世界的なサイバー攻撃増加により、諸外国でサイバーセキュリティ対策強化を目的としたセキュリティの法整備が進んでいます。特に注目を集めているのが、サイバーレジリエンス法（EU Cyber Resilience Act）です。原則、EUで販売されるネットワークに接続するすべてのデジタル製品が対象となっています。リスク評価にもとづいたセキュリティ機能、ならびにソフトウェア部品表（SBOM^※1）の整備などによる脆弱性への対応など、ハードウェア・ソフトウェア問わず厳しいセキュリティ要件が課せられます。

サイバーレジリエンス法の適用が開始されると、対応していない製品はEUで販売できません。法の適用開始は2027年12月ですが、一部規程については早期適用され、2026年9月からインシデント発生時・脆弱性発見時の報告義務が開始となります。

• 報告義務の適用開始：2026年9月11日
  製造者は、出荷済み製品における脆弱性情報などを受け付け、当局に報告する体制・プロセスを整備すること
• サイバーレジリエンス法の適用開始：2027年12月11日
  製造者は、サイバーレジリエンス法対応の開発プロセスを適用した製品を販売すること

2027年12月以降に販売開始するすべての製品は、サイバーレジリエンス法の要件に準拠した組織体制や開発プロセスで製造されていることが必須です。
自社製品に合わせたセキュリティ要件の実装や、組織・プロセスの構築、SBOM管理運用の構築などにはそれぞれ期間を要するため、今から準備が必要です。

また、日本国内においても、2024年8月に経済産業省が公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」にもとづき、2025年3月から独立行政法人情報処理推進機構が「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」の運用を開始しました。対象となるのは、インターネットプロトコルを使用する通信機能を持つ消費者・企業向けのIoT製品です。
各法規や制度が適用されるまで猶予期間があると考えるのではなく、日々増加しているサイバー攻撃に対処するために、脆弱性に対応できる組織やセキュリティ機能を実装した製品づくりをしていく必要があります。

※1 SBOM:Software Bill of Materials

サイバーレジリエンス法には、要件を満たすため具体的に必要な対策が記載されておらず、どこまで対応すれば準拠していると言えるか判断に悩むところです。日立ソリューションズでは、自社におけるセキュリティ製品の開発とセキュリティコンサルティングで培った経験とノウハウを生かしてリスク評価を行い、サイバーレジリエンス法の要件を組織にどのように取り込めばよいか、製品に必要なセキュリティ機能（特性要件）は具体的にどういう機能かなどセキュリティ要件定義を支援します。
また、脆弱性管理の体制やプロセスの策定を支援します。例えば、SBOMを導入するためにどのようなツールを選定するか、セキュリティパッチや更新プログラムを製品に適用するために、どのようなシステムを構築すればよいかなどお客さまのお悩み解決をお手伝いします。さらに製品やシステム開発においても支援可能です。

• 製品の特長や予算を考慮して、サイバーレジリエンス法への対応に必要なセキュリティ対策を検討します。
• セキュリティ製品の開発経験をもとに、製品のセキュア開発からリリース後の脆弱性管理を含めて、必要な体制構築やプロセス策定を支援します。
• 決定した対応方針にもとづく設計、製造、運用、脆弱性対策についてソリューションを提供します。

企画・設計から開発、保守・運用にいたる製品のライフサイクル全体において、セキュリティを確保するために必要な方針、ルール、プロセス策定を支援します。

• お客さまへのヒアリングやIEC62443などを参考に、サイバーレジリエンス法要件への適合状況を整理、分析。
• 適合していない要件への対応方針をお客さまとともに検討。
• 具体的にどのように対策すればよいか、お客さまで判断することができるよう情報を提供。

脆弱性発見時の報告義務などサイバーレジリエンス法の要件を満たす脆弱性管理ができるよう、体制やプロセスの構築を支援します。

• 有償・無償ツールや手動での作成など、お客さまの意向に合ったSBOMの導入を支援。
• システム開発や運用保守におけるセキュリティパッチや更新プログラムの適用方法の検討。
• 脆弱性情報を収集し、当社独自の見解を提供することで、脆弱性のトリアージ・分析を支援。

※本コンサルティングは、サイバーレジリエンス法への準拠を約束するものではありません。

作業期間は一例です。お客さまの組織規模、対象製品や実施内容により異なります。詳細はお問い合わせください。

個別見積もり