「疎かにすれば市場を失う」発効まで1年半、日本企業を阻む欧州サイバーレジリエンス法“3つの壁”と対策

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [「疎かにすれば市場を失う」発効まで1年半、日本企業を阻む欧州サイバーレジリエンス法“3つの壁”と対策](https://enterprisezine.jp/article/detail/21687)【EnterpriseZine】(2025年03月29日) --- > [!NOTE] この記事の要約（箇条書き） - 欧州サイバーレジリエンス法（CRA）が2024年10月10日に成立し、2027年12月11日から全面適用される。 - デジタル要素製品の欧州市場販売には、認証機関発行のCEマーク取得が必須となる。 - CRA成立の背景には、IoT機器を狙ったサイバー攻撃の増加（例：Jeepリコール、Miraiマルウェア、ペースメーカー脆弱性）がある。 - 米国のIoTセキュリティ法、日本の電気通信事業法・JC-STAR、英国のPSTI法など、IoTセキュリティに関する法規制は世界的に強化されている。 - 欧州製造物責任法（PL法）も改正され、ソフトウェアやサービス提供者の責任、データ損害も補償対象に含まれるようになった。 - 日本の製造業は、市場での信頼と競争力維持のため、製品のサイバーセキュリティ確保と法規制動向の注視が喫緊の課題とされている。 > [!NOTE] 要約おわり --- ![「疎かにすれば市場を失う」発効まで1年半、日本企業を阻む欧州サイバーレジリエンス法“3つの壁”と対策 (1/3)|EnterpriseZine（エンタープライズジン）](https://ez-cdn.shoeisha.jp/static/templates/img/common/logo_enterprisezine_h.svg) ※旧SEメンバーシップ会員の方は、同じ登録情報（メールアドレス＆パスワード）でログインいただけます - [Security Online](https://enterprisezine.jp/securityonline) - [DB Online](https://enterprisezine.jp/dbonline) - [ニュース](https://enterprisezine.jp/news) - [新着記事一覧](https://enterprisezine.jp/article) - [イベント](https://event.shoeisha.jp/ezday/) - [ブログ](https://enterprisezine.jp/blog) [DX／デジタル変革](https://enterprisezine.jp/dx/) [クラウド](https://enterprisezine.jp/cloud/) [データ分析／活用](https://enterprisezine.jp/bigdata/) [データベース](https://enterprisezine.jp/storage/) [セキュリティ](https://enterprisezine.jp/security/) [事例](https://enterprisezine.jp/case/) [システム構築／運用](https://enterprisezine.jp/itinfrastructure/) [サステナビリティ](https://enterprisezine.jp/sustainability/) [官公庁・自治体](https://enterprisezine.jp/government/) [Security Online Press](https://enterprisezine.jp/article/corner/352) 既に出後れている国内製造業……まず何から始める？ \[著\] - [品質向上](https://enterprisezine.jp/article/t/%E5%93%81%E8%B3%AA%E5%90%91%E4%B8%8A) - [IoTセキュリティ](https://enterprisezine.jp/article/t/IoT%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3) - [通知](https://enterprisezine.jp/push/) 　2024年10月10日、デジタル要素を含む製品の消費者を保護し、製品におけるサイバーセキュリティの確保を製造者に義務付ける「欧州サイバーレジリエンス法（CRA）」が成立した。この法律は2026年9月から一部適用され、2027年12月11日から全面適用される見込みだ。最大のポイントは認証機関が発行する「CEマーク」を取得できない製品は欧州市場で販売できなくなること。一見時間に猶予があるように見受けられるが、何も対策していない製造業がいちから対策を考えるとなれば、残された時間は決して多くない。CRAで何がどう変わるのか、日本の製造業はどのような対応を取るべきか。