OBL-ART13-01Binding
製品のライフサイクル全体にわたるセキュリティの確保(セキュア・バイ・デザイン)
- 対象者
- Manufacturer
- 出典引用
- Art. 13(1)Art. 13(2)Annex I Part I §1
Last reviewed
わかりやすい説明
製品は、最初から安全性を念頭に置いて構築されなければならない。これは、出荷前にセキュリティリスクを特定し、 後付けではなく設計段階においてセキュリティ上の意思決定を行い、製品のサポート期間全体を通じてセキュリティに対応し続けることを意味する。 「セキュア・バイ・デザイン」として捉えること——単なる善意ではなく、文書化されたプロセスが必要である。
法律条文
規則(EU)2024/2847第13条第1項は、デジタル要素を含む製品の製造業者は、附属書I第I部に定める基本的なサイバーセキュリティ要件に従って製品を設計・開発・製造することを義務付けている。
第13条第2項は、製造業者がデジタル要素を含む製品に関連するサイバーセキュリティリスクのアセスメントを実施し、利用者の安全保障に対するリスクを考慮することをさらに義務付けている。
主な要件
- 設計段階でのリスクアセスメント——セキュリティリスクを特定し文書化する
- セキュアな開発プロセス——附属書I第I部の要件をライフサイクル全体に適用する
- デフォルトセキュア構成——デフォルトで安全でない状態がないこと
- 攻撃対象領域の最小化——不要な機能やポートを無効にする
- ライフサイクルセキュリティ——設計・開発・製造においてセキュリティに対応する
必要となり得る証拠
- 製品サイバーセキュリティリスクアセスメント(文書化済み)
- セキュア開発ライフサイクルポリシー
- セキュリティ上の意思決定を示すアーキテクチャ・設計文書
- 附属書I適合性を実証するテスト記録