よりクリーンで持続可能なエネルギー環境への移行をBESSがどのように貢献するのかご覧ください。
産業ネットワークのセキュリティ対策向上には、専門家のアドバイスが豊富な当社記事ライブラリをご覧ください。
産業分野のデジタル変革を成功させるために、OTデータの秘密を解き明かす方法を学びましょう。
こちらに記載されていないMoxa製品に関するテクニカルサポートは、
共に成長し成功することが、最高の成果につながります。
さらなる市場拡大とサポート体制を強化すべく、2020年に日本法人を設立
潮流をリードする:CRA準拠への当社の取り組み
Moxaは35年以上にわたり、世界で最もミッションクリティカルで要求の厳しい産業環境向けのソリューションを構築してきました。また、サイバーレジリエンス法(Cyber Resilience Act, CRA)制定以前よりサイバーセキュリティに取り組み、初期にIEC 62443-4-1認証を取得したリーディングプロバイダーの一社です。これは、当社が安全性・信頼性・レジリエンスを備えた製品に重点を置いていることが常に設計思想によるものであり、新たな法規に対応するためによるものではないことを示しています。
MoxaのIEC 62443-4-1認証を取得したセキュアな開発ライフサイクル(SDLC)は、CRA要件に準拠しています。
お客様への適切なセキュリティアップデートを提供し、脆弱性管理を実施しています。
規制要件や進化するEU基準に対して積極的に対応します。
サイバーレジリエンス法(Cyber Resilience Act, CRA)とは、Regulation (EU) 2024/2847 により定められた、EUにおける画期的な法規であり、EU市場に投入されるデジタル要素を持つ製品(Product with Digital Elements, PwDE)に対し、横断的なサイバーセキュリティ要件を設定しています。世界的に、これらの製品は現在、サイバーセキュリティ要件を満たすことが普遍的に義務付けられています。
CRAは、デジタル要素を持つ製品(PwDE)のライフサイクル全体にわたる明確かつ横断的なサイバーセキュリティ要件を設定しています。製造者はこれらのセキュリティ要件に適合しなければ、CEマーキングという重要な認証を取得できません。これがない場合、EU市場に製品を投入することはできません。
要約すると、CRAの主な目的は以下のとおりです。
付属書Iで定められた重要なサイバーセキュリティ要件:
A. 製品特性に関する基本要件(パートI):設計プロセスから製造まで、製造者は特定されたリスクに基づき十分なサイバーセキュリティを確保する必要があります。主な要件は、セキュア・バイ・デザイン、セキュア・バイ・デフォルト、アクセス制御です。
B. 脆弱性対応に関する基本要件(パートII):製造者は、製品が使用されるとされる期間(サポート期間)全体を通じて、脆弱性が効果的に管理されることを確保する必要があります。
CRAは、製造者が適応できるよう段階的に導入されています。2024 年 12 月 10 日に規制が施行され、複数年にわたる段階的導入が開始されます。2026 年 9 月 11 日は重要な中間期限で、この日から脆弱性報告が義務化されます。2027 年 12 月 11 日は重要なコンプライアンス期限となり、この日までにEU市場に投入する全ての該当製品(PwDE)がCRA要件を満たす必要があります。
当社の強固な基盤は、CRAの本質的なセキュリティ要件を満たすために設計された複数の基礎的な柱を、IEC 62443フレームワークを含む既存の専門知識とともに活用し構築しています。
規制遵守は、認められた国際的なフレームワークの活用によって最も効果的に実現できると認識しています。当社の戦略は、Cyber Resilience Act (CRA) の基本要件および欧州の統一基準に基づくものです。 • IEC 62443準拠:安全な開発プロセスおよび機能仕様は、IEC 62443-4-1 および 4-2 に準拠し、基本的なセキュリティ要件を網羅します。 • 整合規格:当社は欧州機関(CEN/CENELEC/ETSI)の動向を積極的に注視し、一般的なサイバー・レジリエンスに関する水平規格および特定製品向けの垂直規格の採用を推進しています。
全製品ライフサイクルにわたり「Secure-by-Design」を適用するため、プロセス非依存・リスクベースのアプローチを取っています。 • 継続的評価:企画、設計、製造、保守の各フェーズにおいて文書化されたサイバーセキュリティリスクアセスメント実施しています。 • サプライチェーンセキュリティ:サードパーティおよびオープンソースコンポーネント統合時には、妥協を防ぐため厳格なデューデリジェンス(適正評価手続き)を実施しています。 • 持続的サポート:定められたサポート期間中、ユーザーへ遅滞なくセキュリティアップデートを提供できる安全なアップデートメカニズムを確保しています。
