サイバーレジリエンス法にはどう対応する？　企業価値向上へつなげるPSIRTとは

　OSS（オープンソースソフトウェア）の脆弱性を悪用したサイバーインシデントの拡大を受けて、欧州連合（EU）は2024年12月、サイバーレジリエンス法（CRA）を発効した。これにより、EU市場に提供されるデジタル製品（サービスを含む）には、CRAに準じたサイバーセキュリティ要件が課されることとなった。製造業者だけでなく、製品のライフサイクル全体を通して、関係者はセキュリティ確保の義務を負う。

　違反すると、巨額の罰金（1500万ユーロあるいは全世界売上高の2.5％のうち金額の高い方）が課される可能性があるため、慎重な対応が必要だ。CRAへの対応は、EU市場で事業を展開していくためには避けては通れない。これを「コスト」と捉えるのではなく、「経営課題を解決する事業戦略の1つ、利益を創出する活動」と考えて対応することが大切だ。

　CRAへ真摯に対応することで、持続的な経営を実現でき、企業価値を向上させることにもつながる。そこで本資料では、効果的にCRA対応を進めるためのアプローチとして、PSIRT（製品セキュリティインシデント対応チーム）を中心とした取り組みについて解説する。ぜひ参考にしてほしい。