今回は、総務省・経済産業省が公表している「IoTセキュリティガイドラインv1.0」の策定に携わった経験を持つGMOサイバーセキュリティ byイエラエの伊藤公祐氏が解説した内容をお届けする。 - [通知](https://enterprisezine.jp/push/) ## 140万台の大規模リコール、人命に関わる脆弱性も…… 　冒頭でも触れたとおり、2024年10月10日に「 **欧州サイバーレジリエンス法（CRA）** 」が成立し、2026年9月から一部適用が始まる。成立の背景には、IoT機器を狙ったサイバー攻撃の増加がある。IoTセキュリティに15年以上携わる伊藤氏は「現在、 **インターネット上でIoT機器の脆弱性を探しているパケットは増加の一途** をたどっています。セキュリティ対策が十分でない無防備な製品をネットワークにつないでしまうとあっという間に攻撃の被害に遭う状況があります」と警鐘を鳴らす。　実際に、IoT製品に脆弱性が見つかったことで、事業に甚大な被害が及んだ企業は少なくない。2015年には、米国のセキュリティ専門家の2名がFiat Chrysler Automobiles社（現：Stellantis社）の自動車ブランド「Jeep Cherokee（ジープ・チェロキー）」をハッキングする実験に成功したことで、 **140万台の大規模リコール** が行われている。「この事件を契機に、自動車業界におけるサイバーセキュリティへの認識が大きく変わりました。『実験でハッキングされただけだ』とそれほど重要視されていなかったものが、リコールにつながるのだと実証されたからです」と伊藤氏は語る。 ![画像を説明するテキストなくても可](https://ez-cdn.shoeisha.jp/static/images/article/21687/21687_top.png) GMOサイバーセキュリティ byイエラエ株式会社グローバル戦略本部部長伊藤公祐氏　また2016年10月には、防犯カメラやルーターなどのIoT機器を標的とするマルウェア「 **Mirai** 」が **大規模なDDos攻撃** を米国の各企業へ仕掛け、大きな被害が発生した。Miraiは、IoT機器の工場出荷時にログイン情報として登録される **初期値のIDとパスワード情報をもって他にIoT機器に侵入を試みる** という特徴がある。このインシデントは、IoT製品を提供する企業がすべての製品においてIDとパスワードの初期値を一律にしていたことと、さらにユーザー企業の多くがパスワードを初期値から変更していなかったことが被害の拡大につながった事例といえる。　さらに2017年には、メディカル領域でも大規模リコールが発生した。米国の医療機器メーカーAbbott社が提供する **心臓ペースメーカーにおいて患者に危害を加えられる恐れがある脆弱性が発見** され、リコールが行われている。米食品医薬品局（FDA）は米国全体で **46万5000台のペースメーカーに影響がある** としてセキュリティ勧告を出し、Abbott社はその後ファームウェアのアップデートでこの脆弱性を修正しているが、「人命に関わる重要なIoT機器の設定を誰でも変えられてしまうような脆弱性が見つかったので、非常に大きな問題になりました」と伊藤氏は説明する。　このように、IoT製品の脆弱性を狙った攻撃の被害が深刻化していることを受け、業界標準や国際標準を定めようとする動きが活発化している。特に最近の兆候として、「従来定められていた **製品の安全性を担保する規格に突然サイバーセキュリティの要件が入ってくる** 、といった変更がよく見られます。つまり、新しい要件を追いかけるだけでなく、これまで自分たちが安全性の標準だと思っていた規格の変更にも注意が必要だということです。そのため、自社に関わる業界の動向は常にウォッチしておく必要があるでしょう」と注意を呼び掛ける。 ## 法規制のベースラインを作った“3国の事例” 　法令によって強制力をより高める動きも本格化してきた。特に早い段階で動いたのが米国のカリフォルニア州とオレゴン州だ。先述したMiraiによるDDos攻撃が契機となり、2020年1月に「 **IoTセキュリティ法** 」を施行。州内で販売されるIoT製品へのセキュリティ要件の実装を義務付けた。「この法令ではMiraiのDDos攻撃被害を踏まえ、IoT製品を提供する企業に対して少なくともID・パスワードは一意のものを顧客に配布することが課せられています」と伊藤氏。　日本国内では、総務省が米国の動きに追随する形で対応が進み始めた。直接インターネット回線に接続する機器を対象として、 **電気通信事業法にIoTセキュリティ基準を盛り込み** 、2020年4月から施行。また英国では、2024年に「製品セキュリティおよび通信インフラストラクチャ法規制（Product Security and Telecommunication Infrastructure Act： **PSTI法** ）」が施行され、コンシューマー向けIoT製品に対してサイバーセキュリティ要件が定められた。「ここまで見てきた米国2州、日本、英国の法令によってベーシックな法規制対応が始まりました」と伊藤氏は説明する。　