OPC Foundationは、セキュリティに関する一連のウェビナーを開催している。背景には、すでに欧州の法律として採択されている欧州サイバーレジリエンス法(EU CRA)がある。スライドや録画などの資料はすべて公開されている。PDFのダウンロードはこちらhttps://opcfoundation.org/developer-tools/marketing-communication-presentations/opc-and-OPC UA-presentations/.録音へのリンクはPDFの表紙にあります。プレゼンテーションの概要
- 「SBOMと脆弱性管理 – CVE」 BSI、イェンス・コルト氏
- 「CRAとEN UEC 62443」(シーメンス、カイ・ウォレンウェバー博士
- 「サイバーレジリエンス法(CRA) – 実践経験から基礎と課題を考える」 トルステン・フェルダー(ベッコフオートメーション
- 「サイバー・レジリエンス法(CRA)-いくつかの基本的な法的側面の解決」 Dr. Gerrit Hötzel, Voelker Gruppe
プレゼンテーションの詳細は以下の通り:
“SBOM & Vulnerability Management – CVE”by Jens Cordt, BSI has happened on Dec3rd, 2024.
Jens, Cordt, BSIは、2つのトピックについて報告した:脆弱性管理 – CVE
脆弱性管理は CRA の主要な柱の一つである。CRAは、個々の製品に関するSBOMの情報に基づいて、企業がこの情報を使用して、個々のコンポーネントおよび結果としての製品にCVEを提供することを期待している。本セッションでは、デジタル製品にもたらされる正確な要件と、一般的な対応方法について説明する。効果的な脆弱性管理のために – CRAにおけるSBOM
米国では、EO 14028により、米国政府向けソフトウェアのベンダーは、ソフトウェアを作成する際に使用したすべてのコンポーネントをソフトウェア部品表(SBOM)に記載することが義務付けられている。これは、ソフトウェアアプリケーションのコンポーネントと依存関係に関する明確な情報を提供することで、ソフトウェアの透明性とセキュリティを高めることを目的としている。CRAによって、SBOMを維持する法的義務はEUにももたらされ、ソフトウェアだけでなく、デジタル要素を持つすべての製品に適用される。CRAは何を、なぜ、何のために要求するのか?
シーメンスのKai Wollenweber博士による“CRA and EN UEC 62443 “が2024年10月29日に開催された。
本プレゼンテーションでは、CRAに関連する標準化活動の概要と現状について説明する。EN IEC 62443サイバーセキュリティフレームワークの関連規格との相互作用と、適合性を推定するために整合化され、リスト化された規格の取得に向けた課題に焦点を当てている。
サイバーレジリエンス法(CRA) – 実践経験から考える基礎と課題」トルステン・フェルダー氏(ベッコフオートメーション)
オートメーションプロバイダの視点から、近々施行されるEU法「サイバーレジリエンス法」の基礎について解説する。いくつかの課題が取り上げられ、サイバーセキュリティの真の精神に則った実践的なソリューションの適用が呼びかけられるが、形式主義が強調されすぎることは逆効果となる可能性がある。
2024年9月24日に開催されたウェビナー「サイバー・レジリエンス法(CRA)-いくつかの基本的な法的側面の解決」において 、Voelker GroupのGerrit Hötzel博士は、2つのトピックについて講演し、長い質疑応答セッションに応じました:
サイバー・レジリエンス法におけるオープンソースソフトウェアの商業利用
商業活動の過程でオープンソースソフトウェアを使用する企業は、オープンソースソフトウェアがCRAに適合していることを証明しなければなりません。オープンソースソフトウェアがサードパーティのソフトウェアであることを考えると、これは簡単な作業ではない。また、これは現在のオープンソースソフトウェアの単純な使用方法からの大きな転換を意味し、法的リスクを最小限に抑えながらオープンソースソフトウェアを使用する方法を根本的に変えることになる。本講演では、オープンソースソフトウェアのセキュリティ認証や、いわゆるオープンソースソフトウェアのスチュワードなど、CRAの下でのオープンソースソフトウェアに関する詳細やその他の側面について説明する。10 CRAの契約設計とサプライチェーン管理に関する事例
サイバーレジリエンス法(CRA)の重要な要素の1つは、サプライチェーンを重視していることである。営利企業に課される多くの義務は、特に製品に含まれるソフトウェアに関して、サプライヤーが適合性評価に参加することが契約上義務付けられている場合にのみ果たすことができる。しかし、サプライヤーとの契約上の取り決めだけが重要な要素ではなく、顧客との取り決めも同様に重要である。CRAは、顧客へのセキュリティ・アップデートや情報提供の要件に加え、サポート期間を最長5年とするという大きな変更を導入している。これは、この新しい要件に対応するために、約款や販売契約におけるすべての保証・責任条項を改訂する必要があることを意味するのだろうか。
