メール
電話
メニュー
サイバーレジリエンス法(CRA)への対応準備はできていますか?
現在、世界的にネットワークに接続するIoT製品が急増していく中、IoT製品の脆弱性を狙ったサイバー脅威が高まっていることを背景に、ソフトウェアに対しての脆弱性を狙った脅威に対抗するセキュリティ機能の需要、各国における法規制が進んでおります。
EUでは「サイバーレジリエンス法(CRA)」が策定され、デジタル要素を含む製品における必須のサイバーセキュリティ要件(SBOM管理など)を満たさないものは、今後製品の流通/貿易に支障が出てくることになります。そのため、EU向けにデジタル要素を含む製品やサービスを販売するためには、全面適用義務が開始するまでに、CRA準拠の技術的な対応およびセキュリティマネジメント体制(PSIRT)の構築など、セキュアな開発環境の構築が急務となります。
CRA対応について詳しく知りたい
2027年までの対応が必須になったサイバーレジリエンス法について、SBOMや脆弱性管理など、日本企業が知るべきこと、やるべきことをわかりやすく解説
サイバーレジリエンス法(CRA) とは?
2024年10月
サイバーレジリエンス法(CRA)成立
2026年09月
脆弱性・インシデント報告義務
2027年12月
CRA全面的に適用義務 ※CRA対象製品の準拠状況をCEマークに統合管理
CEマークを取得できない製品は欧州市場で販売ができなくなります
サイバーレジリエンス法は、デジタル要素を含む製品の消費者を保護し、製品のサイバーセキュリティ確保を製造者に義務付ける欧州の規則です。2024年10月に制定され、今後の ・2026年9月 積極的に悪用された脆弱性、インシデント報告義務 ・2027年12月 CRA全面的に適用義務 までに、各企業は以下の対応が必要となります。
①重大なインシデント発生時および脆弱性発見時の当局への報告 ②製品の脆弱性が検知の際の情報公開 ③セキュリティ更新プログラムの配布 ④少なくとも最上位の依存関係を含むSBOMの作成(技術文書の一部として当局からの求めによって提出) ⑤CEマークの取得による適合性の証明
・ソフトウェアに対するセキュリティ脆弱性 ・製品に含まれるコンポーネントの特定と、脆弱性分析をサポートするためのSBOMの作成 ・暗号化におけるリスク ・セキュアで高品質な、かつ仕様に準拠したソフトウェア構築環境の整備 ・製品やサービスのセキュリティ対策、インシデント発生時の対応時のセキュリティマネジメント体制(PSIRT)の構築
Black Duck SCAは、高性能なコンポジション解析(SCA:Software Composition Analysis)で、組織におけるOSS(Open Source Software)の活用状況とリスクのマネジメントを支援するOSS管理および静的解析ツールであり、 OSSの安心・安全な利用とSBOMの有効活用を支援することで、開発者に過大な負担をかけずにセキュアなソフトウェア開発をする環境を整えます。 Black Duck SCAは、その豊富な機能とカバレッジから業界標準のツールとも言える存在で、包括的なソフトウェア・コンポジション解析機能で効率的にSBOM(Software Bill of Materials)を作成し、ライセンスコンプライアンス違反やセキュリティ上の脆弱性などに関するリスクの洗い出しを実施いたします。
SBOMの基本を詳しく知りたい
SBOMとは何か?その定義を詳細に解説します。セキュリティ強化とサプライチェーン保護の鍵となるSBOMについて、導入のメリットや作成用のツール、実践ポイントなどを徹底紹介!
