Successful: ハードウェア製品とソフトウェア製品の両方に対するサイバー攻撃 が憂慮すべきほど頻繁になってきている。 Cybersecurity Ventures によると、7 年にサイバー犯罪による世界の被害額は推定 2022 兆ドルに達します。これほど高額な費用がかかるため、企業と政府の両方が注目するのも不思議ではありません。米国が先導して、 12 年 2021 月 XNUMX 日に発令された国家のサイバーセキュリティの向上に関する大統領大統領令。 これに続いて NIST の安全なソフトウェア開発フレームワーク (SSDF) これは、どのソフトウェア製品でも当然のこととして必要とされる、新しいベスト プラクティスとして徐々に確立されつつあります。欧州連合は手をこまねいているわけではありません。 欧州サイバーレジリエンス法 これは、EU 全体の重要インフラのサイバーセキュリティを強化することを目的とした法案です。
この法案のフィードバック収集段階は 2020 年 14 月に始まりましたが、法案の最初の草案が公表されたのは 2022 年 XNUMX 月 XNUMX 日でした。このような大規模な法案は広範な影響を与える可能性があるため、私たちは次のような措置を講じると考えました。この法案が一体何なのか、そして誰がその影響を受けるのかをじっくり説明してみてください。まず、法案の概要を簡単に説明しましょう。
法案の内訳: 知っておくべきこと
ECRA は、欧州連合 (EU) 全体の重要インフラのサイバーセキュリティを強化することを目的としています。この法律は主に、必須サービスの運営者とデジタル サービス プロバイダーに影響を与えます。これらは、ネットワークおよび情報システムのセキュリティに関する EU の既存の指令 (NIS 指令) で定義されており、特にエネルギー、運輸、銀行、医療、デジタル インフラストラクチャの分野が含まれます。
この法案は、NIS 指令の対象ではないものの、EU 内の消費者にオンライン サービスを提供するデジタル サービス プロバイダーにも適用されます。これらには、オンライン マーケットプレイス、クラウド コンピューティング サービス、検索エンジンが含まれます。
EU の他の法律でまだカバーされていない接続デバイスを対象とすることを目的としているため、IoT やその他の接続デバイス、特にすでに市場に出ている接続デバイスに影響を与える可能性があります。
提案された法律には、次のような多くの措置が含まれています。
- 必須サービスの運営者およびデジタルサービスプロバイダーのためのサイバーセキュリティ認証スキームの確立。
- 組織がサイバー脅威やインシデントに関する情報を共有できるようにする、サイバーセキュリティ情報共有プラットフォームの作成。提案されている法案には、サイバーセキュリティに関するあらゆるイベントについて、欧州連合サイバーセキュリティ庁(ENISA)への24時間以内の報告義務が含まれている。
- サイバーセキュリティリスクを評価するための共通の方法論の採用とリスク管理のガイドラインの開発。
- サイバー攻撃が発生した場合に加盟国に支援を提供する欧州サイバーレジリエンスセンターの設立。
重要なのは、提案されている法案には、ICT 製品、サービス、およびプロセスの認証制度が含まれていることです。認証プロセスには、製品、サービス、またはプロセスが法律で指定された要件を満たしているかどうかを判断する、指定適合性評価機関 (CAB) による適合性評価が含まれます。この法律は、欧州サイバーレジリエンス認証委員会を設立し、認証スキームを維持し、EU 全体での一貫性を確保する責任を負います。定期的なテストと監査は、新しい委員会が問題の製品、サービス、またはプロセスのプロバイダーに適合性証明書を発行した後でも継続することを目的としています。継続的に監視することで、証明書が付与された後に法案の要件への準拠が緩まないことが保証されます。準拠の維持は継続的なものである必要があります。
さらに、ECRAはEU加盟国間の協力と情報共有を改善し、EUのサイバーセキュリティ能力を強化するための多くの措置を提案している。これらには、欧州サイバーセキュリティ コンピテンス センターと国家サイバーセキュリティ調整センターのネットワークの設立、サイバーセキュリティ インシデントの報告と対応のための共通フレームワークの開発が含まれます。この法案はまた、米国の脆弱性データベースのみに依存しないように、欧州の脆弱性データベースを設立することも提案している。 NVD。
この法案は、製造場所に関係なく、すべての加盟国内で、また EU 市場内で提供される対象デバイスやサービスに対して、新しい基準が適切に遵守されていることを確認するための市場監視と施行も対象としています。
最近の米国のベストプラクティスとどのように関連していますか?
