CRA読み解き(その2) - デジタル製品はリスクに基づくサイバーセキュリティの対応をしなければならない

はじめに

組込みシステムのシニアエンジニアをしているNoricです。本稿は、いよいよ適用が始まる 欧州サイバーレジリエンス法（Cyber Resilience Act, CRA） の要件を読み解き、IoTデバイス製品が備えるサイバーセキュリティとは何かを考えるシリーズです。

先ず、欧州サイバーレジリエンス法（Cyber Resilience Act, CRA）とは何か、そのイントロダクションは下記をご覧ください。

• ついに、CRAという「黒船」がやってくる

欧州理事会は2024年10月10日、欧州CRAを承認し、デジタル製品の安全性要件に関する新たな法律を採択しました。

Cyber resilience act: Council adopts new law on security requirements for digital products

今回は、次の欧州CRAのサイバーセキュリティ要件を読み解きします。

今回の読み解き - サイバーセキュリティ設計

CRA要件(原文)

• Security requirements relating to the properties of products with digital elements
  • (1) Products with digital elements shall be designed, developed and produced in such a way that they ensure an appropriate level of cybersecurity based on the risks;

CRA要件(訳)

• デジタル要素を含む製品の特性に関するセキュリティ要件
  • (1) デジタル要素を含む製品は、リスクに基づいて適切なレベルのサイバーセキュリティを確保するように設計、開発、および製造されなければならない。

このサイバーセキュリティ要件が求めること

サイバーセキュリティリスク分析の実施と監視

• 目的: 製品がサイバー攻撃に対する脆弱性やリスクを抱えたまま市場に投入されることを防ぐこと。
• 手法: 製品の開発から運用、廃棄までの各段階で、サイバーセキュリティリスクに関する分析を実施し、継続的に監視する。これは、設計や実装段階で発見された脆弱性の対策だけでなく、リリース後の新たなリスクに対しても対応するためである。

製品開発の全工程でサイバーセキュリティを考慮する

• 目的: 製品のセキュリティを根本から強化し、リリース後に見つかる脆弱性やセキュリティホールを事前に減少させること。
• 手法: 設計段階からセキュリティを優先し、セキュアコーディングやセキュリティバイデザインの原則を実践することで、開発の全プロセスにサイバーセキュリティを組み込む。また、セキュリティ設計の基準を明確化し、開発者にとって実践しやすい指針を設ける。

用語集

• リスク (Risk)
  システムや製品に対する潜在的な脅威や弱点に起因する、サイバーセキュリティ侵害の可能性や、リスクが顕在化した場合の影響度。リスク評価により、これらのリスクがどれだけの脅威をもたらすかを評価し、必要な対策が検討される。

• リスク分析 (Risk Analysis)
  サイバーセキュリティリスクの特定、評価、対策を計画するプロセス。リスク分析は製品の全ライフサイクルを通して実施され、特に新たな機能や更新が製品に追加される場合にその影響を再評価する。

• 緩和戦略 (Remediation Strategy)
  発見された脆弱性やセキュリティ問題に対して適切な対策を計画し、実行する手順。これは問題を最小化または解消し、リスクを許容レベルに抑えるために用いられる。たとえば、パッチの適用やアクセス制御の強化が含まれる。

• セキュアコーディング (Secure Coding)
  サイバー攻撃のリスクを低減するために、プログラムの設計やコーディング時に守るべきコーディングルールや慣行。セキュアコーディングでは、特定のプログラミング手法や、脆弱性を回避するためのベストプラクティスが用いられる。

• セキュリティバイデザイン (Security by Design)
  製品の設計段階からセキュリティ対策を組み込む概念。機能が追加される度に後からセキュリティ対策を施すのではなく、最初から設計にセキュリティの考慮を盛り込むことで、後の修正やリスクの発生を最小限に抑える。

関連するサイバーセキュリティ法規

関連するサイバーセキュリティのスタンダードでは、どのように定義されているのか、以下の公式文書の「マッピング分析」から読み解きます。

Cyber resilience act requirements standards mapping

この「マッピング」では、次の項目で評価されています。これをわかりやすく理解するために、分析した情報を加えます。

項目	項目の説明
Rationale	このサイバーセキュリティ法規が制定された背景・目的など
Gap	このサイバーセキュリティ法規の要件と、CRAの要件のギャップ
Life-cycle	このサイバーセキュリティ法規の関連する製品ライフサイクル

ISO/IEC 27002:2022

Information security, cybersecurity and privacy protection — Information security controls

情報セキュリティ、サイバーセキュリティおよびプライバシー保護 — 情報セキュリティ管理

情報セキュリティ、サイバーセキュリティ、プライバシー保護に関する基準であり、情報セキュリティ管理策に関するガイドラインを提供します。このスタンダードは、企業や組織がサイバーセキュリティリスクを適切に管理し、情報資産を保護するための枠組みとして利用されます。

• Rationale: ISO 27002は、セキュアコーディングやサプライヤーとの契約において、製品やコンポーネントが必要なセキュリティレベルを満たし、外部ソフトウェアやコンポーネントの情報をサプライヤーから共有するよう求める管理策を含んでいます。これにより、サプライチェーン全体のセキュリティが確保されます。

• Gap: この基準は、ソフトウェア開発（特にセキュアコーディング）についての指針を提供していますが、ハードウェア設計に関する具体的な指針は欠如しています。標準内の「セキュアシステムのアーキテクチャとエンジニアリング原則」により一部カバーされますが、ハードウェア設計の詳細は含まれていないため、CRAの包括的なセキュリティ要件に対しては不十分と見なされます。

• Life-cycle

  • Implementation
  • Validation
  • Commissioning
  • Surveillance
  • Maintenance

