日本の製造業にも関係あり!?「NIS2指令」、「EUサイバーレジリエンス法」とは?

  • お役立ち情報

2024年08月02日

  • サイバー攻撃対策
  • セキュリティー対策

昨今、サイバー攻撃が世界的に増加しており、その標的は企業規模に関わらずあらゆる企業に広がっています。そして、サイバー攻撃の被害に遭った際の影響はその企業だけにとどまりません。例えば、関係会社の工場などのOT(Operational Technology)領域が狙われ、サプライチェーン全体が止まってしまうなど、社会全体に影響を与える可能性があります。
このような現状に対応するため、EUではサイバーセキュリティーに関する法規制が次々と進められています。今回はその中でも日本企業、特に製造業への影響が予想される「NIS2指令」と「EUサイバーレジリエンス法(以下、CRA)」について解説します。
 
サイバー攻撃の巧妙化とそれに伴うサイバーセキュリティー対策の強化はEUだけでなく世界的な流れとなっており、日本も例外ではありません。「自分たちが狙われるわけがない」や「セキュリティー対策は万全だから、これ以上対策すべきことはない」と感じている方も、ぜひ一度本記事に目を通していただき、自社のセキュリティー対策について改めて見直してみてはいかがでしょうか。

目次

EUのサイバーセキュリティーに関する法規制の背景

そもそも、なぜサイバーセキュリティーに関する法規制がEUで必要になったのでしょうか。NIS2指令とCRAが生まれた背景を簡単に解説します。
 
2016年初頭から世界中で毎日何千件ものランサムウエアの攻撃が発生しており、多数のEUの企業もその影響を受けました。ユーロバロメーターの調査によると、回答者の87%がサイバー犯罪をEUの国内安全保障に対する重要な課題とみなしており、大多数がさまざまな形態のサイバー犯罪の被害者になることを懸念していました※1。ネットワークや情報システムに重大な障害が発生すると、個々の加盟国とEU全体に影響を及ぼす可能性があります。従って、EU全体のセキュリティーレベルを向上させるためには、以下2つの課題への対応が必要となりました。

  • EU加盟国間でのサイバーセキュリティーの規制や基準に違いがあるため、多国間でのサプライチェーンの安全を確保できない
  • デジタル製品の脆弱性の多さに対して企業のセキュリティーアップデートが不十分であり、ユーザーが安全な製品を選択するための情報がない

このような課題にEU全体で対応するため、NIS2指令とCRAという法規制が誕生しました。

NIS2指令、CRAの概要

ここからNIS2指令とCRAの内容に触れていきます。それぞれの概要は次の通りです。

NIS2指令とCRAの概要
図1:NIS2指令とCRAの概要

NIS2指令は、2016年に制定された「NIS指令」を改正したもので、ネットワークおよび情報セキュリティーに関する要件が記載されています。つまり、「サプライチェーン全体でセキュリティーを強化しよう」という内容です。
COVID-19の感染拡大以降、これまで以上にネットワークや情報システムへの依存度が高まり、NIS指令の対象範囲を拡大する必要がありました。また、企業間や国家間でセキュリティーに関する対応に差が生まれ、国家を跨ぐサプライチェーンを守り切れなくなってきました。それらの問題を解決するために、法規制の対象となる業種の拡大とサイバーセキュリティーレベルが厳格化されたNIS2指令へと改正されました。
 
CRAでは、デジタル製品のセキュリティー要件について記載されており、「製造業者は製品のライフサイクル全体でデジタル製品の安全性を確保しよう」という内容で、対象はEU域内で販売されるデジタル製品です。ここでの「デジタル製品」とは、ソフトウエア、ハードウエア、コンポーネントなどの形態・容姿に関係なく、ネットワークやデバイスにつながるものを指します。
 
それぞれの内容をもう少し詳しく解説していきます。

NIS2指令について

まずは、情報セキュリティー対応を強化するNIS2指令ついて解説します。

適用範囲

NIS2指令ではサービスの特性や規模などによって社会への影響やリスクが異なることから、適用範囲の事業体を「主要エンティティー」と「重要エンティティー」の2つのカテゴリーに分類しています。

NIS2指令の適用範囲の事業体分類
図2:NIS2指令の適用範囲の事業体分類

NIS2指令は「従業員数が50人以上かつ年間売上高が1,000万ユーロ以上の企業でさらに、主要および重要エンティティーに属しており、EU域内にてサービスの提供あるいは活動をする企業」が適用対象です。例外として、企業規模に関係なく、社会、経済、あるいは特定の部門や種類のサービスにおいて重要な役割を担う(サービスの停止により重大な影響のある)特定の基準を満たす事業体や行政機関も、本指令の適用範囲に含まれます。(詳細はEUR-Lex を確認してください)

最低限取り組むべき対策

ネットワークおよび情報システムのセキュリティーにもたらされるリスクを管理するために、最低でも以下10項目の技術的、運用的および組織的対策を実装することが求められています。

リスク管理のために最低限取り組むべき対策
図3:リスク管理のために最低限取り組むべき対策

これらの項目が示すように、組織はあらゆる種類のインシデントと緊急事態に備え、ネットワークや情報システム、そしてそれらの物理的環境を保護することができるように対応する必要があります。

報告義務

サイバーレジリエンスを強化するため、インシデント報告に記載すべき事項と報告期限が明確化されました。インシデントが発生した場合、該当企業は所轄官庁または指定のCSIRTへ段階的に最低3回の報告が必要です。報告が必要となるタイミングは以下の通りです。

