CRA発効で“ユーザー保護”から“社会保護（安全保障）”へシフトする製品セキュリティ【第1回】

品質活動を継続したうえでCRA固有の要件に対応する

　このようにCRAの特徴は「製品セキュリティにおける品質マネジメントの徹底」を求めていることだ。そこでは、製品や組織への安全・安心の作りこみや、透明性・正確性の確保が必要不可欠であり、従来から取り組んできた品質マネジメントを基盤に、製品や組織の良好なライフサイクルを検討する必要がある（図2）。

図2：製品や組織が目指すべき品質のライフサイクル

　組織は製品に対し、安全・安心の作りこみや透明性の確保などを品質活動として実施し、製品力の向上を目指す。製品力が向上した製品は、顧客から信用・信頼を得られ、安全・安心な組織・製品であることを周知できる。こうした活動が組織や製品のブランド力を高める。

　最終的にブランド力が高まれば、経営として新規顧客を獲得でき、購買のリピートにつながり、売り上げや利益が向上し、事業の継続が可能になる。そうした売り上げや利益を品質活動に還元することで、良好なライフサイクルが生み出せる。

　安全・安心を作り込むための具体的な方法は、暗号やアクセス制御などのセキュリティ機能を製品に組み込んだり、脅威分析などセキュリティ開発ライフサイクルを組織として実行したりすることである。

　これまでも真摯に品質活動を継続してきた組織においては、製品や組織への安全・安心の作り込みの一環として、セキュリティ活動にも取り組んできたと想像される。しかし、そのような組織であってもCRA固有の要件が存在するため、それら要件については追加で検討する必要がある。

　そこでは、日本が取り組んできた事業部別の縦割り対策ではなく、全社横断的な対策が求められるだけでなく、CRAの法規を鵜呑みにすると組織にとって課題になることが潜んでいる。

“積極的”かつ組織として体系化されたセキュリティ対策に

　日本における製造物責任法は、ユーザー保護の観点に立っており、問題が発生してから対応する“受動的”な対策でも問題はなかった。しかしセキュリティを対象にするCRAでは、品質とは大きく異なる観点として、積極的に問題を発生させようとする悪意ある攻撃者への対応が求められ、社会に不利益を及ぼさないための “積極的”かつ組織として体系化されたセキュリティ対策が求められる。（図3）。

図3： CRA固有の対応に向けて組織に求められる取り組みの変化

　そこでは、開発部門が主導する技術的な取り組みだけではなく、社内外の、さまざまなステークホルダーと連携しながら進める必要がある。製品で使用しているソフトウェアの全てを部品表にして一覧化するだけでは課題の解決にはならず、製造部門や営業部門、調達部門を含めたサプライチェーンを意識しなければならない。

　次回は、従来型の受動的な製品保護の取り組みではCRAに十分に対応できないことと、CRAがデジタル要素を持つ重要な製品を挙げる『Annex 3（付属書3）』に記載がない対象での取り組みを題材に、セキュリティと品質マネジメントの双方を踏まえた取り組みについて解説する。