--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [欧米で急速に進みつつある製品セキュリティの法整備](https://japan.zdnet.com/article/35237294/)【ZDNET JAPAN】(2025年09月08日) --- > [!NOTE] この記事の要約（箇条書き） - **欧米での製品セキュリティ法整備の加速**: IoT化（デジタル化）の進展に伴うサイバー攻撃リスクの増大を受け、米国と欧州で製品セキュリティに関する法整備が急速に進んでいる。 - **米国大統領令（EO 14028）**: 2021年に発令され、SolarWinds事件などのサプライチェーン攻撃を背景に、ソフトウェアサプライチェーンのセキュリティ強化、SBOM（Software Bill of Materials）の義務化、情報共有の促進、安全なソフトウェア開発環境の確保、消費者向けサイバーセキュリティラベリング制度の創設などを要求。連邦政府調達品が対象だが、事実上の業界標準となる。 - **欧州サイバーレジリエンス法（CRA）**: 2024年施行（脆弱性・インシデント報告義務は2026年9月11日適用開始）で、EU市場に流通する全てのデジタル製品（ハードウェア、ソフトウェア）が対象。設計・製造段階でのセキュリティ要件、最低5年間の継続的なセキュリティサポート、脆弱性のENISAへの報告義務、適合性評価、情報提供義務を課す。医療機器や自動車関連機器など、既存の厳しい規制がある分野は対象外。EU市場への輸出を行う日本企業にも大きな影響を与える。 > [!NOTE] 要約おわり --- - - [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35237294%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35237294%2F&hashtags=ZDNET) - - 印刷する - - メールで送る - テキスト - HTML - 電子書籍 - PDF - - ダウンロード - テキスト - 電子書籍 - PDF - - クリップした記事をMyページから読むことができます 　本連載「 [企業セキュリティの歩き方](https://japan.zdnet.com/security/sp_17securityarukikata/) 」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティのスキルを向上させていくための視点やヒントを提示する。 [前回](https://japan.zdnet.com/article/35236800/) は、技術の低コスト化や高性能化によるセンサーの普及から現実世界（物理世界）の情報をデジタル化しやすくなったこと、組み込み製品やデジタル製品が日々進化していること、それらによって世の中がこれまで以上に便利になっている現状を述べた。 　さらに、あらゆるモノがインターネットにつながり、物理空間とサイバー空間が融合し始めた現在では、サイバー攻撃への対策が従来のようなサーバーやストレージなどIT分野だけにはとどまらなくなった現状についても述べた。今回は、こういった現状がもたらす新たなリスクに対して米国や欧州が強い危機意識を持ち、新しい法的な枠組みを作っていることについて述べる。 ## デジタルの深化が生んだ新たな脅威と欧米各国の対応 　現代社会は、スマートフォンやPCといった個人のデバイスから自動車、家電、さらには工場設備や電力網といった社会インフラに至るまで、あらゆるものがインターネットに接続される「IoT化（デジタル化）」の時代を迎えている。 　IoT化は、私たちの生活を豊かにし、産業の効率化を飛躍的に向上させた一方で、新たな脅威をもたらしつつある。インターネットに接続されたデジタル製品は、常にサイバー攻撃のリスクにさらされている。そして、リスクが顕在化することで、企業活動の停止、個人情報の漏えい、さらには社会インフラのまひといった深刻な事態につながりかねないのである。 　こうした状況を踏まえ米国や欧州は、サイバーセキュリティの確保を国家的な課題と位置付け、法整備を加速させた。最初に動いたのは、意外なことにセキュリティやプライバシー保護より事業による利益を優先しがちなはずの米国だった。2021年に米国大統領令（EO 14028）が発令され、これによってソフトウェアサプライチェーンのセキュリティ強化が急速に整備されつつある。 　