TLDR: Aikido Securityは、サイバーレジリエンス法への準拠を支援します。また、SOC2、ISO27001、CIS 、NIS2のセキュリティポリシーとコンプライアンスチェックの自動化も支援します。
ここでは、サイバーレジリエンス法の重要性と、Aikidoがその準拠をどのように支援するかを説明します。
Cyber Resilience Actとは何か、そしてソフトウェアセキュリティにとってなぜ重要なのか?
「サイバーレジリエンス法(CRA)」は、2024年12月に導入された欧州連合(EU)の規制であり、EU域内で販売されるデジタル要素(構成要素であるハードウェアおよびソフトウェアを含む)を備えたすべての製品に対して、サイバーセキュリティおよびコンプライアンスに関する基本要件を定めたものです。 これには、リモートデータ処理ソリューションに該当するSaaS(Software-as-a-Service)製品も含まれます。この規制は、EU域内に拠点を置く企業だけでなく、欧州連合内でデジタル製品を販売するすべての製造業者および販売業者に影響を及ぼします。
これにより、サイバーセキュリティ上の不具合を防止する責任は製造業者に課され、違反した場合には最大1,500万ユーロまたは世界全体の売上高の2.5%に相当する多額の罰金が科されることになる。これは事実上、製品のサイバーセキュリティが市場参入の障壁となり、デジタルサプライチェーンにおいて競争力を維持するための必須要件となることを意味する。
この規制は、影響を受ける方々に対して明確な指針を示すことを目的としています。しかし、もしそれほど明確であれば、皆さんはこのページを読んでいないはずですから、ここで詳しく解説していきましょう。
Cyber Resilience Actが導入された理由
欧州委員会は、域内市場全体における製品セキュリティの水準が低いという課題に対処するため、CRAを導入した。既知の脆弱性を抱えたまま市場に投入され、セキュリティ更新プログラムが提供されないケースが頻発するデジタル製品が急速に増加しており、これにより消費者や企業の攻撃対象領域が拡大している。一見無害に見える場合でも、たった1台の接続デバイスが、より広範なネットワークを侵害しようとする悪意ある攻撃者にとっての侵入経路となり得る。
消費者を保護するため、CRAはスマートドアロック、ベビーモニター、警報システム、ネットワーク接続型玩具、ウェアラブル健康機器などの重要製品に対し、より厳格なコンプライアンス要件を課すことで、事実上、その責任をエンドユーザーからメーカーへと移行させる。CRAは、デフォルトでの自動セキュリティ更新を法的に義務付け、明確なユーザー説明書の提供を要求することで、消費者が適切な情報を得られ、高度な技術的知識がなくてもデバイスを安全な状態に維持できるようにしている。
EUが解決を目指しているもう一つの課題は、消費者や企業が商品を購入する際、どの製品が安全であるかを判断するのがいかに困難かという点である。
CRAは、ソフトウェアおよび接続デバイスが常に最新の状態に保たれ、安全かつ、絶えず進化するサイバー攻撃に対して強靭性を維持できるよう 確保します。これまで多くの製品には既知の脆弱性が含まれたまま出荷され、大規模なサプライチェーン攻撃を助長してきましたが、CRAはその状況を変えようとしています。
CRAはいつ施行されますか?
ソフトウェア開発を行うチームにとって、スケジュールは次の2つの期限に集約されます:
- 2026年9月11日より、ソフトウェア開発者は報告義務を遵守しなければなりません。つまり、実際に悪用されている脆弱性や重大なセキュリティインシデントについては、その事実を把握してから24時間以内にEU当局へ報告することが法的に義務付けられます。
- 2回目かつ最終の期限は2027年12月11日です。この日までに、製品はデフォルトでのセキュアな設定や適合宣言を含むすべての必須セキュリティ要件を完全に満たし、EU市場で販売するためにはCEマークを表示していなければなりません。
CRA製品分類
CRAは、デジタル要素を含む製品について、その固有のサイバーセキュリティリスクに基づき、4つの分類レベルを定めています:
- 「デフォルトクラス」:これは大多数の製品を対象としており、製造業者は第三者による監査を義務付けられることなく、自己評価を行うことでCRAへの準拠を証明することができます。
- 重要度クラス I:このカテゴリーには、オペレーティングシステム、パスワードマネージャー、ルーターなど、セキュリティ上極めて重要な役割を担う製品が含まれます。これらの製品には、例えば(現在策定中の)統一規格による検証など、より厳格な検証が求められます。
- 重要クラスII:この高リスク区分には、ファイアウォール、ハイパーバイザー、侵入検知ツールなどの運用セキュリティ関連機器が含まれ、市場投入前に認定機関による独立した試験が義務付けられています。
- 重要:スマートカード、セキュアエレメント、スマートメーターゲートウェイなど、最高レベルのセキュリティが求められるソフトウェアおよびハードウェアに限定されるこのクラスでは、指定機関による独立した第三者適合性評価が必須となります。
CRAコンプライアンスが開発者とセキュリティチームに与える影響
