EUサイバー・レジリエンス法:デバイス製造業者にとっての新たな現実

placeholder

EUサイバー・レジリエンス法 (CRA) の施行に伴い、サイバーセキュリティは、EU市場に投入されるデジタル要素を含む製品にとって主要な必須要件になります。この規制が完全に施行されると、製造業者はセキュアな製品を設計するだけでなく、製品のライフサイクル全体にわたってサイバーセキュリティ要件がどのように満たされ、維持されるのかを実証し、文書化することを求められます。

デバイスのライフサイクル全体にわたるCRAの主な課題

EU市場に投入されるコネクテッド製品の製造業者にとって、CRAは根本的な変化をもたらすものです。サイバーセキュリティはもはや一度限りの設計作業ではなく、開発、生産、導入、および長期的なライフサイクル管理までに及ぶエンジニアリングおよび運用上の継続的な責任事項となっています。

「セキュリティ機能」から「必須サイバーセキュリティ要件」へ

CRAは、製品がEU市場に投入される前に対処する必要がある一連の必須サイバーセキュリティ要件(Essential Cybersecurity Requirement:ECR)を導入します。これらの要件は、不正アクセスに対する保護、ソフトウェアの完全性、暗号資材の安全な取り扱いなどについて期待される結果を定義しますが、具体的な実装方法は規定しません。

これにより、製造業者は次のような課題に直面します。

  • 規制要件を具体的な技術アーキテクチャに変換する必要がある
  • ハードウェア、ファームウェア、ソフトウェア、製造、IT、クラウド、運用をそれぞれ担当する複数のチームが、一貫したセキュリティ・アプローチに従う必要がある
  • 設計の早い段階での意思決定において、長期的な準拠がもたらす結果を考慮する必要がある

さらに、製造業者は、残存リスクへの対処を含む製品レベルのリスク・アセスメントに基づいて、セキュリティ対策の選択と実施を正当化することが期待されます。

設計、開発、生産、ライフサイクル全体に及ぶセキュリティ

CRAは、製造業者に対し、現場での設計、開発、生産、運用を通じて攻撃対象領域を制限することを明示的に求めています。これは、次のような基本的なアーキテクチャ上の選択に影響を及ぼします。

  • 暗号鍵の生成、保存、保護の方法
  • セキュア・ブートおよびデバッグ・アクセスの実装方法
  • 初期のプロトタイプから大量生産に至るまでソフトウェアの真正性と完全性を確保する方法

多くの組織にとって、これは、断片化されたセキュリティ手法や後付けのセキュリティ手法から、協調的なライフサイクル指向のセキュリティ・モデルに移行することを意味します。

必須の脅威分析、リスク・アセスメント、文書化

CRAは、技術的統制に加えて、プロセスに関する以下のような新しい義務を導入します。

  • サイバーセキュリティ・リスクの特定、評価、軽減の方法を示すリスク・アセスメント
  • それぞれの基本的なサイバーセキュリティ要件への対応方法を明確に文書化する
  • 実証済みのメカニズムやプラットフォームについて、準拠に関する文書で参照できるようにする

重要なこととして、これらの文書は製品のリリース時だけでなく、脆弱性、ソフトウェア・バージョン、暗号資産などの状況が変化したとしても、その製品のサポート期間中は有効性を保つ必要があります。

セキュアな脆弱性修復はもはやオプションではない

CRAは、該当する場合、セキュアなソフトウェア更新を通じて脆弱性を修復することを製造業者に求めています。これには、いくつかの大きな課題が伴います。

  • 更新メカニズムのセキュリティを設計段階から確保する必要がある
  • 認証および承認されたソフトウェアのみをインストールできる必要がある
  • 更新プロセスは、監査可能で、ログに記録され、悪用から保護される必要がある

その結果、寿命の長いコネクテッド・デバイスの場合、ソフトウェア更新インフラストラクチャは、エンジニアリングの利便性のためだけでなく、規制準拠のためにも不可欠な構成要素となります。

ライフサイクル全体にわたる責任は出荷後も長く続く

CRAによってもたらされる最も重要な変化の1つは、製造業者の責任が出荷で終わるのではなく、次のようになることです。

  • デバイスは、現場に導入されている間は、セキュアかつ認証された状態を維持する必要がある
  • 暗号資材はローテーションまたは失効を必要とする場合がある
  • 製造停止後も長期間にわたって脆弱性に対処する必要がある

多くの組織はこれまで、複数年にわたるセキュリティ運用に向けてではなく、製品のリリースに焦点を合わせて最適化を行ってきましたが、CRAはそのような組織にも持続的な運用要件を課します。