一方で、プライバシーや情報保護において世界で最も厳しい政策を続けてきた欧州でも、包括的な規制である「Cyber Resilience Act」（CRA：サイバーレジリエンス法）が2024年に施行され、欧州連合（EU）域内で販売されるデジタル製品に対するセキュリティ要件を厳格化する動きが進んだ。 　欧州には、2018年5月に施行された「一般データ保護規則」（GDPR）もあり、厳格な情報保護の方向性を打ち出してきた。そのため、製品セキュリティに関する法令整備などは米国より遅れたものの、比較的妥当な動きだとも言える。 　しかも、これらの法律は単に米国やEU加盟国の域内市場におけるルールを定めたものではない。グローバルなサプライチェーンを通じて、日本を含む世界中の製造業に大きな影響を及ぼすものとなっている。 [PAGE 2](https://japan.zdnet.com/article/35237294/2/) ## 米国大統領令（EO 14028） 　先述の米国大統領令は、2021年5月12日にJoe Biden前大統領によって署名された。その背景には、SolarWindsへのサイバー攻撃事件をはじめとする、サプライチェーンを狙った大規模かつ数多くのサイバー攻撃があった。 　SolarWindsへの攻撃は、米国の政府機関や民間企業が広く利用していたネットワーク管理ソフトウェア「Orion」に悪意のあるコードが埋め込まれたことで、多数の組織が不正アクセスを受け、国家安全保障上の深刻な脅威となった事件だった。この事件の最大の教訓は、単一のソフトウェア製品の脆弱（ぜいじゃく）性がサプライチェーン全体に連鎖的な被害をもたらすことを明確に示した点である。 　このような具体的な脅威が明らかになったこともあり、米国大統領令では、サプライチェーンへのサイバー攻撃対策を強化するため、以下に示すような内容が盛り込まれている。 ### 1．ソフトウェアサプライチェーンのセキュリティ強化 　政府が調達するソフトウェアについて、セキュリティ基準を確立し、開発者に対し、より安全なソフトウェア開発を義務付け、ソフトウェアのセキュリティと整合性を確保するため、信頼できるソースコードの管理と維持、脆弱性のチェックと対応などを求める。 ### 2．SBOMの義務化 　ソフトウェア開発者に対し、各製品のソフトウェア部品表（SBOM：Software Bill of Materials）を政府の購入者に提供することを義務付けた。SBOMによって、ソフトウェアの構成要素を可視化し、複雑な構成によって埋没しがちな脆弱性を特定することも意図している。 ### 3．情報共有の促進 　連邦政府機関や重要インフラ企業に対するサイバー攻撃が発生した場合の情報共有と対応体制の強化が規定された。具体的には、政府にサービスを提供するITプロバイダーに対し、政府ネットワークに影響を与え得るサイバーインシデントや脅威の情報を共有するよう要求している。 ### 4．安全なソフトウェア開発環境の確保 　ソフトウェアの開発環境自体の安全性を確保し、安全な開発プロセスを順守することを求めている。 ### 5．消費者向けサイバーセキュリティラベリング制度の創設 　消費者向けIoT製品やソフトウェアのセキュリティ向上を目的として、製品の安全性を星の数などで評価する「サイバーセキュリティラベリング」制度の創設を指示している。 　米国大統領令の対象は、直接的には連邦政府が調達する製品に適用されるだけのものながら、結果としてその要求内容は、事実上の業界標準となるだろう。連邦政府と取引のある企業はこの要件を満たす必要があり、影響はグローバルなサプライチェーン全体に波及するはずだ。実際、日本政府の動きにもこの米国大統領令が波及したと思われる政策が散見され、日本の製造業においても「対岸の火事」と傍観しているわけには行かなくなり始めている。 [PAGE 3](https://japan.zdnet.com/article/35237294/3/) ## サイバーレジリエンス法（CRA） 　CRAは、2022年9月に欧州委員会によって提案されたサイバーセキュリティに関する包括的な規制だ。その目的は、EU市場に流通する「デジタル製品のサイバーセキュリティ要件を標準化」し、消費者保護を強化することにあると思われる。 　この法整備の背景には、IoTデバイスの普及に伴う脆弱性の増加と、それによるプライバシー侵害やサイバー攻撃による脅威の増大がある。