EUへのデジタル製品の流入はIT指導者のレーダーに必要であり、依存関係を追跡し、脆弱性を報告する方法はますますCIOが答えを必要とする取締役会レベルの問題となっています。
ほとんどのサイバーセキュリティ規制とは異なり、EUのサイバーレジリエンス法はプロセスや認証ではなく製品安全に関するもので、物理的な製品の側面からソフトウェア、ファームウェア、バックエンドサービス、およびネットワーク接続を持つすべてのものにCEマークを拡張します。既存のベストプラクティスをコード化し、最小限の製品サポートライフサイクルを強制し、組織が依存するオープンソースプロジェクトとのより強い関係を構築することを意味する可能性があります。そして期限があります。今年の9月11日までに、脆弱性とインシデント報告プロセスを導入する必要があります。
すでにソフトウェア部品表(SBOM)を使用している組織でさえ、製品内で積極的に悪用されている脆弱性を24時間以内に報告する新しいCRA義務に従い、3日以内に完全なレポートを提供する必要があることは、達成するのが難しいかもしれません。
SaaS代替サービスCloudsmithの最近のアーティファクト管理レポートでほぼすべての人がSBOMを生成していますが、手動またはオンデマンドではなく自動的に生成しているのはわずか4分の1です。過半数が包括的なレポートには相当な時間と労力が必要になると述べており、CRAのスポットチェックが必要とする予期しないソフトウェアサプライチェーン監査に合格できると非常に自信があるのは3分の1未満です。
「多くの組織はソフトウェアサプライチェーンのベストプラクティスを実施していなかった」と、Cloudsmithのプロダクト担当副社長であるAlison Sickeikaは言います。「そして、それはSBOMを生成し、報告を行い、すべてを時間内に整備する方法を確認するために急いで動く必要があることに反映されています。」ソフトウェア開発を遅くする負担と見なされることもあるSBOMと監査可能性は、彼女が付け加える現在必須です。
多くのCIOにとって、CRA自体がレーダーに現れていません。「彼らはそれがほぼティックボックスの練習だと考えるかもしれません」とセキュリティベンダーWatchGuardのエンジニアリングマネージャーであるOli Vennは言います。これは計画と設計から、サポートと保守まで、製品ライフサイクル全体にわたる積極的な報告要件をカバーする広い規制です。
「スマートサーモスタット、コーヒーマシン、またはインターネットやネットワークに接続できる他のあらゆるものなど、デジタルシステムを製造または供給しているベンダーである場合、それは規制に該当します」と彼は付け加えます。「開発者と消費者が何らかの形でそれを使用している場合、CRAの対象範囲に該当します。」
影響力の範囲
CRAは、モバイルフォン、組み込みオペレーティングシステム、データベース、ゲーム、ネットワーク機器、IoTデバイス、さらにはアプリを通じて配信されるチケットなどのソフトウェアとデバイスに適用されます。ただし、非商用オープンソースには適用されませんが、オープンソース財団には義務があります。製品にオープンソース要素が含まれている場合、それらが準拠していることを確認する責任があります。純粋なSaaSは対象ではありませんが、SaaSをバックエンドとして使用するクライアントソフトウェア、アプライアンス、またはデバイスは対象です。
「CRAにはバックエンドコンポーネント、私たちが呼ぶリモートデータ処理ソリューション、製品にサーバー側がある場合が含まれます」とETSIのサイバーEUSR委員会の標準エンジニアであるDaniel Ehrenbergは言います。
EU市場で既に販売されている製品は、大幅なアップデートを受けない限り、CRAに完全に準拠する必要はありませんが、企業はインシデントと脆弱性を報告する必要があります。ただし、この法律はそれらに対処することが不可能かもしれないことを認識しています。それ以外の場合、唯一の免除対象は、自動車や医療などの部門で既にカバーされているより厳格な規制の対象である製品です。
製品安全性
CRAは、デジタル製品は設計時からデフォルトでセキュアである必要があり、悪用される可能性のある明らかなデフォルトパスワードなどの既知の脆弱性を含めて出荷することはできないと述べています。また、そのような脆弱性が後で発見された場合、攻撃面を制限し、暗号化と削減されたデータ収集で機密性と整合性を保護することで影響を最小化しながら、更新可能である必要があります。それは、Ehrenbergが説明するように、商用ソフトウェアはそれらをよく処理し、バグレポートを受け取るための効果的なプロセスを持つ必要があるという義務に相当します。
「何とかしてこれが起こらないことを願う人が多いのですが、それはすべての要件を考慮するためのウェイクアップコールになるでしょう。リスク評価から始まります」と彼は言います。「製品を市場に投入する場合、サイバーセキュリティリスクの評価を行う必要があり、継続的な監査を行って、実際のライブ依存関係が何かを知り、更新が必要かどうかを評価できるようにする必要があります。」
