|
【講座主旨】
本講演では、EUのサイバーレジリエンス法(CRA)について、その背景、法律の概要、対象となる製品、製造業者に求められる要件・義務、施行スケジュールを体系的に解説します。CRAとは、ネットワーク接続を行うデジタル要素を備えた製品を対象とし、リスク評価、脆弱性対応、セキュアな設計・開発、技術文書作成、SBOM整備、セキュリティ更新の提供、CEマーキングなど、多岐にわたる義務を製造業者に課します。
2027年12月の完全施行に先立ち、本年2026年9月からは脆弱性・重大インシデントの報告義務が先行して適用されます。本講演では、CRAに準拠するための要点を網羅的に整理し、ハードウェア/ソフトウェア両視点からみた義務構造、CEマーキング・適合宣言など製造者に求められる文書対応、サプライチェーン・取引・調達におけるCRA対応の考え方、自社製品が対象かどうかの判断方法などを含め、製品ライフサイクル全体で求められる対応を解説します。
【講座内容】
1.サイバーレジリエンス法の背景
・法成立の背景と目的
・サイバー攻撃・インシデント事例
・セキュリティ・レジリエンス概念の整理
2.サイバーレジリエンス法の概要
・法律の基本構成(章・附属書)
・適用範囲・対象製品
・デジタル要素を備えた製品の定義
・製品分類
・整合規格(Harmonised Standards)
・施行スケジュール
3.製造業者に求められる要件
・製造業者の義務(第13条)
・リスクアセスメントと文書化
・技術文書の整備
・サプライチェーン管理と第三者コンポーネント対応
・脆弱性対応と更新プログラム提供
・適合性評価・EU適合宣言・CEマーキング
・インシデント/脆弱性報告義務(第14条)
・罰則規定
・輸入業者・販売業者の責務
4.法対応の進め方
・対象製品の判断方法
・セキュア開発ライフサイクル(SDLC)整備
・脆弱性管理プロセス
・適合性証明の進め方
・実務的な対応ロードマップ
【質疑応答】
◆◆講師プロフィール◆◆◆
専門分野:情報セキュリティ
学位:博士(理学)
略歴・活動・著書など:
不正侵入検知システムの導入支援、SOCアナリスト業務従事後、情報セキュリティ監査、ISMS構築支援、プライバシーマーク取得支援、クレジットカード情報保護等のコンサルティングに従事。
現在は、複数企業のサプライチェーンセキュリティ支援に携わっている。
|
