本稿は「Why Cyber Resilience Requires a Cultural Shift」の抄訳です。
欧州連合(EU)の サイバー・レジリエンス法(CRA)の施行が迫っています。この新しい規則は、EU市場で販売されるデジタル要素を含む製品(PDE:Products with Digital Elements)に対し、そのライフサイクル全体にわたる広範なサイバーセキュリティ要件を定めています。
これにより、組織は従来の「サイバーセキュリティ」から、より根本的な「サイバー・レジリエンス」への転換を迫られることになります。
CRA準拠のその先を見据えて
「セキュリティ・バイ・デザイン(Security by Design)は、サイバー・レジリエンスの基盤です。これは製品開発の最後に付け加えるものではなく、最初から製品に組み込むべきものなのです」と語るのは、IMDビジネススクールのデジタル戦略およびサイバーセキュリティ担当教授であるエイキュ・イシク氏(Öykü Işık)です。
「製品が市場に出るはるか前、設計や製造の段階から、サイバーセキュリティを意識して取り組む必要があります」
イシク(Işık)氏は、Qt World Summit 2025にて、サイバー・レジリエンスへの転換について講演しました。
この講演の様子は、YouTubeで録画映像をご覧いただけます。
サイバー・レジリエンス標準を定めるEUの役割
CRA(サイバー・レジリエンス法)の詳細はまだ一部調整中ではあるものの、イシク氏は「EUがサイバーセキュリティに対して統一的なアプローチを打ち出した点は非常に評価できる」と述べています。
過去2年間で、サイバー攻撃の件数・頻度・影響範囲はいずれも増加しています。EU内外には、すでに類似または部分的に重複する法的枠組みが存在しますが、イシク氏は「これまでは主に、インシデント発生後の報告(リアクティブ)に重点が置かれてきた」と指摘します。一方CRAは、予防(プリベンション)を重視しています。
「CRAは一段階上の取り組みです。GDPRのときと同じように、EUが世界に向けてスタンダードを提示しているのです。サイバー・レジリエンスは“対応する”だけではなく、“設計段階から違反を防ぐために、できる限りのことを行った”という証明が求められるのです」
さらにイシク氏は、最初の数件の執行事例が極めて重要になると強調します。
「実際の適用までにはまだ数年ありますが、初期の事例は“どのような状況で問題になるのか”を明確にし、企業にとって“何を優先すべきか”の指針になります。そこから“雪だるま式の効果”が始まるでしょう」
また、初期の罰則は、実効性のある行動を促すために必要であるとも述べています。
「注目度の高い違反に対して罰金が科され始めれば、ガイダンスがより具体的かつ実行可能なものへと変わっていくのです」
なぜサイバー・レジリエンスには組織文化がカギとなるのか
イシク氏は、サイバー・レジリエンスの確立には価値観に基づくアプローチが必要であると指摘します。
「CRAに関して当局や政策立案者と意見交換をする中で、繰り返される主張は『すでに手遅れだ』というものです。それでも、製品のサイバーセキュリティに責任を持つことは、どのような状況であっても正しい方向なのです。」
「これは技術の問題でも、単なるプロセス改善の話でもありません。組織全体の文化を変えることが求められているのです」と、イシク氏は強調します。
「だからこそ、サイバーセキュリティを部門横断的な責任としてどう捉えるかを、できるだけ早い段階から考え始めることが重要です。」
しかしながら、多くの組織では、必要とされる文化的変革とサイバー・レジリエンスとの関係が明確に意識されていないのが実情です。すでにセキュリティの専門家がいる組織であっても、彼らの業務は製品開発プロセスの一部分、あるいはごく終盤に限定されていることが少なくありません。
ところが今や、彼らの役割が製品メーカーにとって中心的な存在へと変化しつつあり、組織のあり方そのものを見直す必要に迫られています。
「簡単なことではありません」とイシク氏は認めた上で、「だからこそ、今からでもできるのは、限られたリソースの中でどのように変革を進めていくかを議論し始めることなのです」と述べています。
つまり、サイバー・レジリエンスを高めるということは、単に技術要件を満たすだけでは不十分であり、チームや部門を越えた連携体制の構築が欠かせないということです。
「製品開発者、コンプライアンス担当、プロダクトマネージャー、セキュリティエンジニアが、製品開発の初期段階から連携し、最も効率的なセキュリティ体制を見つけていく必要があります」と、イシク氏はまとめています。