これにはベンダーからのコンポーネントが含まれます。「彼らがコンプライアンスを保持し、セキュリティ脆弱性を報告していることを確認してください」とVennは言います。SBOMの要件は負担というよりは妥当だと、Cloudsmithの開発者関係責任者であるNigel Douglasは付け加えます。「パッケージ名とIDに対する可視性があるため、ソフトウェアサプライチェーンにある版とユーザーが消費・有料で得ているコードベースが潜在的に悪意のあるコードを含んでいるかどうかを判断でき、それらに影響を与える」と彼は言います。「重要なのは、インシデントに迅速に対応できることを証明できることです。」
オープンソースの場合、依存するプロジェクトを評価することも意味します。「CRAは、依存するオープンソースプロジェクトについて知識を持ち、理解し、情報に基づいた知的な決定を下すことを義務付けています」とKubernetesステアリング委員会メンバーのKat Cosgoveは指摘しています。オープンソースプロジェクト内で脆弱性を発見および修正する組織は、それをアップストリームに貢献する必要があります。Vennは指摘しています。「彼らはもはやこれらのテクノロジーの単なる消費者ではありません」と彼は言います。「それを使用したければ、コミュニティの一部である必要があります。」
他とは異なる
従来のサイバーセキュリティ規制とは異なり、CRAはソフトウェア開発実践と認証に焦点を当てていません。Ehrenbergは、新しい要件にマップされない可能性があることを警告しています。代わりに、販売されている製品に焦点を当てています。「リスクに関連するデータを削減するために処理されているデータの量を最小化する製品を達成しましたか?」と彼は尋ねます。「リスク状態および転送中のデータを保護していますか?」
CIOは、組織が販売する製品を上からの方法で検討し、ビルド方法がすべてのボックスをチェックしているかどうかではなく、セキュリティ要件をどのように満たすかを見る必要があります。「それは責任の転換です」と彼は付け加えます。「あなたは正しいステップを確認するだけでなく、最終製品に対して責任があります。」
要件はまた、製品サポート、アップデート、およびライフサイクルを義務付けており、ほとんどの場合、最低5年間の無料セキュリティアップデートがあり、すべてが2027年12月からデジタル製品が必要とする準拠宣言に含まれます。宣言とドキュメントは製品が販売されてから10年間利用可能である必要がありますが、SBOMは公開する必要はなく、市場監視当局が要求した場合に利用可能である必要があります。
実際の標準
異なるクラスの製品は、異なるレベルの精査を引き起こします。ほとんどのデジタル製品は、ヨーロッパの標準化組織からドラフト形式で既に利用可能なサイバーセキュリティおよび脆弱性処理のための水平基準に基づくデフォルト規制を取得します。
ただし、ID管理システム、Webブラウザー、パスワードマネージャー、VPN、インターネットアクセスルーターなどの重要な製品、およびハイパーバイザー、PKIインフラストラクチャー、ハードウェアセキュリティモジュール、産業用ファイアウォールなどの重要な製品は、より厳格な適合性評価が必要になります。
これらは、特定のリスクを分析するために開発されている垂直基準でカバーされており、メモリセーフ言語でWebブラウザーを作成するなどの潜在的な軽減策をリストアップしています。「CRAはメモリセーフ言語への移行を要求しないか、COBOLから移動することを要求していません」とEhrenbergは言います。
タイムラインと罰金
CRAは指令ではなく規制であるため、個々のヨーロッパ諸国が新しい法律を可決することなく適用され、それを管理するメカニズムはこの夏に設定されています。「市場監視当局はオンラインになり、物事をレビューおよび承認する能力を持ち、その後、個々の適合性評価機関がオンラインになります」とEhrenbergは言います。欧州連合サイバーセキュリティ機関(ENISA)は、積極的に悪用されている脆弱性とインシデントを報告するための単一プラットフォームを実行します。
CRAは2027年12月11日から完全に適用されますが、市場監視当局の技術的能力に依存し、施行は段階的に行われます。Ehrenbergは言います。彼らは製品を準拠させること、その販売を制限することを主張することができます。または、それらを撤回または回収することさえできます。また、最大1500万ユーロまたは売上高の2.5%の罰金を課すことができます。
「今後、これを解釈するための裁判所の戦いが続く可能性があります」とEhrenbergは言います。側面は既に曖昧で弱いと批判されています。しかし、限定的な施行に依存している組織は、製品とそれら自身のセキュリティを改善する機会を逃しています。
単にはより良いセキュリティ
サプライチェーン攻撃の増加に伴い、CRA命令は企業にオープンソース使用を追跡させ、エンドユーザーに問題を迅速に通知させることで、実際のセキュリティ利点を提供します。サイバーセキュリティベンダーAnchoreのプロダクト担当SVPであるNeil Levineは言います。彼は2027年の期限まで待つのではなく、報告要件に準拠するのを助けるために9月までにSBOMを採用することをお勧めします。
賢いCIOはまた、これを改善を提供するためのリソースを取得する機会として使用することができます。「ほとんどのCIOはとにかくこれらのことをしたいと思っているが、ただ帯域幅がない」とVennは言います。「だから、これは彼らが理事会に行き、予算と時間が必要であると言うための可能性のあるツールです。」
