ArmorCodeは、ArmorCode Agentic AIプラットフォームに新たなサイバーレジリエンス法(CRA)対応機能を追加したと発表しました。この機能は、デジタル要素を含む製品(PDE)のメーカーが、EU域内で当該製品を販売するすべての事業者に影響を与えるEUのサイバーセキュリティ規制への準備を整えるために役立ちます。
ArmorCodeは、製品セキュリティデータ、悪用状況を踏まえたリスク優先順位付け、開示ワークフロー管理、ソフトウェア部品表(SBOM)と脆弱性悪用可能性交換(VEX)のサポート、継続的なコンプライアンスレポートを一元化したシステムにより、組織がCRA要件を実際の運用に落とし込めるよう支援します。
EUサイバーレジリエンス法は、2024年12月に発効した重要な規制です。EU域内で販売されるデジタル要素を含む製品に対してサイバーセキュリティ要件を定めており、メーカーは脆弱性を遅延なく修正することが義務付けられています。
2026年9月11日以降、メーカーは積極的に悪用されている脆弱性に関する厳格な報告義務を履行しなければなりません。具体的には、24時間以内の早期警告通知、72時間以内の脆弱性通知、そして是正措置または緩和策が利用可能になってから14日以内の最終報告書の提出が求められます。これらに違反した組織には、最大1,500万ユーロ、または全世界年間売上高の2.5%のいずれか高い方の制裁金が科される可能性があります。
しかし現状、ほとんどの組織はこれらの報告要件を運用レベルで実現できていません。義務を果たすために必要なデータ、ワークフロー、証跡を一元管理するシステムが整っていないのです。重要な情報が脆弱性スキャナー、脅威インテリジェンスフィード、資産インベントリ、SBOMリポジトリ、チケット管理システム、コンプライアンスプラットフォームなどに分散しており、運用の複雑化や期限超過リスクの増大を招いています。
「サイバーレジリエンス法は、サイバーセキュリティの責任の所在を再定義し、運用事業者にとどまらず、製品サプライヤーのセキュリティ機能にまでその対象を広げています」と、WabtecのChief Product Security OfficerであるLarry Lowe氏は述べています。
同氏はさらに、「私たちはこれを見越して、IEC 62443-4-1に沿った開発プロセスへの能動的な整備と、セキュリティの運用化に向けたスケーラブルなソリューションへの投資を進めてきました。ArmorCodeを活用することで、脆弱性データの統合、開示ワークフローの効率化、リアルタイムのリスク追跡に必要な可視性と自動化を実現しており、CRAが求めるスピードとスケールへの対応力を高めながら、顧客からの信頼強化にもつながっています」と続けました。
「CRAは、製品セキュリティを期限付きの報告規律へと変えました」と、ArmorCodeのChief Product OfficerであるMark Lambert氏は述べています。同氏は「うまく対応できるメーカーは、コンプライアンス専用のプログラムを別途構築するのではなく、エクスポージャー管理に普段から使っているプラットフォーム上でそのまま運用するでしょう。また、実際に悪用されている脆弱性のみが24時間カウントダウンのトリガーとなるため、本当に悪用されているものを把握できるかどうかが、実行可能なプロセスと消防訓練的な対応の分かれ道となります」と語りました。
ArmorCode Agentic AIプラットフォームは、CRAの主要なワークフローと要件に対応すべく機能が拡張されています。主な追加機能は以下のとおりです。
- CRA要件の対象となる製品およびサブ製品向けのネイティブPDE分類とライフサイクル追跡
- 脆弱性を開示ライフサイクル全体にわたって追跡するための、悪用状況フィールドとCRA通知ステータスフィールド
- 既存のリスク要因に加え、実際の悪用インテリジェンスを組み込んだ悪用状況考慮型のリスク優先順位付け
- CRA開示タイムラインに対応した自動化されたワークフローオーケストレーションと期限追跡
- 安全な配布と監査可能性をサポートする継続的なSBOM・VEX管理
- 監査対応を支援する常時稼働ダッシュボード、改ざん防止済み監査証跡、コンプライアンスレポート、例外管理、SLAトラッキング
ArmorCodeは、悪用可能性データをリスク優先順位付けワークフローに組み込むことで、CRAにおいて最も重要な脆弱性への集中を支援します。「積極的に悪用されている」と指定された脆弱性のみが24時間の報告カウントダウンを開始するため、完全な監査証跡を維持しながらノイズの削減が可能です。
「サイバーレジリエンスはビジネス上の要件です」と、ArmorCodeのChief Security and Trust OfficerであるKarthik Swarnam氏は述べています。同氏は「サイバーレジリエンス法は、欧州でデジタル製品を開発・販売するすべての組織にとって、リスクの水準を引き上げるものです。積極的に悪用されている脆弱性の特定と報告を怠れば、多額の制裁金が科される可能性がありますが、より深刻なリスクは顧客の信頼と信用の喪失です。組織には、セキュリティ、コンプライアンス、開示をスケールして運用できる仕組みが必要です。ArmorCodeは、迅速な対応、説明責任の実証、進化し続ける規制要件への先手対応に必要なデータ、ワークフロー、証跡を一元化する手助けをします」と語りました。
CRA対応機能は、ArmorCode Agentic AIプラットフォーム上に構築されています。同プラットフォームは、セキュリティの検出結果、資産インテリジェンス、ソフトウェアサプライチェーンデータ、脅威インテリジェンス、クラウドセキュリティシグナル、ビジネスコンテキストを単一の信頼できる情報源に統合します。375以上のインテグレーションを通じて、ArmorCodeは既存のセキュリティツールを置き換えることなく、検出結果の相関分析、リスクの優先順位付け、修正ワークフローの自動化、監査対応可能な証跡の生成を実現します。
翻訳元: https://www.helpnetsecurity.com/2026/06/17/armorcode-agentic-ai-platform-cra-capabilities/
