欧州における製品のサイバーセキュリティを規制する最も包括的な法律である欧州委員会のサイバーレジリエンス法が間もなく発効します。最近、法の範囲を指定する多くの変更が加えられました。専門家の間では正式採用は安全とみなされている。
「私たちのセキュリティ分析の観点からすると、サイバーレジリエンス法の仕様、特にエンドユーザー向けのセキュリティレベルがさらに拡張されることは非常に歓迎です。デバイス クラスが再定義されました。第 6 条では、重要なハードウェアおよびソフトウェア製品に対して XNUMX つの追加のサイバーセキュリティ リスク クラスが導入されました。これらのコア機能は規則の付属書 III にリストされています。デバイス クラスには、特に重要なシステムとデバイスが含まれます。すべてのスマート ホーム デバイスとインタラクティブなおもちゃが明示的に含まれるようになりました。
自動分析
私たちのテストでは、このようなデバイスには重大なセキュリティ ギャップがあることが多く、重要な部分の自動分析によって簡単に特定できるため、より迅速に修正できることがわかりました。産業用製品とルーターの分野は、現在のバージョンでは以前の草案には含まれていなかったが、より研ぎ澄まされる必要があるかもしれない」と Onekey の CEO、Jan Wendenburg 氏は述べています。デュッセルドルフに本拠を置く同社は、ネットワークにアクセスできるすべてのデバイスに含まれるソフトウェアを分析する製品サイバーセキュリティおよびコンプライアンス分析プラットフォームを運営しており、ソフトウェア部品リスト (SBOM) としての正確なリストに加えて、リスク評価を伴う詳細なセキュリティ分析も可能にします。考えられる脆弱性のリスト。 Onekey は、組み込みソフトウェア、特にモノのインターネット デバイスの重大なセキュリティ脆弱性とコンプライアンス違反を自動的にチェックして特定し、製品ライフサイクル全体を通じてそれらを監視および管理します。メーカーは、新しい Onekey Compliance Wizard、つまり仮想アシスタントを使用して、将来的に必要となるコンプライアンス自己宣言をより簡単に作成し、必要に応じてエクスポートを通じて外部認証者に渡すことができるようになりました。
サイバーレジリエンス法の期限
多くの製造業者にとって、EU によって認められた 36 か月の移行期間はすでに厳しいものとなっており、新製品やソフトウェアの開発には通常何年もかかります。そのため、すべての製造業者はただちに導入を開始する必要があります。 ONEKEY の自動分析プラットフォームは、脆弱性やコンプライアンス違反を数分で検出し、コネクテッド デバイス メーカーの開発時間とコストを大幅に節約します。サイバーレジリエンス法の最新草案では、発見されたセキュリティ脆弱性の報告期限が短縮され、「新たなセキュリティ脆弱性は24時間以内に国家監督当局と欧州ネットワーク情報セキュリティ当局ENISAに報告しなければならない」とされている。インターネットまたはネットワークにアクセスできるデバイスを製造または販売する企業にとって、サイバー レジリエンス法が最終的に施行されるずっと前に、起こり得る深刻なゼロデイ ギャップを排除するために、タイムリーなリスク管理と自社製品の徹底的な分析がさらに重要になります。」特定して閉鎖します」と ONEKEY の Jan Wendenburg 氏は続けます。重要なコンポーネントはソフトウェア部品表である SBOM (ソフトウェア部品表) です。EU およびドイツ連邦情報セキュリティ局 (BSI) などの当局によれば、これは将来のセキュリティ アーキテクチャで中心的な役割を果たすことになります。 。
マウスをクリックするだけで SBOM を実行
オープンソース ソフトウェアに対する責任の問題も新たに規制されています。サイバー レジリエンス法の以前の草案では、ソフトウェアの作成者に遵守義務が課されていました。ただし、現在のバージョンでは、オープンソース プロジェクトへの貢献者としてのオープンソース組織および自然人の責任が明示的に免除されています。 「これは、EU 規制への準拠に対する責任は、オープンソース コードを商業的に使用する企業、またはそれを製品の一部として販売する企業のみにあることを意味します。
BSI は、この目的のために独自の SBOM ガイドラインを策定しました。 Onekey は、ソフトウェア サプライ チェーン全体で使用されるコンポーネントの透過的な分析と表現の要件をすでに満たしています。これを行うために、Onekey Product Cybersecurity & Compliance プラットフォームは、デバイスに含まれるソフトウェアとファームウェアを完全に分析し、含まれるすべてのコンポーネントをリストすることに加えて、脆弱性のリスク分析も実行します。 「当社のテクノロジーにより、EU が定義するすべてのデバイス クラスのデバイス ソフトウェアの詳細な分析が可能になります」と CEO の Wendenburg 氏は説明します。組み込みのコンプライアンス チェックを使用すると、IEC 62443-4-2、ETSI 303 645、EU サイバー レジリエンス法などの現在および将来の法的技術コンプライアンス要件を自動的にチェックできます。将来的には、仮想アシスタントを使用した新しい特許出願中のコンプライアンス ウィザードを使用して、必須のコンプライアンス自己宣言をより迅速かつ簡単に作成できるようになります。また、外部認証の場合は、ワンクリックですべてのデータを認証者にエクスポートできます。
詳細については、OneKey.com をご覧ください
ワンキーについて ONEKEY (以前の IoT Inspector) は、業界 (IIoT)、生産 (OT)、およびモノのインターネット (IoT) におけるデバイスのセキュリティとコンプライアンスの自動分析のためのヨーロッパをリードするプラットフォームです。 ONEKEY は、自動的に作成されたデバイスの「デジタル ツイン」と「ソフトウェア部品表 (SBOM)」を使用して、ソース コード、デバイス、またはネットワーク アクセスなしで、重大なセキュリティ ギャップとコンプライアンス違反についてファームウェアを独自に分析します。
トピックに関連する記事