IoT機器やデジタル製品を狙ったサイバー攻撃の急増を受け、製品のセキュリティ対策を可視化し、評価する動きが世界的に加速している。

2024年11月20日、「EUサイバーレジリエンス法:EU Cyber Resilience Act(以下、CRA)」が欧州連合官報(OJ)に掲載され、正式発行された。約3年の移行期間を経た後、2027年12月11日に適用が開始される。また、日本国内では2024年9月30日、情報処理推進機構(IPA)が「IoT製品に対するセキュリティ要件適合評価・ラベリング制度(以下、JC-STAR)」の運用を2025年3月に開始することを発表。これらの新たな法や制度への対応はEU市場での事業継続や国内での製品競争力に直結するため、日本企業にとっても例外なく重要課題となっている。

本稿では、数多くの企業に対してセキュリティ対策のコンサルティング実績を持つ日立ソリューションズの斉藤晃一氏にインタビューを行い、対応が求められる背景と、企業が取り組むべき具体的な対応方法および成功のポイントを聞いた。

  • (写真)日立ソリューションズ社ロゴ前の斉藤氏

    株式会社日立ソリューションズ
    セキュリティサイバーレジリエンス本部 セキュリティコンサルティング部 セキュリティコンサルタント
    斉藤 晃一氏

製品セキュリティ強化に向けた新たな法と制度、いつから取り組むべき?

目下の「CRA」や「JC-STAR」のように、各国でサイバーセキュリティ対策強化を目的としたセキュリティの規則整備が進んでいる。その理由について、斉藤氏は「セキュリティ対策が不十分な製品が市場に出回り、それに起因するセキュリティインシデントが多発している状況です。このままでは危険だという認識が、法制化の背景にあります」と話す。

CRAは、EU域内で販売されるすべてのデジタル製品に対して、一定のセキュリティ基準への適合を義務付ける法律であり、2027年12月11日に適用開始となる。製品がEUの基準に適合していることを表す「CEマーク」を取得している企業は、そこにサイバーセキュリティの要件が追加されると考えるとよい。

2024年12月の発効後、全面適用までは36カ月の猶予がある。ただし、脆弱性の報告義務は21カ月後に開始される。斉藤氏は「開発プロセスの整備や社内体制の構築を考えると、今から準備を始めないと間に合わない企業も多いでしょう」と警鐘を鳴らす。

国内でも製品セキュリティの可視化に向けた取り組みが始まっている。経済産業省が公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」にもとづき、2025年3月からJC-STARが開始される。JC-STARは、IoT製品のセキュリティ対策状況を評価・可視化することを目的とした制度だ。

「JC-STARは任意制度で、わかりやすく言えば、環境配慮製品に付けられるエコマークのような仕組みです」と斉藤氏は説明する。エコマークが“環境負荷が少ないと認められた製品”の目印であるように、JC-STARは“製品のセキュリティ対策レベル”を可視化するものだ。★1(レベル1)から★4(レベル4)までの4段階で評価され、星の数が多いほど、求められるセキュリティ要件が多くなる。

JC-STARの現在の進捗と今後の見通しについて、斉藤氏は次のように述べる。

「現時点では、最低限のセキュリティ対策を示す★1の適合基準・評価手法のみが公開されており、これには16項目の要件があります。★1と★2は自己適合宣言方式(組織・企業が自ら評価し、適合を宣言すること)ですが、★3と★4では、第三者評価機関による評価報告書も求められます。★3と★4は、政府機関や重要インフラ事業者向けの製品が想定されており、将来的にこの認証の取得が調達要件になる方向です。一般企業も、この流れに乗っていくことが予想されます」(斉藤氏)

特筆すべきは、JC-STARが国際的な展開も視野に入れている点だ。将来的には海外制度との相互認証も検討されており、CRAの要件を考慮したものになる。

  • (写真)インタビュイーに答える斉藤氏

    斉藤氏

CRA準拠に向けた取り組みにおける、3つの本質的課題

では、これらの法や制度に向けて、企業は何から行うべきなのだろうか。効果的に対応するには、単なる要件への適合だけではなく、そのための取り組みが必要であると斉藤氏は指摘する。

「まずは要件を正しく理解し、それに適合していることの理由と根拠を説明できることが重要です。そのためには、設計書や仕様書の該当箇所、実施したテストの内容など具体的なエビデンスの準備が必要になります。」(斉藤氏)

また、CRAへの対策としては、以下の3つの本質的な課題に取り組む必要があるという。

1. 説明責任を果たすための体系づくり

まずは、アカウンタビリティの確保だ。自社のセキュリティ対策について、顧客や取引先などのステークホルダーに適切に説明する必要がある。

具体的な取り組みとして、まず製品セキュリティポリシーの整備が求められる。「情報セキュリティポリシーは多くの企業が公開していますが、それと同様に製品のセキュリティポリシーを定める必要があります。また、脆弱性が発見された際の対応方針(脆弱性開示ポリシー)も明確にしておく必要があります」と斉藤氏は説明する。

情報の開示方法も重要な検討事項となる。Webサイトでのポリシーの公開、製品マニュアルでの具体的な説明、取引先との契約書における要件の明確化など、ステークホルダーに応じた適切な情報提供が求められる。

2. 実効性のある組織体制の確立

組織体制の構築も重要なポイントとなる。

「製品開発チームやPSIRT(製品セキュリティインシデント対応チーム)など、開発から保守まで幅広い役割分担が必要になります。まず製品セキュリティポリシーを定め、それにもとづいて具体的なルールや基準を決めていく。そして最終的には実務者が実際に動けるような詳細な手順書のレベルにまで落とし込まなければなりません」(斉藤氏)

