リスク管理
CRAの基本要件のひとつが、製品のサイバーセキュリティに関するリスクアセスメント(リスク評価)です。このリスク評価は、各製品および各リリースごとに実施・文書化され、常に最新の状態に保たれている必要があります。
EU CRA 条文参照
第2章 第13条 製造業者の義務 (3)
サイバーセキュリティのリスク評価は、製品のサポート期間中において文書化・更新されなければならず、
製品の想定される使用目的に基づいてリスクを分析し、どのようにセキュリティ対策を実施しているかを示す必要があります。
OWASP SAMM 参照
ガバナンス
OWASP SAMMにおけるStrategy & Metricsプラクティスでは、セキュリティ活動に関するプロセスや手法の策定、および一貫性があり測定可能なセキュリティ実践の基盤構築などの活動が含まれます。
SAMMについて詳しく
OWASP SAMM 参照
デザイン
脅威評価(Threat Assessment)プラクティスでは、設計段階での潜在的なセキュリティリスクの特定や、アプリケーションのリスクを評価するための正式なプロセスの定義といった活動が含まれます。
SAMMについて詳しく
Qt Group ハイライト
Qtにおけるリスクアセスメント
Qtでは、リスクアセスメントを通じて、CRAの要件がどの機能・製品に対して適用されるかを特定・正当化しています。
リスクの低減
Qtのリスクアセスメントは、Qt製品に関するセキュリティインシデントのリスクを軽減するための各種プロセスや運用と連携して実施されています。これにより、Qt製品の品質に起因するリスクを最小限に抑えることが可能になります。
Qt Group 今後の対応
2026年中の各Qtリリースにおいて、関連するリスクアセスメント文書を公開
リスク管理に関連する情報
本ページおよび本ウェブサイトに記載されている情報は、法的助言を構成するものではありません。掲載内容は、あくまで情報提供およびテーマに関する議論を目的としたものであり、予告なく変更される可能性があります。Qt Groupは、本ページの内容の正確性や最新性を保証するものではなく、また本ページからリンクされている外部サイトや、外部サイトから本ページへリンクされているコンテンツや運営について一切の責任を負いません。本ページの情報は、法律上の助言の代替として使用すべきものではなく、そのように解釈されるべきではありません。