今回は、サイバーレジリエンス法の附属書 1 セクション 2について解説します。このセクションでは、デジタル要素を含む製品のメーカーが満たすべき脆弱性対処要件について説明しています。

脆弱性対処要件の概要

セクション 2では、以下の8つの要件が設定されています。

  1. 製品に含まれる脆弱性とコンポーネントの特定とドキュメント化
  2. 脆弱性の迅速な対処と修復
  3. 製品のセキュリティに対する効果的かつ定期的なテストとレビュー
  4. 修正された脆弱性に関する情報の公開
  5. 協調的な脆弱性開示ポリシーの策定と施行
  6. 脆弱性情報の共有を促進する措置の実施
  7. 安全なアップデート配布メカニズムの提供
  8. セキュリティパッチやアップデートの遅延なしでの無料配布

要件の詳細と対応方法

  1. 製品に含まれる脆弱性とコンポーネントの特定とドキュメント化
     製品に含まれる脆弱性やコンポーネントを特定し、ドキュメント化することが求められています。これには、ソフトウェア部品表(SBOM)を作成することが含まれます。部品表は、製品のトップレベルの依存関係をカバーする機械判読可能な形式で作成することが求められています。(1)
  2. 脆弱性の迅速な対処と修復
     脆弱性を遅延なく対処および修復することが求められています。これには、セキュリティアップデートを提供することが含まれます。デジタル要素を含む製品のリスクに関連して、脆弱性に対応するために迅速に行動することが重要です。(2)
  3. 製品のセキュリティに対する効果的かつ定期的なテストとレビュー
     効果的かつ定期的なテストとレビューを実施することが求められています。これにより、製品のセキュリティが継続的に向上し、新たな脆弱性が発見された場合でも適切に対処できるようになります。(3)
  4. 修正された脆弱性に関する情報の公開
     セキュリティアップデートが利用可能になったら、修正された脆弱性に関する情報を公開することが求められています。これには、脆弱性の説明、影響を特定できる情報、脆弱性の影響と重大度、および脆弱性を修復するためにユーザーに役立つ情報が含まれます。これにより、ユーザーは自分たちの製品に影響があるかどうかを判断し、必要な対策を講じることができます。(4)
  5. 協調的な脆弱性開示ポリシーの策定と施行
     協調的な脆弱性開示ポリシーを策定し、施行することが求められています。これにより、潜在的な脆弱性に対する情報共有が促進され、他の関係者と連携して問題に対処できるようになります。(5)
  6. 脆弱性情報の共有を促進する措置の実施
     脆弱性情報の共有を促進するための措置を講じることが求められています。これには、デジタル要素を含む製品で発見された脆弱性を報告するための連絡先アドレスを提供することが含まれます。また、自社製品やその製品に含まれる第三者コンポーネントの潜在的な脆弱性に関する情報の共有も重要です。(6)
  7. 安全なアップデート配布メカニズムの提供
     安全なアップデート配布メカニズムの提供が求められています。これにより、悪用可能な脆弱性が迅速に修正または軽減されることが確保されます。アップデートは、製品のセキュリティを維持し、潜在的な脆弱性に対処するために重要です。(7)
  8. セキュリティパッチやアップデートの遅延なしでの無料配布
     セキュリティパッチやアップデートが利用可能であれば、遅延なく無料で配布することが求められています。これには、関連情報を含むアドバイザリメッセージと共に提供することが含まれます。ユーザーには、可能なアクションに関する情報が提供されます。(8)

ポイントは、

  • ソフトウェア部品表(SBOM)を含むコンポーネントと脆弱性を文書
  • 製品の脆弱性への対応を継続して実施

する仕組みを構築し、実行していくことです。

まとめ

サイバーレジリエンス法の附属書 1 セクション 2は、デジタル要素を含む製品のメーカーが脆弱性対処に関して取り組むべき要件を定めています。これらの要件は、脆弱性の特定、修復、情報共有、セキュリティアップデートの提供、協力的な開示ポリシーの策定、安全なアップデート配布メカニズムの実装、およびセキュリティパッチやアップデートの迅速かつ無料の配布に焦点を当てています。

これらの要件は、製品のセキュリティを向上させ、機械の安全性と堅牢性を保つために重要です。設計エンジニアは、これらの要件に注意を払い、適切な対策を講じることで、産業用機械のセキュリティを確保することができます。また、他の関係者と情報を共有し、連携することで、潜在的な脆弱性に対処する効果的な方法を開発することができます。

最後に、サイバーレジリエンス法は、業界全体のサイバーセキュリティを向上させることを目指しています。製品のメーカーが附属書 1 セクション 2で定められた要件に従うことで、サイバー攻撃に対する抵抗力が向上し、機械の安全性と信頼性が維持されることが期待されます。これにより、設計エンジニアは、産業用機械の持続可能な開発に貢献することができます。

この記事が、産業用機械メーカーの機械および制御系の設計エンジニアの皆さんのお役に立てれば幸いです。今後も引き続き、関連する情報や解説をお届けしていきますので、ぜひチェックしてくださいね!