【第2回】CRAが求める「開発・設計段階」の必須セキュリティ要件とSBOMの重要性

はじめに

第1回で解説した通り、CRA（欧州サイバーレジリエンス法）は広範な電気電子機器を対象としています。では、実際に製品を作るにあたり、メーカーは何をしなければならないのでしょうか。

CRAの附属書I（Annex I）には、製品を市場に投入する前に満たさなければならない「必須セキュリティ要件（Part I）」と「脆弱性処理要件（Part II）」が明記されています。

本記事では、設計・開発部門が直面する技術的な義務と、必須対応となる「SBOM（ソフトウェア部品表）」について解説します。

●脅威モデリングとリスクアセスメントの実施
●サイバーセキュリティ・バイ・デザインの義務化
●必須セキュリティ要件（Annex I Part I）の具体的内容
●SBOM（ソフトウェア部品表）の作成と管理の義務（Annex I Part II）
●まとめ

脅威モデリングとリスクアセスメントの実施

製品の仕様を決定するにあたり、設計の第一歩としてメーカーは「サイバーセキュリティ・リスクアセスメント」を実施することが義務付けられています。

製品がどのような脅威にさらされるかを分析し（脅威モデリング）、そのリスクを軽減するための措置を設計に反映させ、その結果を「技術文書」として記録に残さなければなりません。

サイバーセキュリティ・バイ・デザインの義務化

これまでの製品開発では「機能要件」が優先され、セキュリティは後回しになるケースが散見されました。しかしCRAは、先述のリスク評価に基づいた
「サイバーセキュリティ・バイ・デザイン（設計段階からのセキュリティ組み込み）」
「デフォルトでのセキュアな設定」
を法的に義務付けています。製品は、用途や想定されるリスクレベルに応じた適切なサイバーセキュリティ水準を確保したうえで、市場に投入されなければなりません。

必須セキュリティ要件（Annex I Part I）の具体的内容

CRAが要求する具体的な技術要件は多岐にわたるため、設計者は以下の要件を製品の仕様段階から組み込む必要があります。

（１）セキュアなデフォルト設定

製品を出荷時の状態で使用しても安全であること。

不要なポートや機能はデフォルトで無効化し、ユーザーに初期パスワードの変更を強制するなどの措置が必要です。

（２）アクセス制御と認証

誰が（何が）データや機能にアクセスできるかを厳密に制御し、強力な認証メカニズム（多要素認証など）を実装すること。

（３）データの保護（機密性と完全性）

保存されているデータ（Data at rest）および通信中のデータ（Data in transit）を最新の暗号化技術等で保護すること。

（４）データ最小化の原則

製品の機能提供に必要不可欠なデータのみを収集・処理すること。

（５）悪影響の最小化

当該製品が乗っ取られた場合でも、接続されている他の機器やネットワーク全体への被害（DDoS攻撃の踏み台になるなど）を防ぐよう設計すること。

SBOM（ソフトウェア部品表）の作成と管理の義務（Annex I Part II）

CRAにおいて、開発プロセスにおける最大の技術的課題の一つが「SBOM（Software Bill of Materials：ソフトウェア部品表）」の作成義務です。

現代のソフトウェア開発において、コードの大部分はサードパーティ製のライブラリやオープンソースソフトウェア（OSS）で構成されています。CRAでは、製品に含まれるすべてのソフトウェアコンポーネントとその依存関係を把握するため、「機械的に読み取り可能なフォーマット（SPDXやCycloneDXなど）」でSBOMを作成することが要求されています。

SBOMを作成・維持することで、将来OSSに重大な脆弱性（例：Log4Shellのようなゼロデイ脆弱性）が発見された際、自社のどの製品に影響があるかを即座に特定することが可能となります。逆に言えば、手動でのコンポーネント管理や表計算ソフトによるアナログな管理では、CRAの要求レベルを満たすことは不可能です。

まとめ

第2回では、開発・設計段階での技術的な要件について解説しました。

しかしCRAの要求は製品を「作って終わり」ではありません。第3回では、製品出荷後に課せられる過酷な「脆弱性管理とインシデント報告義務」について解説します。