2027年12月から罰則を伴って全面的に適用される欧州サイバーレジリエンス法(EU Cyber Resilience Act:CRA)は、EU市場に関わる製造業者に対し、製品ライフサイクル全般におけるセキュリティ確保を義務付けた。不適合と判断されれば、最大1,500万ユーロ、または全世界売上高の2.5%という巨額の罰金が科される可能性があり、経営上の重大なリスクとなっている。しかし、日本企業の多くはリスクの可視化や事業リスク評価への活用に課題を抱えており、経営層の認識は十分とは言い難い。
CRA対応の本質は、単なるコストではなく、企業価値を高めるための「事業戦略」である。実際に、迅速な情報公開と徹底した事故対応により、大規模攻撃を受けた後にかえって信頼を獲得し、企業価値を向上させた事例も存在する。事故を前提としたSBOM(ソフトウェア部品表)の整備やBCP策定こそが、グローバル市場での競争優位性を左右する。
この変革を具体化する鍵は、全社横断で製品セキュリティを統括する「PSIRT」の確立にある。部門間のサイロ化を打破し、共通の脆弱性管理基盤を構築することで、強固なガバナンスと迅速な対応を実現できるからだ。日立製作所が自社の広範な製品群で培った実践的な知見を凝縮した本資料は、規制を乗り越え、持続的な価値を生み出すエコシステム構築を目指す企業にとって、最適な指針となるだろう。
ホワイトペーパー