2024年12月10日に正式に施行されたEUサイバーレジリエンス法(CRA: Cyber Resilience Act)は、「デジタル要素を備えた製品」(PDE: Product with Digital Elements)に対して統一された厳格なサイバーセキュリティ要件を定めています。これらの要件は、設計・開発から展開、廃棄までの製品ライフサイクル全体をカバーしています。この規制は既に施行されていますが、主要な遵守義務は2027年11月10日から完全に適用されるため、自動車業界に残された準備期間はあと2年余りに限られています。
CRAが自動車エコシステムに重要な理由
自動車メーカーは既にUN R156(ソフトウェア更新管理システム)などの規制の対象となっていますが、これらの規制はCRAの要件と一部一致しています。しかし、サプライチェーン内の多くのPDEは、CRAの義務を独自に満たす必要があります。
これには例えば以下のものが含まれます:
- 第三者製の車載アプリケーションおよびアフターマーケットソフトウェア
- ワイヤレス接続デバイス(例:キーレスエントリーシステム)
- 電気自動車充電設備(EVSE)
- 農業機械および建設機械用のデジタル制御モジュール
CRAに基づき、製造者は脆弱性および脅威を継続的に監視する必要があります。積極的に悪用されている脆弱性が発見された場合、製造者は24時間以内にEUサイバーセキュリティ機関(ENISA)に報告し、速やかに是正措置または緩和措置を講じなければなりません。遵守しない場合、最大1,500万ユーロまたはグローバル年間売上高の2.5%のいずれか高い方の罰金が科せられる可能性があります。制裁措置は、脆弱性の報告不履行、ソフトウェア部品表(SBOM)の提出不履行、またはセキュアな設計実践の実施不履行などの違反に適用されます。
CRA準拠の主要な障害トップ3
サプライヤーや開発者にとって、CRAはいくつかの重大な課題をもたらします:
- 24時間以内に積極的に悪用されている脆弱性を特定すること
現実には、脆弱性が実際に悪用されているかどうかを確認する可視性の不足、自動車用システムに特化したシチュエーションに応じた脅威インテリジェンスの欠如、PSIRTプロセスや手動のインシデント対応ワークフローが不完全、といった理由から極めて困難と言えます。革新的な脅威インテリジェンスと自動検出がなければ、CRAの24時間早期警告通知要件を満たすことは困難です。 - 脆弱性、パッチ管理、およびインシデント対応
製品ライフサイクル全体にわたって脆弱性を継続的に検出、開示、是正するには、多大な努力とリソースが必要です。これらの要件を満たすより費用対効果の高いアプローチは存在しないのでしょうか。 - サプライチェーンのサイバーセキュリティ可視性の不足
サードパーティのサイバーセキュリティ実践に関する明確な可視性がない場合、コンプライアンスの責任を明確にすることは困難です。サプライチェーンにおける透明性の欠如は、製造業者を外部サプライヤーからのコンプライアンスリスクにさらします。
CRA準拠を簡素化する単一のプラットフォーム
CRA要件を満たすため、企業は継続的な脆弱性特定、評価、是正を処理できる脆弱性およびSBOM管理システムが必要です。
主要な機能には以下のものが含まれます:
- 脆弱性の自動検出と優先順位付け
既知および未知の脆弱性を自動的に検出し、脆弱性の深刻度、悪用可能性、およびシステムコンテキストとの関連性に基づいて分類します。 - SBOMの自動生成と管理
SBOMを自動的に生成し、継続的に更新し、既知のCVEおよび潜在的な脆弱性とのクロス参照を行います。 - 早期警告のための自動車向け脅威インテリジェンス
継続的に更新される自動車向け脅威インテリジェンスプラットフォームを基盤に、システムは現実の攻撃手法と関連する脆弱性を即座に特定します。さらに、攻撃の全経路を可視化するため、脅威の発生源と拡散先を正確に把握できます。 - サプライヤーコンポーネント内の隠れたソフトウェアリスクを検出
PDE に含まれるサードパーティコンポーネント内のゼロデイ脆弱性や未公開の脆弱性を自動的に特定します。
VicOne xZETAは、脆弱性管理、SBOM管理、自動車向け脅威インテリジェンスを統合したプラットフォームです。CRA準拠向けに設計された包括的なソリューションを提供します。自動車に特化したサイバーリスクを軽減し、市場投入までの時間の短縮、欧州市場での信頼の獲得など、お客様のコンプライアンス準拠への道を加速するお手伝いをします。