エンジニアリングチームまたはセキュリティチームの一員であれば、ソフトウェアの設計、構築、テスト、出荷方法が変わるため、大きな影響があります。脆弱性管理からインシデント対応まで、コンプライアンスとは、開発ライフサイクルにセキュリティバイデザインを組み込むことを意味します。
Aikido SecurityがCRAコンプライアンス要件を簡素化する方法
CRAは、製造業者に対して、脆弱性スキャンやSBOM生成からDoS攻撃に対するレジリエンスまで、厳格な要件を定めています。Aikidoは、自動化されたセキュリティスキャン、ランタイム保護、およびコンプライアンスレポートを1つの集中システムで提供することで、これらの要件を満たすのを支援します。
ここでは、その仕組みについてさらに詳しく見ていきましょう Aikido が特定の要件への準拠にどのように役立つかについて、さらに詳しく解説します:製品は、リスクに基づいた適切なサイバーセキュリティレベルを提供すべきです Aikido は、既知のリスクに対してコード、クラウド、実行環境を継続的に監視することでこれを支援します。これにより、セキュリティ態勢の全体像を把握できます。
製品には、既知の悪用可能な脆弱性が一切含まれていない状態で提供されるべきです
ここが Aikido が不可欠なのです; Aikido には、脆弱性を探すためのスキャナーが数多く用意されています。これらには SAST - ソースコードのセキュリティ脆弱性をスキャンする、ソフトウェア構成分析(SCA) - 脆弱性 、仮想マシンスキャン(AWS EC2インスタンス)、 DAST、クラウドセキュリティポスチャー管理(CSPM)—クラウドの設定ミスチェック、API 、シークレット 、コンテナスキャン、Infrastructure-as-Code(IaC)スキャン、マルウェアスキャン、およびオープンソースライセンススキャンが含まれます。
また、製品をリリースする前に、 Aikido は Zenを提供しています。これはランタイム・アプリケーション・セルフプロテクション(RASP)であり、アプリ内ファイアウォールを提供することでアプリケーションを保護します。これにより、アプリケーションの実行中に脅威を検知し、ゼロデイ攻撃などの攻撃をリアルタイムで阻止し、重大なインジェクション攻撃を自動的にブロックします。Zenすれば、新たな脆弱性について心配する必要はありません。
製品は、サービス拒否攻撃に対する耐性やその影響の軽減を含め、重要な機能の可用性を確保しなければならない。
AikidoZen エッジ側で悪意のあるトラフィックをフィルタリングZen 、レート制限を適用することで、DoS/DDoS攻撃の緩和を支援Zen 。これにより、ボリューム型攻撃やリソース枯渇型攻撃がアプリケーションロジックに到達する前に、その影響範囲を縮小します。
製品は、他のデバイスやネットワークが提供するサービスの可用性に対する悪影響を最小限に抑えるべきである。
Aikido Zen 、侵害されたサービスから外部への悪意のあるトラフィックの拡散を防ぐZen 。
製品は、外部インターフェースを含む攻撃対象領域を最小限に抑えるよう、設計、開発、製造されるべきである。
公開されているサービス、セキュリティ上の問題があるコード、および脆弱性依存関係特定することで、 Aikido は攻撃対象領域の縮小を支援します。自律型ペネトレーションテスト 、インターフェースやエンドポイントを動的にペネトレーションテスト 、予期せぬ露出の特定を支援します。
適切な悪用防止メカニズムや技術を用いて、インシデントの影響を軽減するように設計、開発、製造された製品。
以下の方法により、脆弱性のあるライブラリや安全でないコーディング手法を早期に検出することで Aikido Aikido Aikido は、悪用される可能性を積極的に低減します。 当社の自律型ペネトレーションテスト 、緩和策(例:WAFルール、サンドボックス化、安全なデシリアライゼーション)が実際の攻撃を確実に阻止できるかをペネトレーションテスト 。一方、DAST 実行時防御が実際に機能しているかをDAST 、攻撃下においてそのチェックが有効であるか(あるいは無効であるか)を実質的に明らかにします。エクスプロイト シミュレートすることで、脆弱性が存在したとしても、補完的な制御によって被害を限定できることを確認します。
脆弱性は、該当する場合、自動アップデートや利用可能なアップデートのユーザーへの通知を含め、セキュリティアップデートによって対処できます。
Aikidoは、依存関係における新たな脆弱性を継続的に監視し、アラートを発します。これにより、更新が迅速に適用されることを確実に支援します。
製造業者は、製品に含まれる脆弱性やコンポーネントを特定し、文書化すべきである。これには、 依存関係 、一般的に使用され、機械可読な形式のソフトウェア部品表(SBOM)の作成が含まれる。
Aikidoを使用すると、CycloneDXまたはSPDX形式でワンクリックで完全なSoftware Bill of Materials (SBOM)をエクスポートできます。これにより、監査および透明性のために、すべてのパッケージとそのライセンスの完全なインベントリが提供されます。
デジタル要素を含む製品に生じるリスクについては、セキュリティ更新プログラムの提供などを通じて、遅滞なく脆弱性に対処し、是正措置を講じる必要があります。
