組み込みセキュリティ規制の概要解説：EUサイバーレジリエンス法とは？：Q&Aで学ぶマイコン講座（96）（2/3 ページ）

[STマイクロエレクトロニクス]

規制対象となる製品

　法案のタイトルに、「horizontal cybersecurity requirements for products with digital elements」とあるように、物理的に接続される機器やネットワーク、ソフトウェアにつながるデジタル要素を持つ製品が対象です。horizontalは「水平」「横方向」という意味で、セキュリティの分野では、サイバー攻撃がネットワーク上で拡散していく様子をLateral Movement（横方向移動）と呼んでいます。法案の草案、欧州議会案には、「ハードウェアインタフェースを介して物理的に接続される製品と、ネットワークソケット、パイプ、ファイル、アプリケーションプログラミングインタフェース（API）を介して論理的に接続される製品」と具体的に記載されています。なお、医療機器、自動車、航空機については規制の対象外です。

必須要件まとめ

ANNEX I 1：デジタル要素を含む製品のセキュリティ要件

分類	概要
セキュアな設計、開発、製造	リスク評価に基づいて適切なレベルのセキュリティを設計、開発、製造で確保
悪用可能な脆弱性の除去	既知の悪用可能な脆弱性なしで製品を出荷
セキュアな設定	セキュアなデフォルト設定で出荷。必要に応じて工場出荷状態に戻す機能も内蔵
不正アクセス保護	不正アクセスから保護するために認証やアクセス管理の仕組みを実装
データの機密性	暗号化やその他の最先端の仕組みでデータを保護
データの整合性	データ、コマンド、設定を不正な変更から保護し、破損時は報告
データの最小化	製品の意図された用途に関連する必要なデータのみを処理
機能の可用性維持	サービス拒否攻撃に対する耐性および影響緩和によって重要機能の可用性を保護
影響の最小化	他のデバイスやネットワークへの悪影響を軽減
攻撃対象領域の制限	外部インタフェースを含む攻撃対象領域を制限するように設計
インシデントの影響軽減	インシデントの影響を軽減する緩和の仕組みや技術を利用
セキュリティ情報	データ、サービス、機能へのアクセスや変更を含む関連する内部活動を監視、記録
セキュリティ更新	自動更新やユーザー通知などのセキュリティ更新で脆弱性に対処

ANNEX I 2：脆弱性処理要件

分類	概要
製品構成要素の文書化	製品の内蔵部品と脆弱性を特定して文書化。一般的に使用されている機械可読形式でソフトウェア部品表を作成することも含まれる。少なくとも最上位レベルの依存関係をカバー
脆弱性の対処、修正	セキュリティ更新の提供を含め、脆弱性を迅速に対処して修正
定期的なセキュリティテスト	製品のセキュリティについて、定期的なテストとレビューを実施
修正した脆弱性の情報公開	セキュリティ更新が利用可能になったら修正した脆弱性に関する情報を公開。これには、説明、影響を受ける製品、影響、重大度および修正に関するアドバイスが含まれる。
脆弱性開示ポリシー	脆弱性開示ポリシーを作成して運用
情報共有	発見された脆弱性を報告するための連絡先提供を含め、潜在的な脆弱性に関する情報の共有を促進
セキュアな更新の配布	脆弱性を修正、軽減するために更新ソフトウェアをセキュアに配布
セキュリティパッチ無料配布	セキュリティパッチまたは更新を遅滞なく無料で配布し、関連情報とユーザー向けの潜在的なアクションを記載したアドバイスメッセージを添付