CRA対応に向けたIEC62443準拠のセキュリティ開発方法の徹底解説

セミナー趣旨

  EU（欧州）では、あらゆるデジタル製品（関連するサービスを含む）にサイバーセキュリティ対策を義務付ける「サイバーレジリエンス法（Cyber Resilience Act：CRA）」が発行され、2027年1月以降に販売する製品から順次規制が開始されます。そして、この法規に違反した企業には巨額の罰金が科されることがあります。
  EU-CRAに対応するためには、デジタル製品の開発および市場運用に対してCSMS（Cyber Security Management System）を適用する必要があり、その具体的な方法はIEC 62443を活用するのが良いとされています。
  そのため本セミナーでは、まずCRAによる法規制の動向から各種要求事項について解説します。その後、CRAの要求事項を満たすために参考となるIEC 62443の概要を順番に解説していきます。
  IEC 62443の解説では、全体概要を説明した後、CRAに適合するために特に重要となる“Part.4-1 Secure product development lifecycle requirements”を説明します。IEC 62443 4-1の要求事項と合わせて、デジタル製品の開発および運用時に実施すべきセキュリティ活動の事例を順を追って丁寧に解説致します。

受講対象・レベル

EUにデジタル製品を輸出する企業の方々。その中でも特に以下に該当する方々。
・経営層（※企業としてCRAへの対応を推進するため）
・デジタル製品の設計者（※製品上にサイバーセキュリティ対策を設計・実装するため）
・部品の調達を行う方（※外注部品のサイバーセキュリティの保証を行うため）
・情報セキュリティ部門／品質保証部門の方（※P-SIRT活動に関連するため）

習得できる知識

・CRAに記載されている要求事項を理解できる
・CRAの対象となる製品および適合までのスケジュールを理解できる
・CRAへの適合に必要なCSMSの概要（IEC 62443 4-1準拠）を理解できる
・CSMSに準拠した製品の開発を行う際に、実施するサイバーセキュリティ活動を理解できる
・CSMSに準拠した製品の市場運用を行う際に、実施するサイバーセキュリティ活動を理解できる 

セミナープログラム

１．Cyber Resilience Act（CRA）の概要
　（１） CRA策定の背景と目的
　（２） CRAの概要
　　　a．デジタル製品の開発＆生産に関する必須要件
　　　b．デジタル製品の脆弱性対応プロセスに関する必須要件
　　　c．当局による市場監視の実施
　（３） CRAの対象となる製品
　　　a．重要だがリスクの低いデジタル製品（CLASS I）
　　　b．重要でリスクの高いデジタル製品（CLASS II）
　　　c．その他、重要でないデジタル製品
　（４） CRAへの適合評価の方法
　　　a．自己適合宣言
　　　b．第三者による型式審査＆生産管理
　　　c．第三者による品質保証システムの審査
　（５） CRAによる規制が開始されるまでのスケジュール
　（６） CRAに違反した場合の罰則
２．IEC 62443が定義するCSMS（Cyber Security Management System）の概要
　（１） IEC 62443の全体概要
　　　a．システムのオーナ／オペレータ向けのセキュリティ要件
　　　b．システムインテグレータ向けのセキュリティ要件
　　　c．システムの開発者向けのセキュリティ要件
　（２） IEC 62443 Part.4-1の解説①（セキュリティマネジメント）
　　　a．セキュリティ開発プロセスと組織運用方法の概要
　　　b．デジタル製品の開発環境のセキュリティ対策
　　　c．デジタル製品に搭載する暗号鍵の管理
３．IEC 62443に準拠したサイバーセキュリティ解説
　（１） IEC 62443 Part.4-1の解説②（製品開発のセキュリティ対策）
　　　a．デジタル製品の脅威モデルとCS対策
　　　b．デジタル製品のセキュアな設計／実装
　　　c．デジタル製品のセキュリティの検証
　（２） IEC 62443 Part.3-3の解説（サイバーセキュリティ対策技術）
　　　a．デジタル製品のセキュリティレベルとは？
　　　b．セキュリティレベルに応じたCS対策の一覧
４．IEC 62443に準拠したインシデント対応プロセス
　（１） IEC 62443 Part.4-1の解説③（市場でのセキュリティ対応）
　　　a．脆弱性／インシデント情報の収集（市場対応）
　　　b．脆弱性／インシデント情報の評価（リスクアセスメント）
　　　c．脆弱性／インシデント情報にへの対処（情報開示を含む）
　（２） セキュリティアップデートの管理
　　　a．ソフトウェアアップデートのプロセス
　　　b．アップデートするソフトウェアの開発
＜質疑応答＞ 

＊途中、お昼休みや小休憩を挟みます。

セミナー講師

 （株）アトリエ　サイバーセキュリティアシュアランス事業部 事業部長　 杉山 歩 氏

■ご略歴
株式会社ヴィッツにて自動車向けのRTOSを専門とした開発活動に10年間従事。
その中で、名古屋大学との共同研究にて次世代車載向けRTOSの開発に携わった。
その後、機能安全対応RTOSの開発に伴い、TUVのアセスメントも経験している。
2012年より組み込みセキュリティの研究業務に従事し、セキュリティ対応のRTOS開発のプロジェクトリーダを務めた。
その経験を活かし、自動車関連企業に対するサイバーセキュリティに関する開発支援を実施した。
現在は、ヴィッツの子会社である株式会社アトリエに籍を移し、
サイバーセキュリティに関するコンサルティング業務を実施している。
■ご専門および得意な分野・ご研究
・機能安全／サイバーセキュリティ向けのコンセプト開発
　（車両レベルの要件定義の実施）
・機能安全／サイバーセキュリティ向けECUアーキテクチャ設計
　（HW/SWの両方を考慮したシステムアーキテクチャの設計と要件定義の実施）
・機能安全(ISO 26262)対応のソフトウェア開発
・セキュリティ対応(ISO/IEC 21434)対応のソフトウェア開発
・自動車向けRTOSや通信スタックの開発

セミナー受講料

【オンライン受講（見逃し視聴なし）】：1名 50,600円(税込（消費税10％）、資料付)
＊1社2名以上同時申込の場合、1名につき39,600円

【オンライン受講（見逃し視聴あり）】：1名 56,100円(税込（消費税10％）、資料付)
＊1社2名以上同時申込の場合、1名につき45,100円

＊学校法人割引：学生、教員のご参加は受講料50％割引。

受講について

• 配布資料はPDF等のデータで送付予定です。受取方法はメールでご案内致します。
  （開催1週前～前日までには送付致します）
  ※準備の都合上、開催1営業日前の12:00までにお申し込みをお願い致します。
  （土、日、祝日は営業日としてカウント致しません。）
• 受講にあたってこちらをご確認の上、お申し込みください。
• Zoomを使用したオンラインセミナーです
  →環境の確認についてこちらからご確認ください
• 申込み時に（見逃し視聴有り）を選択された方は、見逃し視聴が可能です
  →こちらをご確認ください