インターネットに接続されたスマートスピーカー、防犯カメラ、家電製品などは、一度脆弱性が発見されると攻撃者に悪用されることが多い。個人情報の流出や分散型サービス妨害（DDoS）攻撃の踏み台として悪用される例が数多く報告されている。 　製造されたデジタル機器やIoT機器のセキュリティは、以前からそれなりの規制はあったものの断片的なものが多かった。そのため、製品セキュリティのレベルは製造業者に委ねられ、消費者はそれを信じるしかないのが実状だった。 　CRAは、そのような状況から規制を強化する新しい法的な枠組みだ。全てのデジタル要素を持つ製品（ハードウェアとソフトウェアの両方）を対象とし、以下の主な要件を課している。 ### 1．設計・製造段階でのセキュリティ要件 　製品の設計段階からセキュリティを考慮し、脆弱性のリスクを最小化することを義務付けている。 ### 2．継続的なセキュリティサポートの義務 　製品の販売後も製造業者は、一定期間（最低5年間）セキュリティアップデートを提供し続ける義務を負う。 ### 3．脆弱性の報告義務 　重大な脆弱性が発見された場合、製造業者は欧州サイバーセキュリティ機関（ENISA）に報告する義務がある。 ### 4．適合性評価（Conformity Assessment） 　製品がCRAの要件を満たしていることを証明するため、製造業者自身または第三者機関による適合性評価が求められる。 ### 5．情報提供義務 　消費者に対し、セキュリティに関する情報（アップデート期間、脆弱性の報告方法など）を分かりやすく提供する義務がある。 　CRAは、EU市場に製品を輸出する全ての企業に適用される。日本の製造業は輸出に頼る傾向が大きいため、CRAによる規制が日本の製造業に与える影響は非常に大きい。日本企業がEU向けにIoT家電、産業用ロボットなどを輸出する場合、CRAの要件を満たさなければ、市場から締め出される可能性がある。 　また、CRAより前に規制や法整備が実施されている分野が複数ある。それらは、以下の医療機器や航空関連機器、自動車関連機器などであり、それらはCRAが施行する前から厳しい規制の対象となっていることから、CRAの適用対象から除外される。 1. 医療機器規則（EU 2017/745）対象の医療機器 2. 体外診断用医療機器規則（EU 2017/746）対象の体外診断用医療機器 3. 民間航空機規則（EU 2018/1139）対象の民間航空関連機器 4. 自動車の型式承認規則（EU 2019/2144）対象の自動車関連機器 5. 舶用機器指令（Directive 2014/90/EU）対象の機器 　1～5はCRAの対象外されているものの、先述したように他のEUの規制として既に枠組みが整っているので、整合性を図ったに過ぎない。また、国家安全保障などさらに重要と位置付けられる分野も同様にCRAの対象外となる。 　このように、欧州へデジタル製品を輸出している日本企業にとってCRAの要件を順守することは不可避となっている。CRAは既に2024年12月10日に施行されており、本記事の公開から約1年後の2026年9月11日は「脆弱性およびインシデント報告義務の適用開始日」と定められている。この期日が事実上のCRA順守のデッドラインとなっているのだ。次回は、CRAへの具体的な対応策について述べる。 **武田 一城（たけだ かずしろ）** 株式会社ベリサーブ 1974年生まれ。独立系SIerなどを経て2022年より現職。システムプラットフォーム、セキュリティ分野の業界構造や仕組みに詳しいマーケティングのスペシャリスト。次世代型ファイアウォールほか、数多くの新事業の立ち上げを経験している。ウェブ、雑誌などの執筆実績も多数あり。NPO法人日本PostgreSQLユーザ会理事。日本ネットワークセキュリティ協会（JNSA）のワーキンググループや情報処理推進機構（IPA）の委員会活動、各種シンポジウムや研究会、勉強会での講演なども精力的に活動している。 - - [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35237294%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35237294%2F&hashtags=ZDNET) ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。 ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。