Aikido Securityを使用したサイバーレジリエンス法（CRA）への準拠

TLDR: Aikido Securityは、サイバーレジリエンス法への準拠を支援します。また、SOC2、ISO27001、CIS 、NIS2のセキュリティポリシーとコンプライアンスチェックの自動化も支援します。
ここでは、サイバーレジリエンス法の重要性と、Aikidoがその準拠をどのように支援するかを説明します。

Cyber Resilience Actとは何か、そしてソフトウェアセキュリティにとってなぜ重要なのか？

‍Cyber Resilience Act (CRA)は、2024年12月から施行される欧州連合（EU）の規制であり、EUで販売される、デジタル要素を持つすべての製品（その構成要素であるハードウェアとソフトウェアを含む）に対して、基本的なサイバーセキュリティとコンプライアンス要件を確立します。これには、リモートデータ処理ソリューションとして認定されるSoftware-as-a-Service (SaaS) 製品も含まれます。EU域内の企業だけでなく、欧州連合に販売するすべてのメーカーに影響を与えます。

これにより、サイバーセキュリティの障害を防止する責任がメーカーに課せられ、不遵守に対しては多額の罰金が科せられます。その額は最大1,500万ユーロまたは全世界売上高の2.5%に達する可能性があります。したがって、製品は最初からセキュリティを念頭に置いて構築されるべきです。

この規制は、影響を受ける人々に対して明確なガイドラインを提供することを目的としていますが、もしそれが明確であれば、このページを読む必要はないでしょう。そこで、その内容を分かりやすく解説します。

Cyber Resilience Actが導入された理由

欧州委員会は、デジタル要素を持つ製品を購入する消費者や企業を保護するためにCRAを設計しました。率直に言って、インターネットに接続された多くの製品（モノのインターネットとも呼ばれる）は更新されておらず、したがって安全ではないためです。実際、記録された最大級のDDoS攻撃の1つは、安全でないIoTデバイスを攻撃マシンの軍隊に変えたMirai botnet (Dyn attack)でした。EUが解決すべきもう1つの問題は、消費者や企業が製品を購入する際に、どの製品が安全であるかを知ることがますます困難になっていることでした。 

CRAは、ソフトウェアと接続されたデバイスが更新され、安全で、サイバー攻撃に対して回復力があることを保証します。多くの製品はこれまで既知の脆弱性を抱えたまま出荷され、大規模なサプライチェーン攻撃を助長してきましたが、CRAはそれを変えることを目指しています。

CRAコンプライアンスが開発者とセキュリティチームに与える影響

エンジニアリングチームまたはセキュリティチームの一員であれば、ソフトウェアの設計、構築、テスト、出荷方法が変わるため、大きな影響があります。脆弱性管理からインシデント対応まで、コンプライアンスとは、開発ライフサイクルにセキュリティバイデザインを組み込むことを意味します。

Aikido SecurityがCRAコンプライアンス要件を簡素化する方法

CRAは、製造業者に対して、脆弱性スキャンやSBOM生成からDoS攻撃に対するレジリエンスまで、厳格な要件を定めています。Aikidoは、自動化されたセキュリティスキャン、ランタイム保護、およびコンプライアンスレポートを1つの集中システムで提供することで、これらの要件を満たすのを支援します。

Aikidoが特定の要件への準拠をどのように支援するかについて、さらに詳しく見ていきましょう。

製品は、リスクに基づいて適切なサイバーセキュリティレベルを提供する必要があります。
Aikidoは、既知のリスクに対してコード、クラウド、ランタイムを継続的に監視することで支援します。これにより、セキュリティ体制の全体像を把握できます。

