組み込みセキュリティ規制の概要解説：EUサイバーレジリエンス法とは？：Q&Aで学ぶマイコン講座（96）（1/3 ページ）

マイコンユーザーのさまざまな疑問に対し、マイコンメーカーのエンジニアがお答えしていく本連載。今回は、初心者から上級者まで幅広い方々からよく質問される「EUサイバーレジリエンス法とは何？」についてです。

[STマイクロエレクトロニクス]

→過去の質問一覧はこちら

　素朴な疑問から技術トラブルなどマイコンユーザーのあらゆる悩みに対し、マイコンメーカーのエンジニアが回答していく連載「Q&Aで学ぶマイコン講座」。

　今回は、初心者から上級者まで幅広い方々から多く寄せられる質問です。

　EUサイバーレジリエンス法とは何ですか？　どんな製品が規制の対象になりますか？　どのような要件がありますか？

　EUサイバーレジリエンス法（CRA：Cyber Resilience Act）とは、EUで流通させるデジタル要素を有する製品をセキュリティに配慮して設計、開発、製造、販売することを義務付けるための法案です。サイバー攻撃を受けた時でも日常生活を支えるインフラが影響を受けないようにすること、また、影響を受けた場合でも速やかに回復できることを目的としています。

　そのため、ハードウェア／ソフトウェア問わずデジタル要素を有する製品が規制の対象となり、さらに派生してその製品に物理的に接続される機器や、ネットワーク、ソフトウェア部品へ接続されるものまで対象に含まれます（図1）

図1：規制対象の範囲［クリックで拡大］

　要件を手早く把握するには、法案本文よりも付属書（ANNEXES）を参照することをおすすめします。20ページ弱で要件がまとめられています。

　要件として、データの機密性、整合性を維持できること、ソフトウェア更新が可能なこと、ソフトウェア部品表を機械で読み取り可能な形式で提供できること、市場からのセキュリティリスクの指摘を受付けて対策を実施する仕組みを運用すること、などがあります。