• Column
  • CRA発効で製品セキュリティはユーザー保護から社会保護・安全保障へ

CRA対応ではソフト品質と社内外の関係性構築が従来に増して問われる【第2回】

市川 幸宏、松尾 正克(デロイト トーマツ サイバー)
2026年6月24日

デジタル要素が付与されている製品が増えている

 CRAの『附属書3』には、本法規に関連するデジタル要素を有する重要な製品として、それらの製品を開発している製造者へ本法規の適用が求められている。

 具体的には、パスワードや指紋などの秘密情報を管理するシステム、セキュリティを確保するためのネットワーク装置、物理・仮想ネットワークを有する装置、セキュリティカメラやセキュリティロックなどのスマートホーム関連の装置、インターネットに接続されるおもちゃ、健康をモニタリングするウェアラブルな装置などだ(図3)。

図3:デジタル要素が付与された製品は幅広い

 これらを(1)利用者の保護、(2)情報の保護、(3)相互作用の保護という3つの観点で整理すると、いわゆる重要インフラのような装置だけではないことが分かる。利用者の保護としては、特に弱い立場になり得る子どもを考慮している。情報の保護としては、機密情報だけではなく、健康情報などのプライバシーも考慮している。相互作用の保護では、インターネットからのアクセスを考慮している。

 特に重要インフラ装置のみが対象だと誤解していたならば、自社製品がインターネットなどのネットワークインターフェースを有する装置か否かという観点から、本法規の適用を検討するのが望ましい。

 LED照明などでも、近年はネットワークに接続できる可能性がある。ぬいぐるみなどにもインターネット機能が付与されているものも存在する。仮に本法規への対応が間に合わない場合には、これらのネットワーク機能などを無効化するような取り組みに着手しなければならない可能性もある。

社内外を含めたステークホルダーとの関係構築が不可欠に

 これらに対処するとなると、製品開発者や品質マネジメントの担当者/責任者だけでの対応は不可能な状況になってきている。社内外を含めた、さまざまな組織的な取り組みが重要になってきている(図4)。

図4:自社だけで対応可能か?

 攻撃者対応を例に挙げれば、脆弱性報告窓口などを設けて製品の脆弱性を連絡してくれたユーザーとの関係性を構築することや、セキュリティの技術的な情報を調査するために国内のアカデミックな暗号と情報セキュリティシンポジウム「SCIS」やコンピューターセキュリティシンポジウム「CSS」への参加、海外の攻撃に関する発表がメインのカンファレンス(Black HatやDefconなど)、国内の「CODE BLUE」などへの参加も重要になってくる。実際近年は、こうした場への自動車メーカーなどの参加者も見られるようになっている。

 同じ悩みを共有できる、製品や組織の脆弱性を取り扱う組織(日本シーサート協議会など)とのコネクションについても検討が必要である。他にも、内部の技術者や品質マネジメント部門はもちろん、脆弱性の組織としての取り扱いなどを考慮して、広報なども関係する。

 そこでは、これらの人材をどう育てるのか、どう維持していくのかも含めて、財源も含む経営層の関与が非常に大切である。このようなことを一人の人物や責任者だけで実施していくのは不可能だ。まずは経営者が、これらを組織的に実施していく体制を整え、これらの業務に関与できるセキュリティ技術者を配置するところから始める。長期的には教育により、これらの人材を継続的に運用できるようにしていく必要があると考える。

 次回は、CRAで対応すべき、従来の開発には多くみられなかった項目の1つである部品表(BOM:Bill of Material)について解説する。部品表は、セキュリティの設計に則って、ソフトウェアやハードウェアなどに関連して作成するもので、積極的な攻撃者への対処の1つになっている。

市川 幸宏(いちかわ・さちひろ)

デロイト トーマツ サイバー サイバーアドバイザリー スペシャリストマスター。徳島大学大学院工学研究科知能情報工学専攻博士前期課程修了。日系総合電機メーカーを経てデロイト トーマツ サイバー入社。製造業、自動車メーカー、医療機器メーカーなどのセキュリティ支援事業に従事している。TC65/WG10 国際エキスパート、TC65/WG20 国内審議委員。共著に『IoT時代のサイバーセキュリティ―制御システムの脆弱性検知と安全性・堅牢性確保』(NTS、2018年)がある。

松尾 正克(まつお・まさかつ)

デロイト トーマツ サイバー マネージングディレクター。九州大学大学院工学研究科応用物理学専攻修士課程修了。日系総合電機メーカー、監査法人トーマツを経てデロイト トーマツ サイバー入社。自動車、建設機械、医療機器、IP電話、FAX、プリンター、複合機、決済端末、決済端末、インターホン、監視カメラ、車載や住宅のスマホ鍵など、さまざまなIoT機器のリスクアセスメント、設計コンサル、開発を担当。OTセキュリティでも多数のコンサル経験を持つ。組み込み機器用の暗号モジュール開発や耐量子暗号、量子暗号通信、秘密分散技術の研究・開発・コンサルも経験している。