製品は、既知の悪用可能な脆弱性なしで提供される必要があります。

ここでAikidoが不可欠になります。Aikidoは、脆弱性を検出するための多数のスキャナーを提供します。これらには、SAST（ソースコードのセキュリティ脆弱性をスキャン）、ソフトウェア構成分析（SCA）（オープンソースの依存関係の脆弱性スキャン）、仮想マシン（VM）スキャン（AWS EC2インスタンス）、DAST、クラウドセキュリティポスチャ管理（CSPM）（クラウド設定ミスチェック）、APIスキャン、シークレットスキャン、コンテナスキャン、Infrastructure-as-Code（IaC）スキャン、マルウェアスキャン、およびオープンソースライセンススキャンが含まれます。

また、製品をリリースする前に、AikidoはZenを提供します。これは、インアプリファイアウォールを提供することでアプリケーションを保護するランタイムアプリケーションセルフプロテクション（RASP）です。これにより、アプリケーションの実行中に脅威を検出し、ゼロデイ攻撃のような攻撃をリアルタイムで阻止し、重大なインジェクション攻撃を自動的にブロックします。Zenをインストールすることで、新たな脆弱性について心配する必要がなくなります。

製品は、サービス拒否攻撃に対するレジリエンスと軽減策を含め、必須機能の可用性を保護する必要があります。
AikidoのZenは、エッジで悪意のあるトラフィックをフィルタリングし、レート制限を適用することで、DoS/DDoS攻撃の軽減に役立ちます。これにより、大量攻撃やリソース枯渇攻撃がアプリケーションロジックに到達する前に、その影響範囲を縮小します。

製品は、他のデバイスやネットワークによって提供されるサービスの可用性への悪影響を最小限に抑える必要があります。
Aikido Zenは、侵害されたサービスが悪意のあるトラフィックを外部に拡散しないようにすることができます。

製品は、外部インターフェースを含め、攻撃対象領域を制限するように設計、開発、製造される必要があります。
Aikidoは、公開されているサービス、安全でないコード、および脆弱な依存関係を特定することで、攻撃対象領域の削減を支援します。自律型ペネトレーションテストは、インターフェースとエンドポイントを動的にプローブし、予期せぬ露出を特定するのに役立ちます。 

製品は、適切なエクスプロイト軽減メカニズムと技術を使用して、インシデントの影響を軽減するように設計、開発、製造される必要があります。
Aikidoのコード品質機能を通じて脆弱なライブラリや安全でないコーディングプラクティスを早期に検出することで、Aikidoはエクスプロイト可能性を積極的に低減します。当社の自律型ペネトレーションテストは、軽減策（例：WAFルール、サンドボックス、安全な逆シリアル化）が実際に現実世界のエクスプロイトを阻止するかどうかを検証します。一方、DASTはランタイム防御が実際に機能するかどうかを検証し、攻撃下でチェックが有効であるか（または有効でないか）を本質的に伝えます。エクスプロイトの試行をシミュレートすることで、脆弱性が存在する場合でも、補償制御が損害を制限できることを検証します。

脆弱性は、該当する場合、自動アップデートや利用可能なアップデートのユーザーへの通知を含め、セキュリティアップデートによって対処できます。‍

Aikidoは、依存関係における新たな脆弱性を継続的に監視し、アラートを発します。これにより、更新が迅速に適用されることを確実に支援します。

製造業者は、製品に含まれる脆弱性およびコンポーネントを特定し、文書化する必要があります。これには、少なくとも製品のトップレベルの依存関係を網羅する、一般的に使用され機械可読な形式のソフトウェア部品表（SBOM）の作成が含まれます。

Aikidoを使用すると、CycloneDXまたはSPDX形式でワンクリックで完全なSoftware Bill of Materials (SBOM)をエクスポートできます。これにより、監査および透明性のために、すべてのパッケージとそのライセンスの完全なインベントリが提供されます。

デジタル要素を含む製品に起因するリスクに関して、セキュリティアップデートの提供を含め、脆弱性を遅滞なく対処し、修正すること。

Aikidoは、当社のスキャンがノイズ（誤検知）を95%削減するため、修正にかかる時間を短縮するための最良の選択肢です。さらに、当社のStatic Application Security Testing (SAST)ツールは、エクスプロイトの可能性を排除でき、排除できない場合は、優先順位付けのためにアラートを自動的にトリアージします。