CRAの迅速なインシデント報告要件への対応として、専任の Product Security Incident Response Team(PSIRT)を設置しています。 • グローバルフレームワーク: ISO 29147(情報開示)およびISO 30111(対応管理)など、CRAも採用する参照フレームワークに準拠しています。 • 協調的対応:FIRST Service Frameworkを活用し、報告された脆弱性の確実な対応とアドバイザリーを発行します。 • 長期的視点:数十年にわたり安全運用が求められる産業用機器を支えるプロセスを構築しています。
当社は監査対応可能な強固なセキュリティ体制を維持しつつ、お客様が安全運用できる機能を製品設計に反映しています。 • ユーザーへの透明性:想定用途、サポート終了日、脆弱性報告窓口の明示 • ビルトイン防御:強力な認証、安全なデフォルト設定、迅速なパッチ適用ツール搭載
EUサイバーレジリエンス法(CRA)は、EU市場で販売されるすべてのデジタル要素を含む製品(ハードウェアおよびソフトウェアを含む)に対し、サイバーセキュリティの必須要件を定める欧州連合の規則です。これらの製品がライフサイクル全体を通して高いセキュリティ水準を維持できるようにすることが目的です。
CRAは、デジタル要素を含むすべての製品が対象です。接続されたハードウェア(例:スマートフォン、IoT機器、ルーター)、ソフトウェア(例:オペレーティングシステム、アプリケーション、ソフトウェアライブラリ)など、直接または間接的にデバイスやネットワークに接続可能な製品が範囲となります。対象外となるのは、他の規則で既にカバーされている医療機器、自動車、非商用目的で開発されたオープンソースソフトウェアなどです。Moxaの産業用通信機器製品はCRAの適用範囲に含まれ、産業用セキュアルータ、イーサネットスイッチ、シリアルデバイスサーバー、ネットワーク管理ソフトウェアなど主要カテゴリをカバーしています。
製品の市場投入前にサイバーセキュリティリスクアセスメントを実施し、基本的なサイバーセキュリティ要件の遵守、ライフサイクル全体にわたるセキュリティアップデートおよび脆弱性対応を実施しています。また、技術文書の作成や適合性評価の実施、CEマーキングの貼付、悪用された脆弱性または重大インシデントの関係当局への報告も実施しています。
CRA整合規格は、欧州委員会の要請に基づき、認定欧州標準化機関(CEN、CENELEC、ETSI)が策定する欧州規格です。規則で定められた基本的なサイバーセキュリティ要件を具体的な技術仕様へと落とし込むものであり、サイバーレジリエンス法(CRA)に則るために非常に重要です。標準化作業は進行中であり、既存の国際規格・欧州規格を基盤としています。水平規格の利用可能時期は2026年8月、垂直規格は2026年10月に予定されています。 (出典:www.cencenelec.eu)
製造者は、2026年9月11日から脆弱性およびインシデントを報告する必要があり、それ以外のすべてのCRA要件(市場投入前のコンプライアンスを含む)は2027年12月11日から適用されます。
CRAを遵守しなかった場合、企業は多額の罰金を科される可能性があります。最も重大な違反には、最大1,500万ユーロまたは企業の全世界年間売上高の2.5%のいずれか高い方が適用されます。
CRAとNIS2指令はいずれも欧州におけるサイバーセキュリティの向上を目的としていますが、重点分野が異なります。NIS2指令は、重要インフラおよび重要サービス提供者のネットワーク・情報システムセキュリティに重点を置く一方、CRAはデジタル製品自体のセキュリティ確保と、設計段階からのセキュリティ組み込みに重点が置かれています。
SBOM(Software Bill of Materials:ソフトウェア部品表)は、製品に使用されているすべてのソフトウェアコンポーネントやライブラリを詳細に記載した、ソフトウェアの「材料表」のようなものです。CRAは、メーカーに対して脆弱性対応を円滑に行うためにSBOMの作成を求めていますが、現時点での公開義務はありません。規制執行を容易にするために、完全なSBOMは要請があった場合、認証機関および市場監視当局に提供する必要があります。
現在、日本 / 日本語サイトにアクセスしています。 お住まいの地域のサイトにアクセスしますか?