脆弱性
脅威主体によって悪用され、当該製品または接続されたシステムのセキュリティを 侵害する可能性があるデジタル要素を含む製品の弱点。CRAは製造業者に対し、 サポート期間全体を通じて脆弱性の特定、修正、開示に関する広範な義務を 課している。
出典引用
法的根拠
規則(EU)2024/2847第3条(36)は脆弱性を次のように定義している:
「サイバー脅威によって悪用される可能性のある、デジタル要素を含む製品 またはその製品の開発・保守に使用されるプロセスの弱点、脆弱点または欠陥。」
CRAに基づく脆弱性の義務
サポート期間中(第13条および附属書I第II部)
- セキュリティテストを通じて脆弱性を積極的に特定する
- 深刻度を評価する(CVSSまたは同等のもの)
- 脆弱性を修正しセキュリティアップデートを配布する
- 積極的に悪用されている脆弱性をENISAに報告する
- CVDポリシーに従って脆弱性を開示する
脆弱性の種類
| 種類 | 説明 |
|---|---|
| 自社の脆弱性 | 製造業者自身のコードにある脆弱性 |
| 依存関係の脆弱性 | 外部ライブラリやコンポーネントにある脆弱性 |
| 積極的に悪用されている脆弱性 | 攻撃者に積極的に悪用されている脆弱性(追加報告が必要) |
脆弱性とインシデントの比較
脆弱性は潜在的な弱点であり、インシデントは脆弱性の悪用を伴う 可能性がある実際の侵害または混乱である。