OSSの脆弱性について理解したい
OSSの脆弱性について最新動向や実際の被害事例、管理プロセス、SBOM活用、ツール選定まで、技術者目線で徹底解説します。
Black Duck SCAは、サイバーレジリエンス法対応として、お客様製品やサービスのOSSの管理や脆弱性対策・ライセンス違反のチェック・暗号化リスクなどを強力なコンポジション解析機能と圧倒的な情報量でサポートいたします。
Black Duckソフトウェア・コンポジション解析(SCA: Software Composition Analysis)は、様々なソフトウェア製品に含まれるOSSやサードパーティー製ソフトウェアに内在するセキュリティ、ライセンスのリスク管理を、ソフトウェア開発ライフサイクル(SDLC)全体にわたって支援します。
ソースコードはもちろん、バイナリ含めたソフトウェアをスキャンし、ソースコードやソフトウェア製品内でのオープンソースの利用状況などの依存関係を特定します。
アプリケーション内のOSSやサードパーティソフトウェアの利用状況やそれぞれのOSSにおけるセキュリティ、品質、ライセンスの問題を特定します。
CRA対応で必須となるSBOMが、業界で存在す様々なフォーマットで生成可能です。
Black Duck社は、高機能コンポジション解析ツールであるBlack Duck SCA以外にも、ファジングを行うツールであるDefensicsやSASTに対応したCoverity、IAST対応のSeeker、統合的なセキュリティ・プラットフォームであるPolarisなど、業界でも随一の統合的なAppSec(アプリケーションセキュリティ)を揃えています。 また公的機関よりも詳細といわれる調査能力を活かし、独自のリスク分析をした「オープンソース・セキュリティ&リスク分析(OSSRA)レポート」を公開して、啓蒙活動を行うなど、企業がOSSを安全・適法に利用するために、構成解析・脆弱性検出・ライセンス監査などのソリューションを総合的に提供するコンポジション解析分野における業界標準ともいえる企業です。
ブラック・ダック社の製品は、 世界中の様々な企業にて導入されております。 Black Duck SCA は OSS管理/SBOM作成の先駆者として知られております。
ブラック・ダック社は、ガードナー社のMagic Quadrant™ AST(Application Security Testing)部門調査で7年連続リーダーとして位置づけられています。更に、リーダー企業の中でも5年連続TOPに位置付けられており、市場で高い評価を獲得しております。
また市場調査企業であるForrester Researchのレポートでも、コンポジション解析(SCA) *1、静的アプリケーションテスト(SAST)部門*2で業界リーダーとしての評価を受けています。
ブラック・ダック社は、経済産業省主催の「サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」にソフトウェアベンダーとして唯一参加しております。ブラック・ダック社は、ソフトウェアセキュリティ分野において重要な存在である証です。
*1 Forrester Wave Leader 2023 Software Composition Analysis Software *2 Forrester Wave Leader 2023 Static Application Security Testing
他の追随を許さない高機能なコンポジション解析機能でOSS/SBOM管理を実現します。
著名なオープンソースから利用数の少ないライセンスまで幅広く検出可能
Black Duckが独自にもつCybersecurity Research Center(CyRC)がOSS脆弱性に関する監視を行っており、NVD(脆弱性情報データベース)を凌駕する脆弱性に関わるデータベースを保持しており、リスク検出のみならず具体策まで提示可能
古くなった・活動的でなくなったOSSを移行の判断が可能
輸出関連業務におけるコンプライアンス遵守の負荷を軽減
SDLC(ソフトウェア開発プロジェクトの効率と品質を確保するための体系的なプロセス)への対応
DevOps基盤やCI/CDツールの連携
