EN 40000-1-3 (Draft): 欧州CRA対応 脆弱性管理・SBOM作成の水平規格

Tech

{ “protocol”: “EN 40000-1-3 (Draft)”, “status”: “CEN-CENELEC Draft (prEN)”, “category”: “Horizontal Standard / Cybersecurity”, “focus”: “Vulnerability Handling, SBOM (Software Bill of Materials)”, “target_compliance”: “EU Cyber Resilience Act (CRA)” }

本記事はGeminiの出力をプロンプト工学で整理した業務ドラフト(未検証)です。

EN 40000-1-3 (Draft): 欧州CRA対応 脆弱性管理・SBOM作成の水平規格

【背景と設計目標】

CRA(欧州サイバーレジリエンス法)の法的要件を技術的に具体化し、デジタル製品の脆弱性管理とSBOM提供を全EU圏で標準化する。

本規格は、既存のISO/IEC 29147(脆弱性開示)やISO/IEC 30111(脆弱性処理)をベースとしつつ、CRAが求める「SBOM(ソフトウェア部品表)の義務化」と「24時間以内の脆弱性報告」を実務レベルで統合する新規設計の水平規格です。

【通信シーケンスと動作】

EN 40000-1-3が規定する脆弱性ハンドリングおよびSBOM提供のライフサイクルは、発見から報告、そしてエンドユーザーへの通知までを動的に定義します。

sequenceDiagram
    participant "R as Vulnerability Researcher"
    participant "V as Manufacturer (Vendor)"
    participant "E as ENISA / CSIRT-EU"
    participant "U as End User / Asset Manager"

    R ->> V: 1. Vulnerability Discovery (Coordinated Disclosure)
    V ->> V: 2. Internal Triage & SBOM Analysis (Impact Assessment)
    V ->> E: 3. Mandatory Notification (within 24h for exploited vulns)
    V ->> V: 4. Patch Development & SBOM Version Update
    V ->> U: 5. Security Advisory & Updated SBOM (CycloneDX/SPDX)
    U ->> V: 6. Verification of Mitigation

  1. 発見・受理: 外部または内部からの脆弱性報告を座標。

  2. トリアージ: SBOMを参照し、コンポーネントが自社製品に及ぼす影響を特定。

  3. 強制報告: CRA第11条に基づき、悪用された脆弱性を当局へ迅速に通知。

  4. 修正と更新: パッチ適用後の新バージョンに対するSBOMを再生成。

【データ構造 / パケットフォーマット】

EN 40000-1-3では、SBOMおよびVEX(Vulnerability Exploitability eXchange)のメタデータ構造の相互運用性を重視しています。以下は、規格が準拠を促すSBOMの論理的なデータ構成例です。

0               16              32              48              64 (bits)
+---------------+---------------+---------------+---------------+
| Version (CRA) | Format Type   | Document ID (UUID)            |
+---------------+---------------+---------------+---------------+
| Timestamp (ISO 8601)                                          |
+---------------+---------------+---------------+---------------+
| Supplier Name                 | Component Name                |
+---------------+---------------+---------------+---------------+
| Component Version             | Unique Identifier (PURL/CPE)  |
+---------------+---------------+---------------+---------------+
| Dependency Relationship (Hex) | Cryptographic Hash (SHA-256)  |
+---------------+---------------+---------------+---------------+
| ... (License Information / VEX Status)                        |
+---------------+---------------+---------------+---------------+

  • Format Type: CycloneDX, SPDX などの識別子。

  • PURL (Package URL): 依存関係を特定するための標準フォーマット。

  • VEX Status: 脆弱性が存在するが「影響なし(Not Affected)」であるか等のフラグ。

【技術的な特徴と比較】

EN 40000-1-3と従来のセキュリティ管理規格の比較を以下に示します。

機能項目 ISO/IEC 29147 / 30111 EN 40000-1-3 (CRA規格) 備考
法的拘束力 任意(ガイドライン) 必須(法的適合性の根拠) CRA適合宣言(DoC)に直結
SBOM要件 言及のみ 作成・保守・提供が必須 ライフサイクルを通じた管理
報告期限 ベストエフォート 24時間以内の速報要件 ENISAへの直接報告
透明性 限定的(非公開が多い) エンドユーザーへの開示 VEXによる修正状況の共有
対象範囲 ソフトウェア一般 「デジタル要素を持つ製品」全て IoT、組み込み、クラウドを含む

【セキュリティ考慮事項】

  1. SBOMの完全性(Integrity): SBOM自体が攻撃対象(サプライチェーン攻撃)となるリスクがある。EN 40000-1-3では、SBOMファイルに対するデジタル署名を強く推奨し、改ざんを検知する仕組みを求めている。

  2. 情報の過不足(VEXの役割): 単なるSBOMの公開は、攻撃者に攻撃表面(Attack Surface)を教える「脆弱性マップ」になりかねない。そのため、VEX(脆弱性開示情報)を用いて、脆弱性が存在するが実際には悪用不可能であるといった「コンテキスト」を正確に伝えることがダウングレード攻撃やリプレイ攻撃の誤認を防ぐ鍵となる。

  3. PFS(前方秘匿性)とデータの機密性: 当局への報告経路やパッチ配布サーバーとの通信には、TLS 1.3等の現代的なプロトコルによる保護が前提となる。

【まとめと実装への影響】

ネットワークエンジニアや開発者が留意すべき3つのポイント:

  1. 開発パイプラインへのSBOM生成の組み込み: ビルドプロセス(CI/CD)で自動的にCycloneDXやSPDX形式のSBOMを出力する構成が必須となる。手動管理は実質的に不可能。

  2. VDR(Vulnerability Disclosure Policy)の整備: 規格準拠のため、外部からの脆弱性指摘を受け付ける窓口(セキュリティ・テキストファイル等)の設置と、内部のトリアージフローを文書化する必要がある。

  3. バイナリ・スキャンの実行: ソースコードだけでなく、コンパイル後のバイナリに含まれるサードパーティ・ライブラリを特定する技術(Software Composition Analysis: SCA)の導入が、CRA適合の技術的証跡として重要になる。

ライセンス:本記事のテキスト/コードは特記なき限り CC BY 4.0 です。引用の際は出典URL(本ページ)を明記してください。
利用ポリシー もご参照ください。

コメント

タイトルとURLをコピーしました