ただし、これらの取り組みは現場の負担増加につながる。開発部門、保守サポート部門、営業部門など、実際の業務担当者の仕事が増えることになるため、必要性を理解してもらい、自分ごととして取り組んでもらうための工夫が欠かせないという。

「たとえば、適合を推進するプロジェクトチームを作る際は、全体の旗振り役だけでなく、現場のメンバーにもしっかりと参画してもらう必要があります。現場の声を聞いたうえでプロセスを決定し、それを実行に移していくというアプローチが重要です。また、教育や啓発活動も大切です。繰り返しの教育や活動を通じて、『これは確かに必要な取り組みだ』と現場の方々に納得していただく。チームメンバー全員の熱意が欠かせません」(斉藤氏)

3. 継続的な改善サイクルの構築

体制や手順を作って終わりでは、真のセキュリティ対策にはなりえない。自分たちでPDCAサイクルを回せるようになることが最終的なゴールとなる。斉藤氏は「現場からのフィードバックを生かし、継続的に改善できる仕組みづくりが不可欠です」と語る。

さらに斉藤氏は、見直しの機会についても言及する。

「ルール、手順書といった各レベルの文書は、新たな脅威を確認した際やインシデント対応後の振り返りの際など、必要に応じて適宜改訂していく必要があります。そのための組織的な仕組みを整えることが重要です」(斉藤氏)

企業の法対応の道のりをバックアップする、日立ソリューションズのアプローチ

「私たちの役割は、お客さまがお客さまの目線、やり方で最適解を見つけるためのサポートを行うことです」と斉藤氏は語る。日立ソリューションズの強みは、SIベンダー・製品開発ベンダーとしての豊富な実績を生かした、実践的な支援力にある。既存の開発プロセスとの整合性を重視し、現場の実情に合わせた実践的な支援が、同社のセキュリティコンサルティングの特長だ。必要に応じてセキュリティ対策ツールの提供や具体的な実装支援まで、ワンストップでサポートすることも可能である。

「国際標準や規則の要件を読んでも、具体的に何をどこまでやればよいか、多くの企業が悩まれることでしょう。私たちは製品開発の現場を知る立場として、お客さまの製品特性に応じた具体的な対策案を提示します。また、セキュリティ対策は、お客さまの既存のセキュリティ方針や開発プロセス、保守体制と整合させなければ機能しません。これまでのやり方を大きく変えることなく、新しい要件を組み込んでいく。それが私たちのアプローチです」(斉藤氏)

同社のCRA対応に向けた支援「サイバーレジリエンス法対応支援コンサルティング」では、製品のリスク評価から脆弱性管理体制の整備まで、包括的なサポートを展開している。セキュリティ・バイ・デザイン(製品の企画・設計の段階からセキュリティ対策を盛り込む考え方)の実現に向けて、企画・設計から開発、保守・運用に至る製品ライフサイクル全体を見据えた支援と、IEC62443などの国際規格を踏まえた実践的なガイダンスを提供している。また、法対応で重要となる脆弱性管理については、SBOM(ソフトウェア部品表)の導入やセキュリティパッチの適用方法の検討、脆弱性情報の収集・分析まで、きめ細かなサポートを実施している。

国内のJC-STARへの対応としては「セキュリティラベリング制度 適合支援コンサルティング」を展開している。各要件の適合規準・評価手順について詳しく説明し、企業の業務内容や製品の特性と照らし合わせながら、必要な対策を顧客と一緒に検討。顧客とすり合わせた対策を、社内・現場へ適用するための支援も行っている。2025年3月に受付開始される★1取得のため自己適合宣言の作成を支援するのはもちろん、将来的な★2以上の適合に向けた準備など、企業の状況に応じた支援を行っていく。

「正解は1つではありません。答えは、お客さまや製品によっても異なります。私たちは正解を押し付けるのではなく、お客さまの背中をそっと押す役割に徹します。そのために、現場の方々と議論を重ね、実現可能な対策を一緒に考えていきます」と、斉藤氏は日立ソリューションズのコンサルティングの姿勢を語る。

セキュリティ対策が新たな価値を生み出す

製品セキュリティへの取り組みは、もはや対応できていれば十分という段階ではなく、計画的な準備と確実な実行が、企業の将来を左右する重要な要素となっている。

「法令や制度適用の直前になってから慌てて対応すると、抜け漏れが発生しやすくなります。特にEU市場では、基準を満たさない製品は販売できなくなります。さらに、不適切な自己適合宣言をして問題が発覚すれば、企業の信頼を大きく損なうことにもなりかねません」と斉藤氏は忠告する。

しかし、こうしたセキュリティ対策は、単なるリスク回避以上の価値を生み出す可能性を秘めている。「最近では、企業情報にガバナンスやサイバーセキュリティへの取り組みが積極的に記載されるようになってきました。将来的には、セキュリティ対策の質が、企業や製品の選択における重要な判断基準となるはずです」と斉藤氏はいう。

ただし、ここで重要なのは投資対効果のバランスだ。最後に斉藤氏は、セキュリティ対策を企業価値向上の機会として捉える視点を込め、次のように語った。

「単にコストをかければよいわけではなく、適切なコストで効果的な対策を実現する。そうしたお手伝いを通じて、お客さまのビジネス成長に貢献していきたいと考えています」(斉藤氏)

関連リンク

関連記事

【KDDI総合研究所✕日立ソリューションズ座談会】SBOM対応の現在地とこれから~通信業界における取り組みから紐解く~
https://news.mynavi.jp/techplus/kikaku/20241008-3017960/

[PR]提供:日立ソリューションズ