Black DuckのKnowledgeBase™とは、業界最大規模のOSSライブラリに関する情報データベースで、信頼性の高いOSSセキュリティとライセンス管理を支えるコア要素です。
約87万件以上のOSSプロジェクトを網羅し、2,750以上のライセンス情報と24万件以上の脆弱性(CVE)および独自脆弱性情報(BDSA)を収録。 ライセンス情報には、GPL、LGPL、Apache License、MIT、BSDなどの主要OSSライセンスに加え、それぞれの義務・制限・互換性情報も含まれる。
• ファイルやバイナリのハッシュ値照合、コードスニペットの一致、パッケージマネージャの依存関係解析など、複数の手法(マルチファクター)によるOSS検出に対応。 • ソースコードだけでなく、ビルド済みバイナリからのOSS成分抽出にも対応しており、開発後期の監査でも正確なライセンス管理が可能。
• Black DuckのCybersecurity Research Center(CyRC)が独自に収集・分析したBDSA(Black Duck Security Advisories)を活用し、NVDよりも早く・詳細な脆弱性情報を提供。 • セキュリティだけでなく、ライセンス上の問題(例:GPL適用時の再配布条件)に関するルールセットも整備されており、法務・コンプライアンス対応を強力に支援。
• CI/CDパイプラインとの統合により、開発中に自動でOSSを検出・評価し、SBOM(ソフトウェア部品表)を生成。 • 脆弱性の有無だけでなく、組織で定めたライセンスポリシー(例:GPL禁止、Apache許可など)に基づいた自動評価と違反通知も可能。 • セキュリティとライセンスの両面から、継続的かつ自動化されたリスク管理(コンプライアンス監視)を実現。
業界標準のSBOMフォーマットのエクスポートに対応。SPDX、CycloneDX、SWIDなどの出力に対応。カスタムフィールにも対応しとえり、アプリケーションの透明性を確保し、顧客または業界の要件に合わせることができます。
またインポート機能もあり、既存のSBOM(Software Bill of Materials)をBlack Duckに読み込んで、依存関係を既知のコンポーネントに自動的にマッピングし、カスタムまたは商用ソフトウェアの依存関係用に新しいコンポーネントを作成します。
Black DuckのGUI上でできる操作をREST API経由でも実行可能であり、CI/CDや他ツールと連携することが可能です。たとえば、Jenkins、GitLab CI、Azure DevOps、GitHub Actionsなどに組み込み、ビルドごとのスキャン自動化が可能で、スキャン結果をAPI経由で取得し、パイプライン上でポリシー違反や脆弱性のブロック判断を行うことができます。
Black DuckのREST APIは、OSSのセキュリティとライセンスリスク管理をシステム横断的に自動化・可視化するための強力な手段です。DevSecOps実現、法規制対応、社内ガバナンス強化にも貢献し、SDLCを統合したSCM(ソフトウェアサプライチェーン)全体にわたる自動化にも貢献する、拡張性と柔軟性に優れたAPI基盤です。
DevSecOpsとは、ソフトウェア開発(Dev)と運用(Ops)のプロセスにセキュリティ(Sec)を組み込み、開発の初期段階から継続的にセキュリティ対策を行う考え方です。Black Duck SCAはこのDevSecOpsを実現するための重要なツールの一つで、ソースコードやバイナリに含まれるオープンソースソフトウェア(OSS)や依存ライブラリを自動的に検出・分析します。CI/CDパイプラインと連携することで、OSSに含まれる脆弱性やライセンスリスクを開発中に即座に特定し、問題のあるコンポーネントを可視化。さらにSBOM(ソフトウェア部品表)の生成やポリシー違反の自動チェック機能により、開発スピードを損なうことなく、継続的かつ統制の取れたセキュリティ対策を可能にします。これにより、DevSecOpsの要となる“セキュリティのシフトレフト”を効果的に推進できます。
SBOM管理ツールの選び方
SBOM管理ツールの選び方に迷っていませんか?脆弱性対応・ライセンス管理・DevSecOps推進に必須の基本機能から比較ポイント、最新ツールの特徴まで徹底解説!
