サイバーレジリエンス法（CRA）適合に参照が必須：整合規格“EN40000”の徹底解説講座

セミナー趣旨

  EU（欧州）では、「あらゆるデジタル製品」にサイバーセキュリティ対策を義務付ける「サイバーレジリエンス法（Cyber Resilience Act：CRA）」が発行され、2027年12月から法規制が開始されます。つまり、それは欧州に製品を輸出する全ての企業に対応が必要となることを意味しています。そして、この法規に違反した企業には巨額の罰金が科されることがあります。
  EUでは法規制の施行にあたり、抽象的な法規要件を実現するための具体的な技術仕様や試験方法などを、整合規格として策定します。この度のCRAについても、その整合規格となる“EN40000”のドラフト版が2025年10月頃から順次公開されています。
  そのため、CRAの対象となる企業では、整合規格である“EN40000”の内容を理解し、法規適合に向けて実施すべき活動を明確化する必要があり、それがCRAの具体的対応への早道となります。
  本セミナーでは、まずCRAによる法規制の動向から各種要求事項、対象範囲などについて解説します。
  続けて、EN40000シリーズの概要を解説した後、CRAへの適合に必要な取り組みを、EN40000と対応付けながら事例を交えて紹介します。

受講対象・レベル

EUにデジタル製品を輸出する企業。その中でも特に以下に該当する方々。
・経営層（※企業としてCRAへの対応を推進するため）
・デジタル製品の設計者
　（※デジタル製品上にサイバーセキュリティ対策を設計・実装するため）
・部品の調達を行う方
　（※外注部品のサイバーセキュリティの保証を行うため）
・情報セキュリティ部門または品質保証部門の方
　（※P-SIRT活動に関連するため）

習得できる知識

・CRAに記載されている要求事項を理解することができる
・CRAの対象となる製品と適合までのスケジュールを理解することができる
・CRAの適合評価の方法を理解することができる
・CRAに適合するために策定が必要な技術文書を理解することができる
・CRAに適合するために構築が必要なP-SIRT活動を理解することができる

セミナープログラム

1．Cyber Resilience Act（CRA）とは？
　（１）CRA策定の背景と目的
　（２）CRAの概要
　　　a．デジタル製品の開発＆生産に関する必須要件
　　　b．デジタル製品の脆弱性対応プロセスに関する必須要件
　　　c．当局による市場監視の実施
　（３）CRAの対象となる製品
　　　a．重要だがリスクの低いデジタル製品（CLASS I）
　　　b．重要でリスクの高いデジタル製品（CLASS II）
　　　c．その他、重要でないデジタル製品
　（４）CRAへの適合評価の方法
　　　a．自己適合宣言
　　　b．第三者による型式審査＆生産管理
　　　c．第三者による品質保証システムの審査
　（５）CRAによる規制が開始されるまでのスケジュール
　（６）CRAに違反した場合の罰則
2．EN 40000-1-2 サイバーレジリエンスの原則の解説
　（１）サイバーセキュリティ原則とは？
　（２）リスクベースアプローチによるサイバーセキュリティ対策
　　　a．製品に対する脅威分析とリスクアセスメントの方法
　　　b．リスクへの対処方法（低減／共有／許容／回避）
　　　c．セキュアバイデザイン／セキュアバイデフォルト
　（３）製品開発中に実施が必要なサイバーセキュリティ活動
　　　a．製品サイバーセキュリティ計画
　　　b．製品サイバーセキュリティ要件
　　　c．サイバーセキュリティアーキテクチャ設計
　　　d．セキュアな実装
　　　e．サイバーセキュリティの検証と妥当性確認
　（４）製品の製造と市場への出荷
3．EN 40000-1-3 脆弱性ハンドリングの解説
　（１）脆弱性ハンドリングとは？
　（２）脆弱性ハンドリングの準備
　　　a．脆弱性への対応ポリシーの策定
　　　b．脆弱性情報の開示ポリシーの策定
　　　c．脆弱性情報の管理ルールの策定
　（３）脆弱性ハンドリングの実施
　　　a．脆弱性の受付窓口の設置
　　　b．脆弱性情報の調査（監視）
　　　c．脆弱性情報のトリアージ（仕分け）
　　　d．脆弱性の影響を受ける製品の特定
　　　e．脆弱性のリスクアセスメント
　　　f．脆弱性への是正（セキュアアップデート）
4．CRAの要件とEN 40000の対応関係の解説
　（１）製造業者の義務を果たすために順守すべきサイバーセキュリティ原則
　（２）製造業者の報告義務を果たすために実施すべき脆弱性ハンドリング
＜質疑応答＞

＊途中、お昼休みや小休憩を挟みます。

セミナー講師

 （株）アトリエ サイバーセキュリティアシュアランス事業部 事業部長　  杉山 歩 氏

■ご略歴
株式会社ヴィッツにて自動車向けのRTOSを専門とした開発活動に10年間従事。
その中で、名古屋大学との共同研究にて次世代車載向けRTOSの開発に携わった。
その後、機能安全対応RTOSの開発に伴い、TUVのアセスメントも経験している。
2012年より組み込みセキュリティの研究業務に従事し、セキュリティ対応のRTOS開発のプロジェクトリーダを務めた。
その経験を活かし、自動車関連企業に対するサイバーセキュリティに関する開発支援を実施した。
現在は、ヴィッツの子会社である株式会社アトリエに籍を移し、サイバーセキュリティに関するコンサルティング業務を実施している。
■ご専門および得意な分野・ご研究
・機能安全／サイバーセキュリティ向けのコンセプト開発
 （車両レベルの要件定義の実施）
・機能安全／サイバーセキュリティ向けECUアーキテクチャ設計
 （HW/SWの両方を考慮したシステムアーキテクチャの設計と要件定義の実施）
・機能安全(ISO 26262)対応のソフトウェア開発
・セキュリティ対応(ISO/IEC 21434)対応のソフトウェア開発
・自動車向けRTOSや通信スタックの開発

セミナー受講料

【オンライン受講（見逃し視聴なし）】：1名 50,600円(税込（消費税10％）、資料付)
＊1社2名以上同時申込の場合、1名につき39,600円

【オンライン受講（見逃し視聴あり）】：1名 56,100円(税込（消費税10％）、資料付)
＊1社2名以上同時申込の場合、1名につき45,100円
＊「見逃し視聴あり」でお申込の場合、当日のご参加が難しい方も後日セミナー動画の視聴が可能です。

＊学校法人割引：学生、教員のご参加は受講料50％割引。

主催者

開催場所

受講について

• 配布資料はPDF等のデータで送付予定です。受取方法はメールでご案内致します。
  （開催1週前～前日までには送付致します）
  ※準備の都合上、開催1営業日前の12:00までにお申し込みをお願い致します。
  （土、日、祝日は営業日としてカウント致しません。）
• 受講にあたってこちらをご確認の上、お申し込みください。
• Zoomを使用したオンラインセミナーです
  →環境の確認についてこちらからご確認ください
• 申込み時に（見逃し視聴有り）を選択された方は、見逃し視聴が可能です
  →こちらをご確認ください