サイバーレジリエンス法（CRA）の要求事項と対策のポイント～適合評価、必要な技術文書、脆弱性／インシデント情報の取扱いなど～

セミナー趣旨

  EU（欧州）では、あらゆるデジタル製品にサイバーセキュリティ対策を義務付ける「サイバーレジリエンス法（Cyber Resilience Act：CRA）」が2024年12月 に発効され、その36か月後には法規制が開始される見込みです。そして、この法規に違反した企業には巨額の罰金が科されることがあります。
  サイバーセキュリティに関連する法規と言えば、2021年にUN ECE（国連欧州経済委員会）より発行されたUN-R155が記憶に新しいですが、UN-R155の対象が自動車のみであったのに対して、CRAでは「あらゆるデジタル製品」が対象となります。つまり、それは欧州に製品を輸出する全ての企業にて対応が必要となることを意味しています。
  本セミナーでは、まずCRAによる法規制の動向から各種要求事項について解説します。その後、それらの要求事項を満たすために必要となる様々な取り組みについて事例を交えて紹介します。なお、サイバーセキュリティ対策の事例については、先行して取り組みが進んでいる自動車業界の事例を参考とします。

受講対象・レベル

EUにデジタル製品を輸出する企業の方々。その中でも特に以下に該当する方々。
・経営層
　（※企業としてCRAへの対応を推進するため）
・デジタル製品の設計者
　（※デジタル製品上にサイバーセキュリティ対策を設計・実装するため）
・部品の調達を行う方
　（※外注部品のサイバーセキュリティの保証を行うため）
・情報セキュリティ部門または品質保証部門の方
　（※P-SIRT活動に関連するため）

習得できる知識

・CRAに記載されている要求事項を理解することができる
・CRAの対象となる製品および適合までのスケジュールを理解することができる
・CRAの適合評価の方法を理解することができる
・CRAに適合するために策定が必要な技術文書を理解することができる
・CRAに適合するために構築が必要なP-SIRT活動を理解することができる 

セミナープログラム

１．Cyber Resilience Act（CRA）とは？
　（１） CRA策定の背景と目的
　（２） CRAの概要
　　　a．デジタル製品の開発＆生産に関する必須要件
　　　b．デジタル製品の脆弱性対応プロセスに関する必須要件
　　　c．当局による市場監視の実施
　（３） CRAの対象となる製品
　　　a．重要だがリスクの低いデジタル製品（CLASS I）
　　　b．重要でリスクの高いデジタル製品（CLASS II）
　　　c．その他、重要でないデジタル製品
　（４） CRAへの適合評価の方法
　　　a．自己適合宣言
　　　b．第三者による型式審査＆生産管理
　　　c．第三者による品質保証システムの審査
　（５） CRAによる規制が開始されるまでのスケジュール
　（６） CRAに違反した場合の罰則
２．Cyber Resilience Act（CRA）における製造業者の義務
　（１） デジタル製品に実装すべきサイバーセキュリティ対策
　　　a．デジタル製品にリスクアセスメントの実施
　　　b．リスクに応じたサイバーセキュリティ対策の実施
　　　c．第三者から提供された部品のサイバーセキュリティの保証
　　　d．デジタル製品に対するサイバーセキュリティ対策の文書化
　（２） デジタル製品の脆弱性に対処するための仕組み
　　　a．デジタル製品の脆弱性の特定と文書化
　　　b．デジタル製品のSBOMを利用した脆弱性管理
　　　c．デジタル製品に対するセキュリティアップデートの実施
　　　d．脆弱性とセキュリティアップデートに関する情報公開
　（３） デジタル製品の製造業者に課せられる報告義務
　　　a．ENISAに対する脆弱性／インシデント情報の報告
　　　b．ユーザに対する脆弱性／インシデント情報の通知
　　　c．OSSの管理団体に対する脆弱性情報の通知
３．Cyber Resilience Act（CRA）への適合に必要な技術文書
　（１） 技術文書を体系的に作成するためのCSMS（Cyber Security Management System）
　（２） デジタル製品に対する脅威分析とリスクアセスメント結果の事例
　（３） デジタル製品のサイバーセキュリティアーキテクチャの事例
　（４） デジタル製品に対する脆弱性分析／脆弱性評価結果の事例
　（５） デジタル製品のセキュリティアップデート機能の事例
　（６） デジタル製品のSBOMの作成事例
４．Cyber Resilience Act（CRA）への適合に必要なP-SIRTの仕組み
　（１） P-SIRT活動を実施するための体制
　（２） P-SIRT活動を実施するためのプロセス
　　　a．脆弱性／インシデント情報を調査＆収集するプロセス
　　　b．脆弱性／インシデント情報に対する脆弱性分析を実施するプロセス
　　　c．脆弱性／インシデント情報のリスクアセスメントを行うプロセス
　　　d．脆弱性／インシデント情報の対処を行うプロセス
　　　e．脆弱性情報を外部へ開示するためのプロセス
＜質疑応答＞

＊途中、お昼休みや小休憩を挟みます。

セミナー講師

 （株）アトリエ サイバーセキュリティアシュアランス事業部 事業部長　  杉山 歩 氏

■ご略歴
株式会社ヴィッツにて自動車向けのRTOSを専門とした開発活動に10年間従事。
その中で、名古屋大学との共同研究にて次世代車載向けRTOSの開発に携わった。
その後、機能安全対応RTOSの開発に伴い、TUVのアセスメントも経験している。
2012年より組み込みセキュリティの研究業務に従事し、セキュリティ対応のRTOS開発のプロジェクトリーダを務めた。
その経験を活かし、自動車関連企業に対するサイバーセキュリティに関する開発支援を実施した。
現在は、ヴィッツの子会社である株式会社アトリエに籍を移し、サイバーセキュリティに関するコンサルティング業務を実施している。
■ご専門および得意な分野・ご研究
・機能安全／サイバーセキュリティ向けのコンセプト開発
 （車両レベルの要件定義の実施）
・機能安全／サイバーセキュリティ向けECUアーキテクチャ設計
 （HW/SWの両方を考慮したシステムアーキテクチャの設計と要件定義の実施）
・機能安全(ISO 26262)対応のソフトウェア開発
・セキュリティ対応(ISO/IEC 21434)対応のソフトウェア開発
・自動車向けRTOSや通信スタックの開発

セミナー受講料

【オンライン受講（見逃し視聴なし）】：1名 50,600円(税込（消費税10％）、資料付)
＊1社2名以上同時申込の場合、1名につき39,600円

【オンライン受講（見逃し視聴あり）】：1名 56,100円(税込（消費税10％）、資料付)
＊1社2名以上同時申込の場合、1名につき45,100円

＊学校法人割引：学生、教員のご参加は受講料50％割引。

受講について

• 配布資料はPDF等のデータで送付予定です。受取方法はメールでご案内致します。
  （開催1週前～前日までには送付致します）
  ※準備の都合上、開催1営業日前の12:00までにお申し込みをお願い致します。
  （土、日、祝日は営業日としてカウント致しません。）
• 受講にあたってこちらをご確認の上、お申し込みください。
• Zoomを使用したオンラインセミナーです
  →環境の確認についてこちらからご確認ください
• 申込み時に（見逃し視聴有り）を選択された方は、見逃し視聴が可能です
  →こちらをご確認ください