前述したように、米国と EU は両方とも、それぞれの市場のサイバーセキュリティ保護のアップグレードに着手しました。したがって、米国の新しいベストプラクティスが ECRA に取り入れられているかどうかを確認することは理にかなっています。
詳しい方へ SSDF (NIST 800-218) ECRA の言語には、なじみのあるものがあるかもしれません。この法案は、セキュリティを製品の最初から組み込むことを義務付けており、後から「追加」しないことを義務付けています。 ECRA には、以下の識別と管理に関する要件が含まれています。 サプライチェーンのリスク、提案されている欧州サイバーセキュリティ認証スキームは、まだ適切に定義されていませんが、おそらく次の使用を必要とします。 ソフトウェア部品表(SBOM) そして安全なソフトウェア開発実践。
この提案では、強力な認証と暗号化、監視と検出機能、インシデント対応計画、定期的なセキュリティ テストと監査の使用など、情報システムとデータを保護するための技術的および組織的対策の導入も求められています。これらのすべての要素は、規則で明確に定義されています。 SSDF。
米国で推進されている新しいベスト プラクティスの 2021 つは、依存関係、脆弱性、およびソフトウェア ライセンスを追跡するために SBOM を使用することです。これは、製品の透明性を高め、メーカーやユーザーが製品の内部に何が隠されているかをより明確に把握できるようにすることを目的としています。 ECRA は SBOM について明示的に言及していませんが、SBOM の概念を含むソフトウェアの透明性の問題が、欧州連合のサイバーセキュリティ戦略の文脈で長い間議論されてきた話題であることは注目に値します。 XNUMX 年 XNUMX 月、欧州委員会は次の提案を発表しました。 デジタルオペレーショナルレジリエンスに関する規制 これには、金融機関が「ICT システムと資産の包括的かつ最新の在庫」を使用および維持するための要件が含まれます。この目録には、「ICT システムと資産、および関連する場合にはそれぞれのソフトウェアとハードウェア コンポーネントの相互接続と相互依存性の最新のマップ」が含まれる必要があります。
この要件は金融セクターに特有のものですが、欧州連合がサイバーセキュリティの回復力を確保する上でソフトウェアの透明性の重要性を考慮していることを示唆しています。将来的に欧州サイバーレジリエンス法やその他の立法イニシアチブに SBOM に関するより明確な要件が含まれるかどうかはまだわかりません。
この法案はあなたにどのような影響を与えますか?
ECRA はまだ最終版ではないため、ここで決定的なことを言うのは困難です。私たちにできることは、EU のもう 1 つの包括的な法律である GDPR との類似点を描くことです。
一般データ保護規則 (GDPR) は、欧州連合 (EU) が 2016 年 25 月に採択し、2018 年 XNUMX 月 XNUMX 日に発効した包括的なプライバシーおよびデータ保護規則です。この法案は、情報を収集、処理、または保存するすべての組織に適用されます。組織の所在地や保存されたデータの場所に関係なく、EU 内に所在する個人の個人データ。これは、データ侵害の通知、データ保護の影響評価、設計およびデフォルトによるプライバシーの要件など、個人データのセキュリティとプライバシーを確保する義務を組織に課します。 GDPR に準拠しない組織は、多額の罰金やその他の罰金を科される可能性があります。
GDPR 法案の発効を見てから数年間、私たちはこの規制の「トリクルダウン」効果に気づきました。当初は、EU 内で事業を行う組織のみが遵守する必要があると考えていました。米国企業は、法案の要件を無視したとして、いくつかの高額な罰金に直面した。現在では、EU 国民と関係のない企業もこの規制に従っています。欧州に販売したい場合に、慌ててコンプライアンスを達成する必要がないように、コンプライアンスに従うことだけが意味があります。
全体として、ECRA もほぼ同じように感じています。世界の多くの国々が依然としてサイバーセキュリティインシデントの急増への対応に追われている中、ソフトウェアメーカーのセキュリティ上の欠点を軽減するために設計された包括的で明確な法律が採択される可能性は十分にあります。繰り返しますが、EU に販売する準備ができたときにすでにカバーされるように、事前に遵守することは理にかなっています。