Black Duckは大きく2つのプランに分かれており、年間サブスクリプションで提供されています。利用人数や、オプションなどによって変動するため、具体的な価格はお問い合わせください。
企業全体に包括的なオープンソースのリスク管理ソリューション
組織全体で活用できるソフトウェア・サプライチェーン・セキュリティおよびリスク管理ソリューション
3社パートナーシップにおける信頼のサポート力でお客様をご支援いたします
✖ ✖
ブラック・ダック社&マクニカ社でのツール知識や脆弱性関連のスペシャリスト+FSIのソフトウェア開発の総合開発のスペシャリストが、お客様の製品やサービスを脆弱性だけでなく、全ての工程でサポートいたします。
導入に対する不安
ツールのスペシャリストによる万全のサポート体制で対応いたします。
脆弱性に対する修正
豊富なサポート機能に加え、様々な業界のお客様への開発・運用サポート・導入支援の実績を持つ富士ソフトが、万全のサポートで対応いたします。
証明書や インシデント報告
OSSバージョンチェックアラートや脆弱性の早期検知、最新対処情報の提供など、強力な解析機能と圧倒的な情報量でお客様製品やサービスをサポートいたします。
「AIS-CRM」(アイスクリーム)とは、「AI、IoT、Security、Cloud、Robot、Mobile、AutoMotive」の頭文字を取った言葉で、富士ソフトが今最も力を入れる新技術分野と位置付けているものです。
組込系/制御系ソフトウェア開発で必須な最先端の技術ノウハウ、業務系システム構築で培ったトータルなインテグレーション力、ハードウェアとソフトウェア技術を組み合わせたプロダクト開発力を併せ持つ富士ソフトが、 「AIS-CRM」にも果敢に取り組み、 更に、DX、5Gなどの先端技術やサービスデザインの強化にも取り組むことで、お客様の製品サービス開発のトータルサポートを可能といたします。
お客様製品において、総合ソフトウェアベンダーである当社であれば、各種セキュリティ対策支援だけでなく、設計開発支援、豊富な技術知見や実績、データ分析、第3者検証サービスなど全ての工程をオールインワンでサポートいたします。
Black Duck SCAの お見積り・ご相談はこちら
SAST: Static Application Security Testingとは、静的アプリケーションセキュリティテストの略で、ソフトウェアのソースコードやバイナリを実行せずに解析し、セキュリティ脆弱性やバグを検出するセキュリティテスト手法です。主に自社で開発したソースコード内のセキュリティ欠陥検出ものです。SASTに対応したツールとして、Coverityなどが知られており、Black Duck SCAなどのOSSのリスク管理を行うコンポジション解析ツールと併用して使われます。Seekerは、アプリケーション・ポートフォリオ内のすべての既知および未知のAPIを検知が可能で、CI/CD開発ワークフローにおける展開およびスケーリングも容易です
DAST(Dynamic Application Security Testing)とは、動的アプリケーションセキュリティテストのことをいい、アプリケーションを実行した状態で外部から脆弱性を検査する手法です。実際のWebアプリやAPIに対して攻撃シナリオを模したテストを行い、SQLインジェクションやXSSなどの実行時に発生する脆弱性を検出します。ソースコードに依存せず、ブラックボックス型のセキュリティテストとして、本番環境に近い挙動を確認できるのが特徴です。DASTのツールとしては、Saas形式で提供されるContinuous Dynamicなどがあります。
SAST(静的解析)とDAST(動的解析)の長所を組み合わせた次世代のアプリケーションセキュリティテスト手法で、アプリケーションを実行しながら内部の動作(コード)と外部の振る舞い(実行時挙動)の両方をリアルタイムで解析し、脆弱性を高精度に検出する手法です。Back DuckのSeekerがインタラクティブ・アプリケーション・セキュリティ・テストソリューションとして知られています。
ファジング(Fuzzing)とは、ソフトウェアの脆弱性やバグを発見するために、意図的に異常なデータや予期しない入力(ファズ:fuzz)を大量に送り込み、ソフトウェアの挙動を監視するテスト手法で、通常Defensicsなどのツールを使って行われます。
CyRCとは、Black Duck内に設置されたソフトウェアの安全性向上とセキュリティコミュニティへの貢献を目的に活動しています。 静的解析(SAST)、構成解析(SCA)、動的解析(DAST)、ファジング、IASTなど多手法を駆使しながら、独自の手法で脆弱性を発掘し、防御策を研究しており、脆弱性に関わる調査結果を公開しています。
ページTOPに戻る
※Black Duck®はBlack Duck Software, Inc.の米国およびその他の国における登録商標です。
お探しの組み込み製品はキーワードで検索!
お問い合わせ