さらに、当社のAutoFix機能を使用すると、多くの問題をワンクリックで自動的に修正できます。欧米のデベロッパー、AppSecエンジニア、CISOを対象とした当社独自の調査によると、組織の79%がすでに脆弱性対策にAI AutoFixツールを使用しており、さらに18%が関心を示しています。 

当社の新しい自律型ペネトレーションテストソリューションの検出結果は、修正パイプラインに統合することもでき、修正が実際に機能することを検証しやすくなります。 

デジタル要素を含む製品のセキュリティについて、効果的かつ定期的なテストとレビューを実施すること。

Aikidoは、手動の代替手段よりも徹底的で効率的な自律型ペネトレーションテストをまもなく提供します。これにより、組織はオンデマンドまたは継続的に自動テストを実行できるようになります。（これにより、数週間かかっていたペネトレーションテストが1時間未満で完了する評価に変わります）。それとは別に、Aikidoはすべてのコード変更またはビルドでセキュリティテストを自動化し、継続的なレビューを保証します。

ISO27001、NIS2、DORAを超えて：CRAが追加するもの

多くの組織は、すでにISO27001、NIS2、DORAなどのフレームワークに準拠しています。これらは主に、組織レベルでのセキュリティ管理方法（ポリシー、リスク管理、インシデント対応、レポート作成）に焦点を当てています。Aikidoは、プラットフォーム内でコンプライアンスレポートをすでに提供しています。対象は以下の通りです。

• ISO 27001:2022への準拠
• SOC2コンプライアンス
• OWASP Top 10準拠
• CISコンプライアンス
• NIS2コンプライアンス
• NIST 800-53コンプライアンス
• PCIコンプライアンス
• HIPAAコンプライアンス
• DORAコンプライアンス
• HITRUST LVL3 Compliance
• ENS Compliance
• GDPR

サイバーレジリエンス法（CRA）は異なります。これは製品レベルのセキュリティ義務を導入するものであり、開発・販売するデジタル製品に直接適用される規制を意味します。コンプライアンスは、適切なプロセスが導入されていることを証明するだけでなく、製品自体が安全であることを証明することでもあります。

• 既知の脆弱性がない状態で出荷されなければなりません。
• SBOMを含める必要があります。
• 攻撃（例：DoS/DDoS）に対して耐性がある必要があります。
• 継続的なセキュリティアップデートを受ける必要があります。
• エクスプロイト可能な欠陥がないか定期的にテストされる必要があります。
  

これらは製品自体に対する要件であり、貴社のセキュリティ管理システムのみに対するものではありません。

完全なCRAコンプライアンスのために必要となる可能性のあるその他のセキュリティツール

Aikidoはコード、クラウド、ランタイムのセキュリティを1つの中央システムでカバーしますが、CRAはID管理、暗号化、データ保護、ネットワークセキュリティにも触れています。環境によっては、Aikidoに加えてIAM、暗号制御、災害復旧ソリューションなどの補完的なツールが必要になる場合があります。

よくあるご質問

まとめ

サイバーレジリエンス法は、ヨーロッパにおけるセキュアなソフトウェアの新しい標準を確立します。コンプライアンスはもはや選択肢ではありません。エンジニアリングチームとセキュリティチームにとって、これはセキュリティを核として構築し、製品がCRA要件を満たしていることを証明することを意味します。
‍
Aikido Securityはこれを簡素化します。コードからクラウド、ランタイムまで、Aikidoは自動スキャン、コード品質、SBOM生成、ペネトレーションテスト、ランタイム保護を1つのプラットフォームで提供します。複数のツールを使い分ける必要はありません。余分なノイズもありません。コンプライアンスへのより迅速なパスと、より安全な製品を実現します。

AikidoがCRA要件を満たすのにどのように役立つか、ご覧になりませんか？

デモを予約して、チームの速度を落とすことなくセキュアなソフトウェアの構築を開始しましょう。

‍