ISO/IEC 27005:2022

Information security, cybersecurity and privacy protection — Guidance on managing information security risks

情報セキュリティ、サイバーセキュリティおよびプライバシー保護 — 情報セキュリティリスク管理に関するガイダンス

情報セキュリティ、サイバーセキュリティ、プライバシー保護の分野における情報セキュリティリスク管理のガイドラインを提供するスタンダードです。この基準は、製品というよりも、組織が直面する情報セキュリティリスクを評価・管理するプロセスに焦点を当てています。

• Rationale: このスタンダードは製品セキュリティに特化してはいませんが、情報セキュリティリスク管理の方法を規定しています。適切なリスク分析は、製品やシステムに対するサイバーセキュリティレベルを、リスクに応じて適切に設定するために重要です。

• Gap: この基準は汎用的で、製品開発に特化したものではありません。製品やシステムの具体的な開発プロセスにおけるセキュリティリスク管理の詳細は含まれていないため、製品開発に適用する際には不足があると考えられます。

• Life-cycle

  • Design

EN IEC 62443-3-2:2020

Security for industrial automation and control systems – Part 3-2: Security risk assessment for system design

産業オートメーションおよび制御システムのセキュリティ – 第3-2部: システム設計のためのセキュリティリスク評価

産業オートメーションおよび制御システム（IACS） の分野におけるセキュリティリスク評価のガイドラインを提供するスタンダードです。この基準は、システム設計の段階でのセキュリティリスク評価に重点を置いています。

• Rationale: この標準はIACSに特化し、システム設計時にセキュリティリスク評価を行うプロセスを詳細にカバーしています。対策を講じた後も、残存リスクや許容リスクがあるかどうか再評価するプロセスが含まれており、リスク管理を継続的に改善するための指針を示しています。

• Gap: この基準はIACSに限定されており、すべての製品に共通する「セキュリティ・バイ・デザイン」などのサイバーセキュリティ原則を網羅していません。したがって、IACS以外の製品開発や設計に適用するには不足があるとされています。

• Life-cycle use-cases

  • Design: システム設計の段階で、リスク評価を実施し、潜在的なセキュリティリスクを特定する。また、リスクを軽減するための初期対策を策定する。
  • Implementation: 設計で定義されたセキュリティ対策を実装し、システム内に統合する。実際の運用環境でのセキュリティ設定も行う。
  • Validation: 実装されたセキュリティ対策が正しく機能し、リスクが許容範囲内に収まっているかを検証する。

EN IEC 62443-4-1:2018

Security for industrial automation and control systems – Part 4-1: Secure product development lifecycle requirements

産業オートメーションおよび制御システムのセキュリティ – 第4-1部: 安全な製品開発ライフサイクル要件

産業オートメーションおよび制御システム（IACS） 分野における、製品のセキュアな開発ライフサイクルに関する要件を定義するスタンダードです。IACS製品のセキュリティ開発プロセスに適用され、開発の各フェーズでセキュリティを確保する方法を示します。

• Rationale: このスタンダードは、IACS向けに「セキュリティ・バイ・デザイン」などのセキュリティ原則を、製品開発の各フェーズに組み込む方法を規定しています。開発の各段階でセキュリティ対策を考慮することで、より安全な製品を目指します。

• Gap: この基準はIACSに特化しており、製品開発におけるリスク評価の概念を含んでいません。そのため、リスクに基づいたサイバーセキュリティ対策が不足しているとされています。

• Life-cycle

  • Design
  • Implementation
  • Validation

ETSI EN 303 645 V2.1.1 (2020-06)

Cyber Security for Consumer Internet of Things: Baseline Requirements

消費者向けIoTのサイバーセキュリティ: 基本要件

消費者向けIoTデバイス のサイバーセキュリティに関する基本的な要件を提供するスタンダードです。主に、IoT製品の安全な設計やデータ保護を確保するためのガイドラインを示しています。

• Rationale: この基準は、消費者向けIoTデバイスにおける安全な開発とメンテナンスのためのガイドラインを提供しています。安全な設計フレームワークを通じてリスク分析の重要性を示し、データ保護やセキュリティを強調しています。

• Gap: この基準は、リスク分析やセキュリティ対策の詳細な手法を提供していませんが、関連する他の文書を参考にする場合があるとしています。そのため、具体的なリスク評価手法やセキュアプラクティスに関する詳細なガイダンスが不足しています。

• Life-cycle

  • Design
  • Maintenance

サイバーセキュリティ法規の対応まとめ

主要なサイバーセキュリティ標準は、ほとんどの要件を満たすように構成されていますが、不足が見られるのはハードウェア設計とリスク分析の対象範囲です。具体的には、ハードウェアに対するセキュリティガイドラインが少なく、ソフトウェアに比べて不十分です。また、リスク分析についても、特にシステム設計に特化したプロセスは産業用オートメーションおよび制御システム（IACS）向け標準に限定されています。一般的なISO 27005はリスク分析に関する指針を提供しますが、システムや製品設計に特化した内容にはなっていません。

このことから、ハードウェアセキュリティや幅広い分野でのシステム設計時のリスク分析が強化されることで、より包括的なサイバーセキュリティ要件をカバーできる可能性が示唆されています。

まとめ

この要件は、CRAは製品のセキュリティをプロアクティブに確保し、製品が市場に出た後も高いサイバーレジリエンスを維持することを目指しています。このアプローチにより、エンジニアは製品の開発から廃棄までを通じて、サイバーセキュリティに一貫した対応を行うことが期待されています。

この要件は、主に製品のセキュアバイデザインに関する概念的な要求でした。具体的な要求については、CRA要件項目(3)の(3a)～(3k)に記載されています。