EdgeLock® 2GOがCRAの課題への対処にどのように役立つか

CRAがもたらす複雑性の増大を管理するために、製造業者は既存のデバイスおよびクラウド・アーキテクチャにスムーズに統合できる、スケーラブルで監査可能な実証済みのセキュリティ・サービスを必要としています。

NXPのクラウドベースのセキュリティ・サービスであるEdgeLock 2GOは、産業用および民生用のIoTデバイスを開発から生産、導入、現場でのセキュアな更新まで、ライフサイクル全体にわたって保護するように設計されています。これにより、CRA ECRへの対応に関連する主要なセキュリティ機能をサポートし、製造業者がこれらの機能を長期的に文書化、運用、および維持するのを支援します。

ライフサイクル指向のセキュリティ・アプローチ

EdgeLock 2GOは、ライフサイクルにおける3つの主要な段階を中心にセキュリティを構築します。

  • 開発:開発中は、ソフトウェアに対してセキュアに署名および暗号化を実行し、デバイスの認証情報を制御された方法で定義および準備できます
  • プロビジョニング:製造中は、デバイスを大きな規模でセキュアにプロビジョニングし、各ユニットが信頼できるID、保護されたキー、認証されたソフトウェアとともに工場から出荷されることを保証できます
  • 更新:導入後は、デバイスがセキュアな無線 (OTA) 更新に対応する一方、認証情報と証明書は引き続きデバイスのライフタイム全体にわたって管理されます

このライフサイクル指向のアプローチは、攻撃対象を制限し、設計、生産、運用にわたってセキュリティを維持するというCRAの要件に直接合致しています。

CRAの主要なセキュリティ機能の有効化

EdgeLock 2GOは、次のような重要なCRAの要件に直接マッピングされるビルディング・ブロックを提供します。

  • セキュリティ制御の参照文書:EdgeLock 2GOに含まれる文書には、デバイスのID、暗号資材、ソフトウェアの真正性を保護するために実装されたセキュリティ制御や、補助的なCRA技術ファイル、およびECRへのマッピングについて記述されています。
  • 監査のログとトレーサビリティ:EdgeLock 2GOは、セキュリティ上重要なアクション(プロビジョニングやライフサイクル運用など)のログとトレーサビリティを提供し、組織がセキュリティ監査をより円滑に行い、誰が、いつ、どのポリシーの下で何を行ったかを実証するのに役立ちます。

これらの技術的能力に、NXPの確立された脆弱性処理およびセキュリティ・プロセスが加わることで、製造業者がCRAに基づく組織的な義務やライフサイクル全体の義務を果たせるよう支援します。

準拠の負担からスケーラブルなセキュリティ戦略へ

EdgeLock 2GOは、CRAへの準拠を1回限りの取り組みとして扱うのではなく、CRAのライフサイクルとリスクに基づく原則に沿った、構造化されたスケーラブルなセキュリティ・アプローチをサポートし、以下のことを可能にします。

  • 製品のライフサイクル全体を通じて攻撃対象領域を減らす
  • 複数のチームにわたる内部セキュリティ・プロセスを簡素化する
  • CRAへの準拠に向けて、より明確で構造化された方法をサポートする

最終的に、EdgeLock 2GOは、製造業者がCRAの要件を製品の長期的なセキュリティと信頼性を強化するための機会として活用しながら、セキュアなデバイスを構築、導入、維持できるよう支援します。

NXPがCRAのライフサイクルと文書化の要件に対処する上で製造業者をどのようにサポートしているかを学び、実践的なガイダンスを得るには、NXPのEUサイバー・レジリエンス法 (CRA) のページをご覧ください。

著者紹介

Christian Lackner

Christian Lackner

NXP Semiconductors、マーケティング・マネージャ

Christian Lacknerは、NXP Semiconductorsのマーケティング・マネージャです。Services 2GOチームの一員として、NXPのIoT製品向けEdgeLock 2GOセキュア・クラウド・サービスの市場投入戦略と実行を担当しています。

Julien Delplancke

Julien Delplancke

NXP Semiconductors、シニア・プロダクト・マネージャ

Julien Delplanckeは、NXP Semiconductorsのシニア・プロダクト・マネージャです。Services 2GOチームの一員としてNXPのIoT製品向けEdgeLock 2GOセキュア・クラウド・サービス・ロードマップを推進しており、デバイス製造業者、サービス・プロバイダ、クラウド・プロバイダと協力しつつ、NXPのお客様がデバイスとサービスを保護できるようサポートしています。

タグ: セキュリティ, テクノロジ