長期的な成功のために、サイバー・レジリエンスをどう築くか
規制対応の負担に対する懸念が製造業側から上がっている一方で、イシク氏はCRAの狙いは明確だと述べます。
「デジタル要素を含む製品で利益を得るのであれば、その製品のセキュリティにも責任を持たなければならない」ということです。
デジタル環境が進化する中で、サイバー攻撃の手法はますます巧妙化しています。こうした状況が、CRA準拠によるセキュリティ強化と、それによって得られる競争優位の重要性をさらに高めていると、イシク氏は指摘します。
「サイバー攻撃の件数・頻度・影響の増大を考えれば、サイバーセキュリティとサイバー・レジリエンスの強化は、消費者が製品を選ぶ際の決定要因になるでしょう。」
またCRAの導入により、製品の企画・製造・保守といったライフサイクル全体にわたる透明性が向上すると、イシク氏は続けます。
「これにより、問題発生時のトラブルシューティングが加速され、CRAで求められる公式文書や監査証跡を適切に残すことで、状況に応じた最善の対応をしてきたことを証明することも可能になります。サイバーセキュリティに“100%の安全”は存在しませんが、対策と記録が信頼を築くのです。」
さらに、取り組みは製品リリースで終わりではないとイシク氏は警告します。
「製品の構想段階から、市場投入後のサポートに至るまで、あらゆるフェーズで高いセキュリティ基準を維持し続けることが求められます。」
そして、製造業が今すぐ取り組みを始められるよう、イシク氏は次の3つの重要なアドバイスを提示しています:
1. 組織文化を変革する
サイバーセキュリティを、部門横断で共有すべき責任として根付かせることから始めましょう。
コンプライアンス部門、セキュリティ専門家、プロダクトマネージャー、開発者など、関係するすべての人を巻き込むことが鍵です。
これは本質的に文化的な変革であり、早い段階でこの意識転換を実現できれば、それだけ強固なサイバー・レジリエンスの基盤が築けます。
2. 今すぐ人材に投資する
中堅〜シニアレベルの人材が不足している現在、サイバー・レジリエンスに本気で取り組むのであれば、ジュニア人材の採用と育成を今すぐ始めるべきです。
社内に有能なチームを構築することは、長期的なデジタルセキュリティを支えるうえで不可欠です。
3. 今すぐ実践する
正式な要件が適用される前であっても、自己評価(セルフアセスメント)を始めましょう。社内で行うのも、外部パートナーと連携して行うのも良い方法です。
目的は、チェックリストを埋めることではなく、将来に向けた運用上の成熟度と対応力を高めることにあります。
今こそ行動のとき
CRAへの対応をいち早く進める製造業者は、信頼性の高い製品を持つパートナーとしての立ち位置を確立し、先行者利益を得られるとイシク氏は述べています。
「製造業者は、デジタルコンポーネントのセキュリティ面に対して、より多くの投資と時間を割く必要があります。CRAのもとでは、製品にサードパーティ製の部品が組み込まれていたとしても、最終的な責任は製品の所有者にあるのです。」
「市場への投入を優先するか、それともリスクを初期段階から抑える慎重な組織であることを選ぶか、どちらかです」とイシク氏は続けます。
この原則は、CRAだけでなく、あらゆる法規制への対応にも当てはまります。たとえば、AIコンポーネントを含む製品であれば、複数の規制が同時に関わってきます。そうした場合には、開発を急ぐのではなく、最初から「セキュリティ・バイ・デザイン」の発想で、必要な関係者を設計段階から関与させる方が賢明かもしれません。
「組織が作る製品は、その組織の価値観と一致していなければならない。そのマインドセットの転換こそが、コンプライアンスを戦略的な差別化要因に変えるのです。」
また、すべてのリスクに均等に対処することは現実的ではないため、どのリスクを優先して対処すべきか、選択と集中も求められます。
「CRAが目指しているのは、攻撃を受けた場合に最も深刻な被害をもたらすリスクを特定し、そこにリソースを集中させることです。
ですから、組織が思いつきでリスクに対応し始めるのではなく、まず優先順位付けのプロセスを実施することが重要なのです。」
CRA準拠のための明確で詳細なガイドラインは現在も整備が進行中ですが、イシク氏の今のメッセージは明快です:
「CRAは出発点を示しているにすぎません。準備を始めましょう。」
「とにかく始めることです」とイシク氏は呼びかけます。
「まずは、自社の現在地を自己評価してみましょう。社内で行ってもいいですし、第三者と一緒に進めても構いません。
いずれにしても、アセスメントから得られる経験は決して無駄にはなりません。」
See also