さらに、2025年3月からはインターネットとの通信が行える幅広いIoT製品を対象に、「 **JC-STAR** （Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements）」と呼ばれる **セキュリティ要件適合評価およびラベリング制度** が日本で開始された。独自のセキュリティ技術要件に基づき、IoT製品に対する適合基準への適合性を確認・可視化するものだ。こうしたIoTのセキュリティ認証マークを付与する取り組みも広がっているという。　もう一つ注目すべきIoTセキュリティの動向として、伊藤氏は「 **欧州の製造物責任法（PL法）の考え方が変化** している」ことを挙げる。欧州におけるPL法の原則である「製造物責任指令（Product Liability Directive）」が全面的に改正され、CRA施行日（2024年12月11日）の直前となる12月8日に施行された。改正のポイントには、アプリケーションやオペレーティングシステム、AIなど **すべての種類のソフトウェアが適用対象** となっていること、 **サービス提供者側にも責任の所在を明確にした** こと、従来は「人的損害（人身傷害）」、「物的損害（財物に生じた損害）」損害の補償範囲となっていたが、この改正で「 **データの破壊または破損** 」による被害も新たに取り締まりの対象に追加されたことが挙げられる。　このような動向を踏まえ、伊藤氏は「そろそろ『何もやっていない製品ベンダーは大丈夫なのか』といった不安を持つ企業が増えてきています。今後顧客から信頼されるメーカーとしてブランドを確立していくためには、IoT製品のセキュリティ確保が必須の要件になると我々は考えています」と分析する。 [次のページ発効まで1年半……CRAは国内製造業にどう影響する？](https://enterprisezine.jp/article/detail/21687?p=2) この記事は参考になりましたか？ - [印刷用を表示](https://enterprisezine.jp/article/detail/21687?mode=print) Security Online Press連載記事一覧 - [「SplunkはCiscoによって進化する」本社経営陣が明かす、AI時代の“データ覇権”を...](https://enterprisezine.jp/article/detail/22715) - [SplunkとCiscoの統合が本格化.conf25で「Cisco Data Fabri...](https://enterprisezine.jp/article/detail/22697) - [板倉弁護士が警鐘「今が意思反映の最後のチャンス」データ・AI関連の法改正で企業が押さえるべ...](https://enterprisezine.jp/article/detail/22319) [もっと読む](https://enterprisezine.jp/article/corner/352) この記事の著者竹村美沙希（編集部）（タケムラミサキ）株式会社翔泳社 EnterpriseZine編集部 ※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容ですこの記事は参考になりましたか？この記事をシェア - [通知](https://enterprisezine.jp/push/) - ![](https://enterprisezine.jp/static/images/article/22461/21933_400.png) [誰が担うのか？ ISO/SAE 21434やUN-R155で迫られるサプライチェーン全体での協調](https://enterprisezine.jp/article/detail/22461) - ![](https://enterprisezine.jp/static/images/article/22286/22286_side.png) [柔軟な開発か品質の確保か？アジャイル開発を活かせない企業に必要な“テスト自動化×AI”のアプローチ (AD)](https://enterprisezine.jp/article/detail/22286) - ![](https://enterprisezine.jp/static/images/article/22086/22086-arena.png) [大手小売業が人事データを可視化、カギは「1つに絞らないこと」勘と経験に頼らないシステム構築の術 (AD)](https://enterprisezine.jp/article/detail/22086) [![EnterpriseZine Event](https://ez-cdn.shoeisha.jp/static/templates/img/common/logo_enterprisezineday.svg)](https://event.shoeisha.jp/ezday/) EnterpriseZine（エンタープライズジン）編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。