2025年10月、欧州で「サイバーレジリエンス法(CRA)」が施行された。この法規は、EU域内で販売されるデジタル製品について、製造業や輸出業者に設計段階からのサイバーセキュリティ確保を義務づけるものだ。段階的に義務化が進む中、日本の製造業の対応は決して順調とは言えない。
自動車、医療機器、カメラなど、かつての組込み機器はデジタル化・ネットワーク接続が当たり前となり、製品そのものがサイバー攻撃の標的となっている。CRAは、こうした「製品セキュリティ」の脅威に製造業が対応することを義務づける法規制だ。サイバー空間の脅威が現実世界の安全に直結する時代に、企業はどう対応すべきか。
インターネットの技術と運用に関わるエンジニアが一堂に会するイベント「Internet Week(IW)」。1990年代から続く歴史あるインターネット技術カンファレンスで、ネットワーク運用、セキュリティ、ガバナンス、教育など多岐にわたる分野の専門家が登壇する。2025年も11月18日~27日に開催予定だ。
IW2025の注目セッションのひとつ「世界で脅威が認識されつつある『製品のセキュリティ』とは?」では、この「製品セキュリティ」をテーマに、IoT・組込み・製造業の現場を知る専門家たちの熱い議論が行われる。今回は、企画・モデレーターを務める武田一城氏に背景や見どころを聞いた。
● ITの外に広がるサイバーの現実
―― このプログラムを企画した背景や狙いを教えてください。
インターネット普及から四半世紀が経ち、様々な機器がデジタル化されインターネットと繋がるようになりました。自動車の「コネクテッド化」や「自動運転」の進展が象徴するように、インターネット接続が前提の製品が日常にあふれ、それ自体が攻撃対象となる脅威が高まっています。
従来のサイバー攻撃は仮想空間への攻撃でしたが、現在はカメラやセンサーなど現実世界と接続された機器が増え、サイバー攻撃が物理的な安全に直結するようになりました。これが製品セキュリティの脅威です。この認識を共有することが、今回のセッションの出発点です。
● ハードとソフトの壁を越える専門家たち
―― 講演者の選定では、どのような点を重視しましたか。
講演者は以下の3名です。
・松岡 正人 氏(日本ネットワークセキュリティ協会 IoT Security WGリーダ)
・伊藤 公祐 氏(重要生活機器連携セキュリティ協議会フェロー、元JPNIC理事)
・武田 一城(日本シーサート協議会運営委員)
製品セキュリティの本質はハードウェアとソフトウェアの融合であり、双方の知見が必要です。しかし、従来の「組込み系」エンジニアと「ソフトウェア」エンジニアの間には深い溝があり、両方の知見を持つ人材は極めて少数です。
そこで、メーカー出身でソフトウェアにも精通している伊藤氏と、大手OSメーカーで組込み系システムの確固たる実績を持つ松岡氏をアサインしました。お二人とも松岡氏がリーダを務めるJNSAのIoTセキュリティWGで10年以上前からの付き合いがあるメンバーです。正直、この方たち以外に適任者はいません。互いに知見を補完し合える布陣で、「製品セキュリティ」という新旧の境界を超えたテーマに挑みたいと考えています。
● 製造業が直面する「欧州CRA」という現実
―― このプログラムの中で、特に注目してほしいポイント・見どころは?
現在、製造業における喫緊の課題は、2025年10月に施行された「サイバーレジリエンス法(CRA)」です。この法規は、製造業や輸出業者に製品のサイバーセキュリティ確保を義務づけています。段階的に義務化が進みますが、製造業の対応は順調とは言えません。その背景にはGDPRの経験があると思っています。
GDPRもCRAと同様にセキュリティに関する法規ですが、欧州でGDPRが制定された際、日本は十分性認定を受けたため、製造業や輸出業者は大きな影響を受けませんでした。今回のCRAは消費者保護が主目的なので同様の認定を受ける可能性はほぼありませんが、過去の経験から重い腰を上げない企業経営者が少なからずいるのだと思います。
特に、CRAは製品の設計段階からセキュリティを組み込むことを求めており、この対応は「ものづくり国家・日本」が直面する新たな課題です。もちろんCRAが製品セキュリティのゴールではありませんが、直近の最初のハードルとして、これを超えなければなりません。
● IW2025テーマとの接点「製品作りはとんでもないスケールのフルスタック分野」
―― Internet Week 2025のテーマ「挑戦×経験×世代 ~ フルスタックで不確実の先へ」とはどうつながりますか?
かつて組込みソフトウェアは限定的な技術分野でしたが、技術進歩とともに拡大を続け、現在のデジタル機器へと進化しました。
デジタル機器の製品開発は今や、ハードウェア、ソフトウェア、ネットワーク、クラウドまでを包含する「とんでもないスケールのフルスタック分野」です。ここでいう「フルスタック」とは、単にIT技術の幅広さではなく、物理的な現実世界とサイバー空間という異なる領域を横断する知識体系全体を意味します。
―― このセッションは主に製造業に携わる方に向けたものですね。
まずはCRA対応を迫られている企業に、対応方法と対応できなかった場合のリスクを知ってほしいです。ただ、それだけではありません。製品セキュリティは製造業だけの問題ではなく、一般の人々の安全にも関わる分野です。
聴講者の中心は製造業の設計・開発部門を想定していますが、製品開発に関わらない方にも関係があります。あらゆるデジタル機器がネットに繋がる現在、誰もが気づかぬうちに攻撃対象となり、意外な形で被害を受ける可能性があるからです。
こうした状況に気づいていない方も少なくないため、「自分は製造業ではない」という方にもぜひ関心を持ってほしいですね。
● CRA対応だけでなく、社会全体の課題として
―― 最後に、参加を検討している方へメッセージをお願いします。
業界内だけでなく一般社会全体への理解が進み、活発な議論になることを期待します。製品がネットに繋がる以上、サイバー攻撃が発生した場合の被害は個人にも広がるからです。
「製品セキュリティ」という言葉を知らない方も、デジタル機器を使う以上、攻撃のターゲットになり得ます。普段耳にするサイバーセキュリティの話とは少し毛色が異なりますが、ぜひ耳を傾けていただければと思います。
