CRA読み解き(その4) - デジタル製品はセキュア・バイ・デフォルトで提供されなければならない
はじめに
組込みシステムのシニアエンジニアをしているNoricです。本稿は、いよいよ適用が始まる 欧州サイバーレジリエンス法(Cyber Resilience Act, CRA) の要件を読み解き、IoTデバイス製品が備えるサイバーセキュリティとは何かを考えるシリーズです。
先ず、欧州サイバーレジリエンス法(Cyber Resilience Act, CRA)とは何か、そのイントロダクションは下記をご覧ください。
欧州理事会は2024年10月10日、欧州CRAを承認し、デジタル製品の安全性要件に関する新たな法律を採択しました。
Cyber resilience act: Council adopts new law on security requirements for digital products
今回は、次の欧州CRAのサイバーセキュリティ要件を読み解きします。
今回の読み解き - セキュア・バイ・デフォルト
CRA要件(原文)
-
Security requirements relating to the properties of products with digital elements
-
(3) On the basis of the risk assessment referred to in Article 10(2) and where applicable, products with digital elements shall:
- (3a) be delivered with a secure by default configuration, including the possibility to reset the product to its original state;
-
(3) On the basis of the risk assessment referred to in Article 10(2) and where applicable, products with digital elements shall:
CRA要件(訳)
- デジタル要素を含む製品の特性に関するセキュリティ要件
- (3) 第10条第2項に基づくリスク評価に基づき、適用可能な場合、デジタル要素を含む製品は:
- (3a) 安全な既定の構成で提供され、製品を初期状態にリセットする機能を含むものとする;
- (3) 第10条第2項に基づくリスク評価に基づき、適用可能な場合、デジタル要素を含む製品は:
このサイバーセキュリティ要件が求めること
-
「目的」
この要件は、製品の初期設定に関して以下のセキュリティ要素を実現することを目的としています。- 不正アクセスの防止:標準的なセキュリティレベルを設定し、既定の認証情報が外部から簡単に推測・アクセスされないようにすること
- 製品設定の保持と復元:万一の設定変更に備え、製品が常に「セキュリティを確保したデフォルト設定」に戻れる機能を提供すること
-
「手法」
- ランダムなパスワード生成:製品ごとにランダムで複雑なパスワードを生成し、既定のパスワードを統一しない。これにより、同一のパスワードを用いた攻撃が困難になる。
- セキュリティを意識した初期設定:デフォルトのセキュリティ設定項目が妥当なレベルで提供され、ユーザーがすぐに安全に使用できるようにする。例えば、暗号化通信や認証の有効化など。
- 不揮発性メモリへの保存:デフォルト設定をROM(不揮発性メモリ)に保存することで、誤ってデータが消去されるリスクを軽減し、設定の信頼性を確保する。
- リセット機能の提供:ユーザーが設定変更やエラー発生時に「デフォルト設定」に戻せるようにリセット機能を実装し、安全な状態を簡単に復元できるようにする。
用語集
-
Default Configuration (デフォルト設定)
製品が出荷時点で設定されている標準の設定項目のこと。初期設定とも言い、ユーザーが手を加える前の状態です。セキュリティの観点から、このデフォルト設定が安全であることが求められます。 -
Randomised Password (ランダム化パスワード)
各製品ごとにランダムに生成されたパスワードです。一般的に、ランダムな文字や数字を組み合わせて生成され、推測や共有されるリスクを減らします。 -
Unique Password (ユニークパスワード)
各製品が個別の異なるパスワードを持つことです。共通のパスワードではなく、製品ごとに異なるパスワードを使用することで、同一のパスワードが複数の製品に適用されるリスクを回避します。 -
Non-erasable Memory (不揮発性メモリ)
電源を切ってもデータが保持されるメモリです。製品設定やセキュリティ情報を保存するために使用されます。ROM(Read Only Memory)やフラッシュメモリなどが一般的です。 -
ROM (リードオンリーメモリ)