インシデントを認識してから24時間以内

早期報告:インシデントが違法行為や悪意ある行為に起因するものか、または国境を越えた影響をおよぼす可能性があるかを報告

中間報告 ※必要に応じて

前回の報告からの更新情報

インシデント通知後1カ月以内

最終報告:原因、緩和的措置、影響範囲など、インシデントに関する詳細な説明

重要インシデント発生から最終報告までの流れ
図4:重要インシデント発生から最終報告までの流れ

罰則

規制に準拠していない場合、主要および重要エンティティーは、以下のような罰金を科されるリスクがあります。
 
主要エンティティー
最高で1,000万ユーロ、または事業者の全世界年間総売上高の2%のいずれか高い方の額の罰金
重要エンティティー
最高で700万ユーロ、または事業者の全世界の年間総売上高の1.4%のいずれかの高い方の額の罰金
企業に与える金銭的損失、違反に対するレピュテーションリスクに伴う機会損失なども踏まえると、事業への影響は大きいものと言えます。

CRAについて

続いて、デジタル製品のセキュリティー対策を強化するCRAについて解説します。CRAでは、より安全なハードウエアおよびソフトウエア製品を確保するためのサイバーセキュリティー要件が義務付けられています。
対象となる製品は、EU域内で販売されるデジタル要素を備えた全ての製品です。つまり、デバイスやネットワークに直接、間接的に接続されるものも含まれ、非常に多くの製品が対象となります。(医療機器、体外診断用医療機器、航空機、自動車の型式承認対象製品は除外)
EU域内で販売されるデジタル要素を備えた全ての製品が対象のため、これらの製品をEU域内で販売する日本企業も対応が必要です。

デジタル製品の分類

CRAでは使用される環境や取り扱うデータの機密性、影響の範囲を考慮して「重要なデジタル製品」を特定し、その中でもさらに低リスク・高リスクに分類しています。
対象製品と分類は以下のとおりです。

デジタル製品の分類
図5:デジタル製品の分類

適合性評価の実施

デジタル要素を備えた製品をEU域内で販売するためには、セキュリティーに関する品質・安全性に関する認証が求められます。なお、デジタル製品の分類によって認証方法が異なります。

重要なデジタル製品以外

自己適合宣言か第三者認証を選択可能。

重要なデジタル製品

第三者認証が必須。ただし、低リスク製品のうちEUCC※2やEN規格※3の対象であるものはすでに別認証を取得していると認められるため、第三者認証は不要。

適合性評価の方法
図6:適合性評価の方法

適合性評価を通じてCRAへの適合が証明されると、製造業者はEU適合宣言書を作成し、デジタル製品にCEマークを貼付します。また、デジタル製品を市場に出す前に適合性に関する技術文書を作成する必要があり、技術文書とEU適合性証明書は上市後10年間、市場監視当局が自由に使えるように自社に保管する義務があります。 

プロセス要件

CRAにより、製造業者はセキュリティー要件や脆弱性対策要件の実施などの義務を課せられます。どのような対応が求められているのか、最低限知っておくべき要件をピックアップし、それらを製品ライフサイクルで整理したものが以下になります。

セキュリティー特性要件と脆弱性処理要件
図7:セキュリティー特性要件と脆弱性処理要件

ここで着目してほしいポイントは大きく分けて3つあります。

  • 開発段階だけでなく、製品ライフサイクル全体でセキュリティー対応が必要
  • SBOM作成や更新プログラムの提供が必要
  • インシデントを認識してから24時間以内にENISA(欧州連合サイバーセキュリティー機関)に通知が必要

製品のライフサイクル全体でセキュリティーの対応をするということは、全社的にポリシーを策定する必要があります。例えば、毎月脆弱性に関する情報をリリースする場合、継続対応を行う部門の設置が新たに必要です。そのため、社内体制の見直しや各部門の役割分担を明確にしておくことが重要となります。

Software Bill of Materials (SBOM)の作成

セキュリティー要件や脆弱性対策要件の着目してほしいポイントとして、「SBOMの作成」と記載しましたが、皆さんはSBOMをご存じでしょうか。
SBOMとは、ソフトウエアの部品構成表のことです。
もう少し具体的に説明すると、ソフトウエアを構成する各コンポーネントを誰が作成し、何が含まれて、どのような構成であるかなどを表すものです。
では、なぜSBOMを作成しなければならないのでしょうか。理由は以下の通りです。

  • 悪意のあるコードや脆弱性の特定が容易になる
  • オープンソースの利用状況を把握でき、セキュリティーの管理と修正がしやすくなる
  • ライセンスに関連するリスクや管理工数を低減できる
  • 必要なアップデートやパッチの特定と効率的な適用が可能になる

このように、SBOMは企業のセキュリティーを強化する上で必要不可欠なものです。CRAの適用範囲ではSBOMの作成が求められていましたが、日本でもいずれ必要になると予想しています。経済産業省で産業分野ごとのSBOM導入に向けた議論や実証実験が始まるなど、普及に向けた取り組みが進んでいるため、皆さんもSBOMの導入を検討してみてはいかがでしょうか。

まとめ

NIS2指令やCRAが示すように、サイバーセキュリティー対策は国際的に重要な課題となっています。EUに輸出する機器においては対応が求められており、グローバルにビジネスを展開する企業にとってはすでに対策を講じる時期にあることを認識すべきです。この動向は日本企業にも波及する可能性があり、企業や組織がサイバー攻撃への対策を真剣に考える時期にきています。
サイバーセキュリティーはもはや他人事ではなく、影響を受ける可能性がある全ての人々にとって重要な問題です。早期の対策と対応が、安全で信頼性の高いデジタル環境の構築に不可欠になりますので、皆さんも検討を始めてみてはいかがでしょうか。
 



IT SECURITY ANNEX

関連情報

関連ソリューション

関連コラム

お問い合わせ

お客さまの立場で考えた、
最適なソリューションをご提供いたします。
お気軽にお問い合わせください。