それは、「この法案は私に影響を及ぼしますか?」という質問に対する答えを意味します。ソフトウェア製造に関係があるのであれば、これは完全に「イエス」です。すぐには影響しないかもしれませんが、たとえそれが新しい一般的なベスト プラクティスとして認識されただけであっても、ある時点で準拠する必要があります。
幸いなことに、証拠に基づいたセキュリティ ハブが役立ちます
進化するセキュリティの課題を克服するために、私たちは現在、 アプリケーションセキュリティからソフトウェアサプライチェーンセキュリティへの進化。これには、これらの課題に対処しようとする新世代のテクノロジーと新しいツールが含まれています。自動化されたツールとソリューションは、ソフトウェア開発ライフサイクルとソフトウェア コンポーネントの信頼性を証明できる、証拠に基づいた継続的なコード セキュリティ保証プラットフォームを提供することで、組織が新たなレベルのセキュリティを達成するのに役立ちます。
筆記 はソフトウェア サプライ チェーンのセキュリティ ハブです。 CI/CD パイプラインを通じてビルドを実行するたびに証拠を収集し、提示します。 Scribe のソリューションは、ソフトウェアの透明性とソフトウェア プロバイダーとソフトウェア ユーザー間の信頼を高めるという観点から、米国および EU の規制とベスト プラクティスへの準拠を促進するために構築されました。このプラットフォームにより、詳細な SBOM の作成と共有、およびその他のセキュリティに関する洞察が可能になります。さらに、プラットフォームは、表示しているビルドが SLSA レベル 3 および NIST の SSDF フレームワークに準拠していることを検証できます。 ECRA と SSDF の明らかな関係と類似点を考慮すると、ソフトウェアが SSDF に準拠していることを証明できれば、ECRA 準拠の確立にも大いに役立ちます。
最後の言葉: 準備不足に巻き込まれないでください
欧州サイバーレジリエンス法は現在提案にすぎず、EU ではまだ採択されていません。この法案は現在立法手続き中であり、欧州議会とEU理事会によって検討されています。この法案は法律として採択されるまでに数回の交渉と修正を経ると予想されている。製品のセキュリティ、認証、法案の対象となる製品と分野に関連する規定を含め、同法の最終版が変更される可能性は十分にあります。
製品がサイバーセキュリティ基準を満たしていることを検証するためにこの法律が提案する方法の詳細は、公開された草案ではまだ完全にはカバーされていないことは注目に値します。この法律の最終版には、明確化が必要な他の多くの分野の中でも、製品の認証と検証に関するより具体的な要件が含まれる可能性があります。この法律はまだ完全に実現されていないため、業界の関係者は、デジタル製品の作成、機能、使用のバリエーションを考慮して、法律により正確な定義を含めるべきだと提案しました。彼らは、サイバーセキュリティ要件が厳しすぎると中小企業が市場から締め出されるリスクがあることを明確にしました。物事がいかに不確実であるかを正確に示すために、新しい update 2022 年 XNUMX 月以降、SAAS 製品はすでに明らかに規制の対象外となっています。
EU加盟国と関連する製品開発者の両方に調整の時間を与えるため、提案された規制は発効から24か月後に発効する予定であるが、製造業者に対する報告義務は例外であり、製造業者に対する報告義務は発効日から12か月後に発効することになる。法案が法律になること。 XNUMX 年というと長いように思えるかもしれませんが、中小企業を経営していて、突然多数の新しいサイバーセキュリティ規制に従わなければならなくなった場合、その期間はあまりにも短く感じるかもしれません。
正確な詳細に関係なく、ECRA はサイバーセキュリティを強化し、重要なインフラを保護する EU の取り組みにおける重要な前進を示しており、ほとんどの企業が Cookie コレクションをクライアントに通知するのと同じように自然に ECRA に準拠する世界を誰もが期待できます。ポリシー。
このコンテンツは、エンドツーエンドのソフトウェア サプライ チェーン セキュリティ ソリューションの大手プロバイダーである Scribe Security によって提供されており、ソフトウェア サプライ チェーン全体のコード成果物とコード開発および配信プロセスに最先端のセキュリティを提供しています。 詳しくはこちら。