Aikido は、ノイズ 誤検知)を95%削減するため、修正にかかる時間を短縮する最適な選択肢です。さらに、当社の静的アプリケーションセキュリティテスト(SAST)ツールは、悪用可能性を排除することができ、排除できない場合でも、アラートを自動的に優先順位付けして表示します。
さらに、当社のAutoFix機能を使えば、ワンクリックで多数の課題を自動的に修正できます。欧州および米国における開発者、アプリケーションセキュリティエンジニア、CISOを対象とした当社独自の調査によると、79%の組織がすでに脆弱性対策にAI autofix を利用しており、さらに18%が導入に関心を示しています。
当社の自律型ペネトレーションテスト の結果は、修正パイプラインに統合することもペネトレーションテスト 、修正が実際に機能しているかどうかを容易に検証できます。
さらに、当社のAutoFix機能を使えば、ワンクリックで多数の課題を自動的に修正できます。欧州および米国の開発者、アプリケーションセキュリティエンジニア、CISOを対象とした当社独自の調査によると、79%の組織がすでに脆弱性対策にAI autofix 活用しており、さらに18%が導入に関心を示しています。
当社の新しい自律型ペネトレーションテストソリューションの検出結果は、修正パイプラインに統合することもでき、修正が実際に機能することを検証しやすくなります。
デジタル要素を含む製品のセキュリティについて、効果的かつ定期的なテストと検証を実施する。
Aikido ペネトレーションテスト 手動による方法よりも徹底的かつ効率的な自律型ペネトレーションテスト を提供ペネトレーションテスト 組織がオンデマンドまたは継続的に自動テストを実行できるようにします。(これにより、数週間かかっていたペネトレーションテストが、1時間未満で完了する評価へと変わります)。また、 Aikido は、コードの変更やビルドのたびにセキュリティテストを自動化し、継続的なレビューを保証します。
ISO27001、NIS2、DORAを超えて:CRAが追加するもの
多くの組織は、すでにISO27001、NIS2、DORAなどのフレームワークに準拠しています。これらは主に、組織レベルでのセキュリティ管理方法(ポリシー、リスク管理、インシデント対応、レポート作成)に焦点を当てています。Aikidoは、プラットフォーム内でコンプライアンスレポートをすでに提供しています。対象は以下の通りです。
- ISO 27001:2022への準拠
- SOC2準拠
- OWASP Top 10 への準拠
- CIS Compliance
- NIS2 Compliance
- NIST 800-53コンプライアンス
- PCIコンプライアンス
- HIPAAコンプライアンス
- DORAコンプライアンス
- HITRUST LVL3 Compliance
- ENS Compliance
- GDPR
サイバーレジリエンス法(CRA)は異なります。これは製品レベルのセキュリティ義務を導入するものであり、開発・販売するデジタル製品に直接適用される規制を意味します。コンプライアンスは、適切なプロセスが導入されていることを証明するだけでなく、製品自体が安全であることを証明することでもあります。
- 既知の脆弱性がない状態で出荷されなければなりません。
- 少なくともトップ依存関係 SBOM必要があります
- 攻撃(例:DoS/DDoS)に対して耐性がある必要があります。
- 少なくとも5年間は、自動セキュリティ更新プログラムを受け取れる必要があります
- エクスプロイト可能な欠陥がないか定期的にテストされる必要があります。
これらは製品自体に対する要件であり、貴社のセキュリティ管理システムのみに対するものではありません。
完全なCRAコンプライアンスのために必要となる可能性のあるその他のセキュリティツール
一方で Aikido がコード、クラウド、ランタイムのセキュリティを単一の統合システムで網羅する一方で、CRAはリスク評価、機能およびアーキテクチャのセキュリティ、ID管理、暗号化、データ保護、ネットワークセキュリティにも言及しています。環境によっては、 Aikidoと併せて、IAM、脅威モデリングツール、暗号化対策、または災害復旧ソリューションなどの補完
よくあるご質問
まとめ
「サイバーレジリエンス法(CRA)」は、欧州におけるセキュアなソフトウェアの新たな基準を定めています。サイバーセキュリティはもはや、単なるコンプライアンス上のチェック項目ではなく、市場参入の障壁となっています。エンジニアリングおよびセキュリティチームにとっては、開発の初期段階からセキュリティを考慮した設計を行い、自社製品がCRAの要件を満たしていることを証明することが求められます。
Aikido セキュリティがこれをシンプルにします。コードからクラウド、そして実行環境に至るまで、 Aikido は、1つのプラットフォームで自動スキャン、コード品質チェック、SBOM 、ペネトレーションテスト、ランタイム保護を提供します。複数のツールを切り替える必要も、余計なノイズ不要です。コンプライアンスへの近道と、より安全な製品を実現します。 Aikido がCRA要件の達成をどのように支援するか、ご確認いただけますか?
デモを予約 して、チームのペースを落とすことなく、安全なソフトウェアの開発を始めましょう。
