10月10日に「欧州サイバーレジリエンス法（CRA）」が成立し、2026年9月から一部適用が始まる。成立の背景には、IoT機器を狙ったサイバー攻撃の増加がある。IoTセキュリティに15年以上携わる伊藤氏は「現在、インターネット上でIoT機器の脆弱性を探しているパケットは増加の一途をたどっています。セキュリティ対策が十分でない無防備な製品をネットワークにつないでしまうとあっという間に攻撃の被害に遭う状況があります」と警鐘を鳴らす。

　実際に、IoT製品に脆弱性が見つかったことで、事業に甚大な被害が及んだ企業は少なくない。2015年には、米国のセキュリティ専門家の2名がFiat Chrysler Automobiles社（現：Stellantis社）の自動車ブランド「Jeep Cherokee（ジープ・チェロキー）」をハッキングする実験に成功したことで、140万台の大規模リコールが行われている。「この事件を契機に、自動車業界におけるサイバーセキュリティへの認識が大きく変わりました。『実験でハッキングされただけだ』とそれほど重要視されていなかったものが、リコールにつながるのだと実証されたからです」と伊藤氏は語る。

画像を説明するテキストなくても可 — GMOサイバーセキュリティ byイエラエ株式会社グローバル戦略本部部長伊藤公祐氏

　また2016年10月には、防犯カメラやルーターなどのIoT機器を標的とするマルウェア「Mirai」が大規模なDDos攻撃を米国の各企業へ仕掛け、大きな被害が発生した。Miraiは、IoT機器の工場出荷時にログイン情報として登録される初期値のIDとパスワード情報をもって他にIoT機器に侵入を試みるという特徴がある。このインシデントは、IoT製品を提供する企業がすべての製品においてIDとパスワードの初期値を一律にしていたことと、さらにユーザー企業の多くがパスワードを初期値から変更していなかったことが被害の拡大につながった事例といえる。

　さらに2017年には、メディカル領域でも大規模リコールが発生した。米国の医療機器メーカーAbbott社が提供する心臓ペースメーカーにおいて患者に危害を加えられる恐れがある脆弱性が発見され、リコールが行われている。米食品医薬品局（FDA）は米国全体で46万5000台のペースメーカーに影響があるとしてセキュリティ勧告を出し、Abbott社はその後ファームウェアのアップデートでこの脆弱性を修正しているが、「人命に関わる重要なIoT機器の設定を誰でも変えられてしまうような脆弱性が見つかったので、非常に大きな問題になりました」と伊藤氏は説明する。

　このように、IoT製品の脆弱性を狙った攻撃の被害が深刻化していることを受け、業界標準や国際標準を定めようとする動きが活発化している。特に最近の兆候として、「従来定められていた製品の安全性を担保する規格に突然サイバーセキュリティの要件が入ってくる、といった変更がよく見られます。つまり、新しい要件を追いかけるだけでなく、これまで自分たちが安全性の標準だと思っていた規格の変更にも注意が必要だということです。そのため、自社に関わる業界の動向は常にウォッチしておく必要があるでしょう」と注意を呼び掛ける。

法規制のベースラインを作った“3国の事例”

　法令によって強制力をより高める動きも本格化してきた。特に早い段階で動いたのが米国のカリフォルニア州とオレゴン州だ。先述したMiraiによるDDos攻撃が契機となり、2020年1月に「IoTセキュリティ法」を施行。州内で販売されるIoT製品へのセキュリティ要件の実装を義務付けた。「この法令ではMiraiのDDos攻撃被害を踏まえ、IoT製品を提供する企業に対して少なくともID・パスワードは一意のものを顧客に配布することが課せられています」と伊藤氏。

　日本国内では、総務省が米国の動きに追随する形で対応が進み始めた。直接インターネット回線に接続する機器を対象として、電気通信事業法にIoTセキュリティ基準を盛り込み、2020年4月から施行。また英国では、2024年に「製品セキュリティおよび通信インフラストラクチャ法規制（Product Security and Telecommunication Infrastructure Act：PSTI法）」が施行され、コンシューマー向けIoT製品に対してサイバーセキュリティ要件が定められた。「ここまで見てきた米国2州、日本、英国の法令によってベーシックな法規制対応が始まりました」と伊藤氏は説明する。

　さらに、2025年3月からはインターネットとの通信が行える幅広いIoT製品を対象に、「JC-STAR（Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements）」と呼ばれるセキュリティ要件適合評価およびラベリング制度が日本で開始された。独自のセキュリティ技術要件に基づき、IoT製品に対する適合基準への適合性を確認・可視化するものだ。こうしたIoTのセキュリティ認証マークを付与する取り組みも広がっているという。

　もう一つ注目すべきIoTセキュリティの動向として、伊藤氏は「欧州の製造物責任法（PL法）の考え方が変化している」ことを挙げる。欧州におけるPL法の原則である「製造物責任指令（Product Liability Directive）」が全面的に改正され、CRA施行日（2024年12月11日）の直前となる12月8日に施行された。改正のポイントには、アプリケーションやオペレーティングシステム、AIなどすべての種類のソフトウェアが適用対象となっていること、サービス提供者側にも責任の所在を明確にしたこと、従来は「人的損害（人身傷害）」、「物的損害（財物に生じた損害）」損害の補償範囲となっていたが、この改正で「データの破壊または破損」による被害も新たに取り締まりの対象に追加されたことが挙げられる。

　このような動向を踏まえ、伊藤氏は「そろそろ『何もやっていない製品ベンダーは大丈夫なのか』といった不安を持つ企業が増えてきています。今後顧客から信頼されるメーカーとしてブランドを確立していくためには、IoT製品のセキュリティ確保が必須の要件になると我々は考えています」と分析する。

次のページ
発効まで1年半……CRAは国内製造業にどう影響する？