サイバーレジリエンス法への対応

企業は、サイバー攻撃の増加に対抗すべく、今ある脅威に対応するだけでなく、将来のリスクを最小限に抑えるための対策を講じることが求められています。さらに、サイバーレジリエンス法（CRA）の登場により、デジタル製品のセキュリティに関する新たな課題や要件も発生しています。

CRAは、第10条の第12項にて、不測のセキュリティリスクが判明した場合における是正措置の必要性を概説し、附属書Ⅰの第1節、第3項にて、具体的なセキュリティ要件を規定しています。デジタルサプライチェーンにおけるセキュリティを専門とするWibu-Systemsは、CRAで定められたこれらの重要な要求に対して、既存のCodeMeterソリューションで応えます。

CRAは、個人情報、コマンド、プログラム、コンフィギュレーションを問わず、保存や転送、またはその他の方法で処理されたすべてのデータの整合性を確保できる、徹底した保護措置を求めています。これは、不正操作によるセキュリティリスクの高さを示唆しています。具体的な例としては、インテリジェントデバイスに存在するコンフィギュレーションデータが操作され、製品やプロセスの誤りにつながる可能性があります。

Wibu-Systemsが提供するCodeMeter Protection Suiteは、暗号化や難読化技術だけでなく、総合的な整合性チェックやアンチデバッグ機能も提供します。これらは、ソフトウェアとデータの整合性をトータルで保護する上で非常に重要な要素となります。例えば、製造業では、スイートモジュールの一つであるAxProtectorを使用することで、不正な妨害から制御ソフトウェアを保護し、生産ラインの安全と製品の品質を確保しています。さらに、セキュリティは、このような施設の安全確保に欠かせません。

不正に操作された場合、その攻撃を確実に検知し、防止することが重要です。AxProtectorは、必要に応じて、ソフトウェアの稼働を停止させることができます。このような対策を講じることで、異常を即座に検出・対処し、不正操作のリスクを最小限に抑え、コンプライアンスを遵守することが可能です。

CRAの規定に従い、デジタル要素を含む製品は、不正アクセスに対する適切な保護メカニズムを実装する必要があります。これには、デジタル製品のセキュリティと整合性の確保を目的とした、高度な認証手続きや網羅的なID・アクセス管理システムなどが含まれます。

Wibu-Systemsが提供するCodeMeter APIは、対称・非対称暗号化やデジタル署名手続きなどの暗号化技術を備え、製品へのシームレスな統合を可能にします。また、CodeMeterライセンスコンテナ（CmDongle）のハードウェアコンポーネントへセキュアに保存されたキーは、機密情報として、改ざんから守られています。関連する証明書も同様に、改ざんから保護され、スプーフィング攻撃を防ぎます。さらに、CodeMeter Certificate Vaultは、Wibu-Systemsのドングルに組込まれたCC（Common Criteria）EAL 5+認証の暗号化コントローラーに保存された証明書を使用した、高度な標準規格の認証ソリューションです。これにより、不正アクセスからデジタル資産を保護し、コンプライアンス要件を満たすことができます。

インポートされた顧客データベースやプリセットされたユーザーアカウントなど、ソフトウェアの納品時に、このような個人情報が処理される場合、将来にわたり、このデータを厳重に保護する必要があります。このような場合、最先端のアルゴリズムによる暗号化が有効です。

Wibu-Systemsが提供するAxProtectorは、CodeMeter APIとともに、効果的にデータを暗号化および署名するのに適した暗号化ソリューションです。秘密鍵はWibu-Systemsのセキュアなハードウェアドングルにのみ保管されるため、最大限のセキュリティが確保されます。

CRAは、デジタル要素を含む製品が、必須要件を満たさない場合、メーカーは直ちに是正措置を講じるよう求めています。Wibu-Systemsのライセンシングシステムであれば、ソフトウェアのサブスクリプションモデルを柔軟に管理することができます。例えば、要件に非適合の場合や、製品のライフサイクルが終了した場合に、サブスクリプションライセンスを更新しないことで、影響を受けるソフトウェアの使用を制限することができます。これにより、複雑なリコールプロセスを経ずに、定められた期間内で、該当のソフトウェアやデバイスを使用停止にすることができます。

また、予期せぬ問題が発生した際に、影響を受けるであろうユーザーと連絡を取り、製品の効果的な市場撤退を行うためには、いつどのソフトウェアバージョンが、どのユーザーに配布されたか把握しておかなければなりません。CodeMeter License Centralであれば、履歴データを含む配布状況を常時管理することができます。

Wibu-Systemsは開発において常に、高レベルでのデータの最小化を念頭に置いています。したがって、ライセンシングソリューションは、冗長なデータを生成することなく、既存のシステムへシームレスに統合できるように設計されています。これにより、Wibu-Systemsが提供する製品は、CRAが要求する「データの最小化」の実現をサポートします。

CRAの要件を一部満たさない可能性のある複雑なライセンシングシステムを使用しているユーザーにとって、Wibu-Systemsが提供するCodeMeter License Centralは効果的です。データの一元管理により、データ管理の簡素化、必要なデータのみの処理を実現することができます。これにより、ライセンスデータの明確化と管理が改善されるだけでなく、データの最小化にという法的要件への対応も可能になります。既存のバックオフィスシステムへのシームレスな統合も問題なく行うことができます。