書き換えが基本的にできないメモリ領域で、重要な設定情報やデータが保持されます。通常の使用では消去・変更ができないため、製品の初期設定やデフォルト設定の保存に適しています。 -
Reset (リセット)
製品を初期設定に戻す機能です。ユーザーが操作ミスや設定変更を行った場合でも、このリセット機能を用いることで製品を元の安全な状態に戻すことができます。 -
Security by Default (デフォルトによるセキュリティ)
製品が出荷時点でセキュリティが確保された状態で提供される考え方です。ユーザーが設定を意識しなくても、初期設定のままで一定の安全性を確保できるようにすることが重要とされています。
関連するサイバーセキュリティ法規
関連するサイバーセキュリティのスタンダードでは、どのように定義されているのか、以下の公式文書の「マッピング分析」から読み解きます。
Cyber resilience act requirements standards mapping
この「マッピング」では、次の項目で評価されています。これをわかりやすく理解するために、分析した情報を加えます。
項目 | 項目の説明 |
---|---|
Rationale | このサイバーセキュリティ法規が制定された背景・目的など |
Gap | このサイバーセキュリティ法規の要件と、CRAの要件のギャップ |
Life-cycle | このサイバーセキュリティ法規の関連する製品ライフサイクル |
EN ISO/IEC 27002:2022
Information security, cybersecurity and privacy protection — Information security controls
情報セキュリティ、サイバーセキュリティ、プライバシー保護 — 情報セキュリティ管理策
-
組織が情報セキュリティやサイバーセキュリティ、プライバシー保護に関する管理策を確立するための国際的な標準です。特に情報システムやサービス、ネットワークなど、広範な分野に適用されます。
-
Rationale : この標準は、情報セキュリティリスクを管理するための一般的な管理策のセットを提供しています。これには、技術的な管理策として、ハードウェア、ソフトウェア、サービス、ネットワークのセキュリティ設定を扱う「構成管理」が含まれており、最善策に基づく実装ガイドラインも提供されています。
-
Gap : この標準は一般的なガイドラインを提供しており、複数の側面をカバーしていますが、特定の要件に対して明確な指針を提供しているわけではありません。
-
Life-cycle
- Implementation
- Validation
ETSI EN 303 645 V2.1.1 (2020-06)
CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements
サイバー; 消費者向けIoTのサイバーセキュリティ: 基本要件
-
消費者向けのIoTデバイスに対するサイバーセキュリティの基準です。IoTデバイスの基本的なセキュリティ要求事項を定め、一般消費者向け製品に適用されます。
-
Rationale : この標準は、消費者向けIoTデバイスにおけるサイバーセキュリティの要件を定義しています。特に、デフォルトパスワードの使用に関する推奨事項や、機密パラメータの安全な保存、認証情報(例: パスワード生成、ユーザー認証、デフォルト値の変更)の管理について言及しています。
-
Gap : この標準は、高レベルでの規定が多く、デフォルト設定における適切なセキュリティレベルの詳細が不足しており、特に消費者向けIoTデバイスに対象を限定しています。
-
Life-cycle
- Design
- Implementation
ISO/IEC 18031:2011
Information technology — Security techniques — Random bit generation
情報技術 — セキュリティ技術 — ランダムビット生成
-
暗号目的のランダムビット生成のための標準で、セキュアなPINやパスワード生成に用いる非決定論的および決定論的なランダムビットジェネレーターのセキュリティ要件を定めています。暗号技術やランダム性が必要な情報セキュリティ分野に適用されます。
-
Rationale : この標準は、暗号目的で使用される非決定論的および決定論的なランダムビット生成の概念モデルを定義し、そのセキュリティ要件を指定しています。ランダムビット列を使用したPINやパスワードの生成にも対応しており、安全な製品設定のためのランダム化されたパスワードや鍵の生成に役立ちます。
-
Gap : この標準はランダムビット生成のモデルの定義に特化しているため、設定管理(configuration management)の具体的な側面には特化していません。
-
Life-cycle
- Design
- Implementation
Discussion