【第3回】製品出荷後に求められる「脆弱性管理」と「インシデント報告」の厳格なルール
はじめに
従来のハードウェアビジネスは「売り切り型」が主流でした。しかし、CRA(欧州サイバーレジリエンス法)の施行により、このビジネスモデルは通用しなくなります。CRAは、メーカーに対し、製品の上市時からサポート期間中にわたり、脆弱性を有効に取り扱い、必要なセキュリティ更新を提供する体制を求めています。
本記事では、品質保証部門や運用サポート部門が直視すべき、CRA附属書IパートIIに規定される「脆弱性対応に関する要件」と「厳格なインシデント報告義務」について解説します。
脆弱性対応に関する必須要件(Annex I Part II)
メーカーは製品出荷後も、自社製品に組み込まれたソフトウェアやハードウェアの脆弱性を継続的に監視し、対応する体制を維持しなければなりません。主な要件は以下の通りです。
(1)セキュリティアップデートの無償提供
脆弱性への対応としてセキュリティ更新が利用可能な場合、メーカーは遅滞なく、原則として無償で提供する必要があります。ただし、カスタム製品についてメーカーと事業ユーザーの間で別段の合意がある場合は例外となり得ます。
(2)自動アップデート機能の実装
該当する場合、セキュリティ更新を適切な期間内に自動適用できる仕組みをデフォルトで有効化し、ユーザーが明確かつ容易にオプトアウトでき、必要に応じて一時的に延期できるようにする必要があります。
(3)脆弱性の公開と情報提供
パッチが提供された後、その脆弱性の詳細や修正内容について透明性をもって公開し、ユーザーに適用を促す義務があります。
24時間・72時間・14日/1ヶ月:極めて厳格な報告義務のタイムライン
CRAの中で、企業のコンプライアンス対応として最もハードルが高いとされているのが、インシデントと脆弱性の「報告義務」です。この報告義務は、2026年9月11日から先行して適用が開始されます。
自社製品に関わる「現に悪用されている脆弱性(Actively exploited vulnerability)」や、製品に影響を及ぼす「重大なインシデント(Severe incident)」をメーカーが認識した場合、以下のタイムラインで各国の関連当局(CSIRT等)および欧州ネットワーク情報セキュリティ庁(ENISA)に報告しなければなりません。
報告タイムライン
(1)早期警告(初報)- 認識から24時間以内
インシデントや悪用された脆弱性を認識してから24時間以内に、第一報を提出する義務があります。この段階では、インシデントが他の加盟国に波及する可能性があるかどうかの見立てなどが含まれます。
(2)詳細報告 - 認識から72時間以内
インシデントや脆弱性の性質、影響範囲、および想定される被害について、より詳細な評価と情報を提出します。
(3)最終報告(対応完了報告)- 14日または1ヶ月以内
悪用された脆弱性: パッチの開発など、是正・軽減措置が利用可能になってから14日以内に最終報告書を提出します。
(4)重大なインシデント
重大インシデント:72時間以内の詳細通知を提出した後、1か月以内に最終報告書を提出します。
このタイムラインを守るためには、脆弱性やインシデントを迅速に検知・評価し、関係部署にエスカレーションし、当局報告とユーザー通知を行える手順・責任者・テンプレート・訓練体制を整備する必要があります。