欧州サイバーレジリエンス法（CRA）の内容解説および対応準備の全体像

セミナー趣旨

  本セミナーは、欧州サイバーレジリエンス法(CRA)の背景、対象製品、そして主要な要求事項である「Security by Design」、脆弱性管理プロセスの構築と脆弱性情報のENISAへの報告義務、SBOM(Software Bill of Materials)の提供義務などについて詳細に解説します。CRAの施行スケジュールや適合性評価方法に加え、組織体制の構築(CSIRT/PSIRT)、脆弱性管理、SBOM管理、セキュア開発、サプライチェーン対応といった、具体的な対応準備ステップと実務ノウハウを示します。

受講対象・レベル

デジタル要素を持つ製品（ハードウェア、ソフトウェアを含む）を開発、製造、またはEU域内で販売している企業の方で、
CRA対応に携わる立場の方を主な対象者としています。
・CRA遵守への対応が必要で、SBOM導入を含む製品開発及び生産開始後の運用を再構築されようとしている、
   製品開発部門、品質管理部門の方
・製品開発部門、技術部門、設計部門などで、Security by Designやセキュア開発の実装に関わっている方
・CSIRT/PSIRTの構築や脆弱性管理プロセスの整備、ENISAへの報告義務への対応を担っているセキュリティ部門や
   情報システム部門の方
・CEマーキングの取得や適合性評価プロセスに関わっている品質保証部門や製品認証部門の方
・また、サプライヤーからの調達などに関わるサプライチェーンの管理・対応を担う方

習得できる知識

本セミナーを通じて、受講者は主に以下の知識、情報、およびCRA対応に関するノウハウを得られます。これらを通じて、受講者はCRAへの理解を深め、
自社製品や組織がCRAにどのように対応すべきか、具体的な準備をどのように進めるべきかについての全体像を把握できるようになります。
・CRAが制定された背景や目的、そして制度全体の構造についての理解を深めることができます。
・CRAの対象となる製品の定義や、オープンソースソフトウェア（OSS）及び市販ソフトウェア/既製ソフトウェア製品
  （COTS製品）を含めたソフトウェアコンポーネントのSBOM管理など、対象範囲に関する詳細情報を得られます。
・CRAが要求する主要な義務として、Security by Designの実装、脆弱性情報の報告、SBOMの提供、製品のライフサイクル全体に
   わたるセキュリティ対応といった各項目について、詳細な内容を把握することができます。
・さらに、企業がCRAの要求事項を遵守するために必要な対応ステップとして、脆弱性管理プロセスの整備、SBOMの作成と管理、
   開発プロセスへのセキュリティ要件の組み込み、上市後の運用実務など、実務的なノウハウを得ることができます。

セミナープログラム

1.CRAの背景
　IoT機器の普及と進化、これを取り巻く技術環境の変化、及びLog4ShellやHeartbleedなど代表的なインシデント事例など、
   IoTセキュリティが直面しているリスクについて解説します。
2.CRA制定の経緯
　IoTセキュリティに関するこれまでの国際的な取り組みを踏まえ、CRA法案が検討され欧州議会で採択されるまでの流れと、
   その中でのENISA（欧州連合サイバーセキュリティ機関）の役割を概説します。
3.CRAの概要
　CRAが適用される製品とはどのようなものか、オープンソースソフトウェアへの対応方針、さらに製造者が果たすべき
   主な義務について説明します。
4.CRAの要求事項
　・製品の設計・開発段階からセキュリティを確保する「Security by Design」の考え方と実践方法
　・製品ライフサイクルを通じたセキュリティ支援体制の整備、特に脆弱性管理プロセスの構築とリスクアセスメント
    （TVRA：脅威・脆弱性・リスク評価)の進め方
　・脆弱性が発見された場合のENISAへの報告義務について、報告すべき情報の範囲と報告タイムライン
      (24時間、72時間、14日以内)、及びEU域内の市場監視当局への対応
　・SBOM（Software Bill of Materials）の提供義務について、どのような情報を含めるべきか、
      また推奨されるフォーマット(SPDX、CycloneDXなど)やその活用方法
5.製品カテゴリと適合性評価
　CRAが規定する製品分類（Class I～III）に基づく適合性評価方法、ならびにCEマーキングとの関係と
   その重要性について解説します。
6.CRAと関連する規制・標準
　MDR、IVDR、GSRなど他のEU規制との関連性、さらにNIS2指令との整合性、そしてIEC 62443やETSI EN 303 645といった
   業界標準とのつながりについて説明します。
7.CRAの施行スケジュール
　法制度としての施行プロセス全体の流れを説明したうえで、2026年から適用される義務と、
   2027年以降の完全施行について解説します。
8.CRA対応の準備
 （全体的な対応ステップの見取り図を提示し、自社の現状を評価するためのポイントや課題の抽出方法について紹介）
　・CSIRTやPSIRTの構築を含む組織体制の整備と、その中での役割分担
　・企業内部における脆弱性管理プロセスの設計と、発見された脆弱性への対応計画の策定方法
　・SBOMを効率的に作成・管理するための体制と、その活用方法を検討する観点
　・開発ライフサイクルにおけるセキュリティ要件の取り込み方、また実践的なセキュア開発のベストプラクティス
　・複数の取引先や外部委託先を含むサプライチェーン全体に対するセキュリティ対策の確立
＜質疑応答＞

＊途中、小休憩を挟みます。

※セミナー後のフォローのために、参加者のメールアドレスは講師に通知をさせていただきます。
   支障のある方は申込み時の備考欄にその旨を記入願います。 

セミナー講師

 Covalent(株) Managing Director　 小林 弘樹 氏

■ご略歴
デロイトトーマツコンサルティングを経て2016年にCovalentグループを共同創業。
2000年代から、製造業、特に自動車業界を中心に、制御ソフトウェア開発現場の業務プロセス改善や、ツール導入を経験。
制御ソフトウェア産業の育成に向けた産学官連携事業の企画・立案・実行を経験。
近年では製造業のデバイス向けサイバー・セキュリティ関連の法規対応、ルール設計、
業務プロセス改善、ツール導入を経験し、Covalentのサイバーセキュリティ・サービスを統括。
自身の製造業向けサイバーセキュリティの専門性を活かして経済産業省商務情報政策局を代表とする
官公庁のサイバーセキュリティ関連プロジェクトの責任者も担う。

セミナー受講料

【オンライン受講（見逃し視聴なし）】：1名 36,300円(税込（消費税10％）、資料付)
＊1社2名以上同時申込の場合、1名につき25,300円

【オンライン受講（見逃し視聴あり）】：1名 41,800円(税込（消費税10％）、資料付)
＊1社2名以上同時申込の場合、1名につき30,800円

＊学校法人割引：学生、教員のご参加は受講料50％割引。

受講について

• 配布資料はPDF等のデータで送付予定です。受取方法はメールでご案内致します。
  （開催1週前～前日までには送付致します）
  ※準備の都合上、開催1営業日前の12:00までにお申し込みをお願い致します。
  （土、日、祝日は営業日としてカウント致しません。）
• 受講にあたってこちらをご確認の上、お申し込みください。
• Zoomを使用したオンラインセミナーです
  →環境の確認についてこちらからご確認ください
• 申込み時に（見逃し視聴有り）を選択された方は、見逃し視聴が可能です
  →こちらをご確認ください