2024年度 第2回定例研究会
<欧州におけるサイバーセキュリティに係る法規制(CRA、NIS2等)への対応>
2024年06月11日開催
講演概要
本講演ではIoT製品やサプライチェーンにおけるセキュリティリスクについて、実際の侵入事例を織り交ぜながら説明します。
次にこれらを背景として欧州で今後施行予定の欧州サイバーレジリエンス法(CRA)やNIS2指令(改正ネットワーク及び情報システム指令)等の法規制の概要を説明します。
最後にこれらの法規制が施行された際の日本企業への影響や準備するべき事項を解説します。
講師
雪本 竜司 氏
セミナーレポート
2024年度 第2回定例研究会は、雪本 竜司氏をお招きし、「欧州におけるサイバーセキュリティに係る法規制(CRA、NIS2等)への対応」をテーマに、ご講演を頂きました。
最初にサイバー攻撃によって企業の機密情報が漏洩し、操業停止に追い込まれるなどインシデント発生時の被害範囲や損害額が過去の事案よりも大きくなっているというサイバー攻撃による被害の実態についてご説明いただきました。近年はIoT機器を狙った攻撃がサイバー攻撃の約3割を占める程に増加しており、攻撃のモデルケースとしてセキュリティ対策が講じられていないWebカメラや家庭用ルータをマルウェアに感染させた後にターゲット企業へDDoS攻撃を仕掛けるといった事例を紹介いただきました。
続いて、サイバー攻撃の対象としてサプライチェーンが今まで以上に狙われている傾向をご説明いただきました。最近のサイバー攻撃ではターゲット企業の本社を直接狙うのではなく、グループ会社や製品パーツを提供している委託先を狙ってランサムウェア攻撃を仕掛けることで工場を停止させるといった手法がトレンドとなっており、子会社や委託先のシステムを経由した攻撃が約半数に達している状況を実際のデータを添えて説明いただきました。サプライチェーンの観点から関連企業のセキュリティへの取り組みについても意識を高める必要性が増していることを実感するお話でした。
次にEUサイバーレジリエンス法(CRA)の概要について説明いただきました。世界各国でサイバーセキュリティ法規の整備が進み、CRAはEU域内でデジタル製品に対するサイバーセキュリティ要件が厳格化されており、日本でもサプライチェーンのサイバーセキュリティを通じて製品業を中心に幅広く影響が出る可能性があることを示唆いただきました。法規を満たさない場合は市場流通の禁止や罰金、その他要請が求められることからデジタル製品の開発・製造・保守の全てのプロセスにおいてハードルが非常に高まっていくことを理解できました。
CRAへの対応として各企業が現状を把握した上でセキュリティ要件に対してギャップ分析を行い、必要な対処を実装することで遵守レベルの達成が必要となることを挙げていただきました。EUを含めたグローバルに多種多様な製品を出荷するために全ての製品に対してセキュリティ対応を実施するアプローチはコスト・リソースの両面で現実的ではないことから体制や運用の整備が肝要となることを説明いただきました。まずは代表的な製品を選定して先行評価し、開発プロセスや製品セキュリティインシデント対応体制(PSIRT)を改善した上で他製品への横展開を実施する流れが現実的なアプローチになります。製品セキュリティのあるべき姿を定義し、実現させるというアプローチがCRAなどの法規制に準拠する際に大切になるという考え方を浸透させることも重要になると思われます。
最後にサプライチェーンリスクへの対応として今後は取引先にセキュリティ要求事項を提示し、点検した後に契約を締結することが重要になることをご説明いただきました。契約を締結した後も取引先のセキュリティ対策状況をモニタリングし、契約終了後にはデータ廃棄の確認を行うなどのサイクルも必要になります。取引先に対するセキュリティ管理を強化するためには各部門でチェックリストや運用ドキュメントのひな形を作成するなどの工夫が求められます。CRAが完全に適用される時期は2027年を予定されており、まだ本格的な開始までは時間があるものの、中小企業も含めて対策が必要な企業が多くなることからセキュリティ管理プロセスをシステム化することも視野に入れて環境を整備する対応は国家レベルの重要課題であると思われます。
当日の参加人数は164名です。
Web会議のチャットを利用して多数の質疑応答が行われ、雪本様より各質問について丁寧にフォローいただき、関係者で意見交換を行う貴重な機会となりました。質疑応答の様子からも本テーマに関する受講者の皆様の関心の高さがうかがえるセミナーとなりました。
講演資料
講演資料は下記からダウンロードできます。(JASA会員/CAIS・QISEIA資格者のみ。ログインが必要です)
ダウンロードページへ