<p>[META] { “style”: “Senior Network Engineer”, “focus”: “EN 40000-1-3 (CRA Harmonized Standard Draft)”, “technical_depth”: “High”, “format”: “Technical Specification / Analysis”, “compliance”: “CRA Annex I Section 1 & 2” } [/META]本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">EN 40000-1-3 (Draft)：欧州サイバーレジリエンス法（CRA）における脆弱性ハンドリングとSBOM義務化の水平規格</h1> <h3 class="wp-block-heading">【背景と設計目標】</h3> <p>欧州サイバーレジリエンス法（CRA）の施行に伴い、デジタル要素を持つ製品（Products with digital elements）には、開発ライフサイクル全般における脆弱性管理とSBOM（Software Bill of Materials）の提供が法的義務として課せられます。EN 40000-1-3は、これらを実現するための「水平規格（Horizontal Standard）」として策定されており、特定製品に依存しない共通の脆弱性ハンドリングプロセスと、SBOMの最小データ項目および配布方法を規定することを目標としています。既存のISO/IEC 29147や30111を包含しつつ、法的な強制力（CEマーク適合性評価）に耐えうる厳格なメタデータ構造を定義します。</p> <h3 class="wp-block-heading">【通信シーケンスと動作】</h3> <p>製品エコシステムにおける脆弱性情報の収集・報告・修正パッチ適用（VEX: Vulnerability Exploitability eXchangeを含む）の標準的なライフサイクルを以下に示します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> sequenceDiagram participant "S as Vendor (Supplier)" participant "V as VDB/CSIRT (ENISA)" participant "A as Asset Owner (User)" Note over S: SBOM Generation (CycloneDX/SPDX) S ->> A: Deliver Product + SBOM Note over V: New Vulnerability Discovered (CVE) V -->> S: Vulnerability Disclosure S ->> S: Impact Analysis (VEX Creation) alt is_vulnerable S ->> A: Security Advisory + Patch + VEX (Status: Affected) else not_vulnerable S ->> A: VEX (Status: Not_Affected / Justification) end S ->> V: Mandatory Vulnerability Reporting (within 24h) </pre></div> <h3 class="wp-block-heading">【データ構造 / パケットフォーマット】</h3> <p>EN 40000-1-3が要求するSBOMおよび脆弱性メタデータの最小構成要素（CRA Compliance Data Structure）の概念モデルです。主にCycloneDX 1.5以降またはSPDX 2.3/3.0をトランスポート層として想定します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">CRA_COMPLIANCE_EN_40000_1_3 (Draft Structure) +-----------------------------------------------------------------------+ | Header: SBOM Metadata | | - SpecVersion (8:bits) : e.g., "1.5" | | - SerialNumber (128:bits): UUID | | - Timestamp (ISO8601) | +-----------------------------------------------------------------------+ | Component_Entity (CRA Class I/II/Critical) | | - Name (string) | | - Version (string) | | - PURL (Package URL) / CPE (Common Platform Enumeration) | | - Supplier_Identity (vCard format) | | - Hash (SHA-256/384/512) | +-----------------------------------------------------------------------+ | Vulnerability_Handling_Interface (VEX Information) | | - Vuln_ID (CVE-ID / GHSA-ID) | | - Analysis_State (Status: affected, not_affected, under_investigation)| | - Impact_Statement (Markdown/Text) | | - Remediation_Status (Fixed / No_fix_planned / Workaround) | +-----------------------------------------------------------------------+ | External_References | | - Distribution_Endpoint (URL/API) | | - Attestation_Signature (JWS/Ed25519) | +-----------------------------------------------------------------------+ </pre> </div> <h3 class="wp-block-heading">【技術的な特徴と比較】</h3> <p>EN 40000-1-3（CRA準拠）と、従来の推奨ベースのセキュリティガイドラインとの技術的差異を整理します。</p> <figure class="wp-block-table"><table> <thead> <tr> <th style="text-align:left;">技術要素</th> <th style="text-align:left;">従来のガイドライン (NIST 800-161等)</th> <th style="text-align:left;">EN 40000-1-3 (CRA水平規格)</th> </tr> </thead> <tbody> <tr> <td style="text-align:left;"><strong>法的強制力</strong></td> <td style="text-align:left;">ベストプラクティス（任意）</td> <td style="text-align:left;">法的義務（不履行時は制裁金・販売停止）</td> </tr> <tr> <td style="text-align:left;"><strong>SBOMの深度</strong></td> <td style="text-align:left;">直接依存関係が中心</td> <td style="text-align:left;">推移的依存関係（全階層）の把握を要求</td> </tr> <tr> <td style="text-align:left;"><strong>脆弱性報告</strong></td> <td style="text-align:left;">自発的（VDP）</td> <td style="text-align:left;">悪用された脆弱性の24時間以内強制報告 (ENISA)</td> </tr> <tr> <td style="text-align:left;"><strong>VEXの扱い</strong></td> <td style="text-align:left;">オプション</td> <td style="text-align:left;">実装推奨（誤検知による運用負荷低減のため）</td> </tr> <tr> <td style="text-align:left;"><strong>整合性保証</strong></td> <td style="text-align:left;">ハッシュ値の記載のみ</td> <td style="text-align:left;">デジタル署名による真正性保証を重視</td> </tr> <tr> <td style="text-align:left;"><strong>ライフサイクル</strong></td> <td style="text-align:left;">開発終了まで</td> <td style="text-align:left;">最長5年間または製品寿命のいずれか長い期間</td> </tr> </tbody> </table></figure> <h3 class="wp-block-heading">【セキュリティ考慮事項】</h3> <ol class="wp-block-list"> <li><p><strong>SBOMの機密性と整合性</strong>: SBOMは攻撃者にとっても詳細な「攻撃マップ」となるため、配布経路におけるアクセスコントロールと、内容の改ざんを検知するデジタル署名（Ed25519等）が必須です。</p></li> <li><p><strong>VEXによるFalse Positiveの抑制</strong>: 単にライブラリが含まれている（Affected）だけでなく、実際に実行パスが到達可能か（Exploitable）を示すVEX情報の提供により、資産管理者の不必要なパッチ適用コストを削減します。</p></li> <li><p><strong>ダウンストリームへの連鎖</strong>: サプライチェーンの最下流ベンダーは、上流ベンダーから提供されるSBOMの品質に依存します。EN 40000-1-3では、サプライヤー間のメタデータ継承の完全性を担保するメカニズムを求めています。</p></li> </ol> <h3 class="wp-block-heading">【まとめと実装への影響】</h3> <p>ネットワークエンジニアおよびシステム開発者が留意すべき3つのポイント：</p> <ul class="wp-block-list"> <li><p><strong>自動化パイプラインへの統合</strong>: 手動でのSBOM作成は不可能です。CI/CDパイプラインにおいてCycloneDX/SPDXを自動生成し、VEXメタデータを動的にマージするツールの導入が必須となります。</p></li> <li><p><strong>製品寿命の再定義</strong>: CRAでは「製品のライフサイクル（最大5年）」にわたる脆弱性修正が求められます。ネットワーク機器等のレガシーデバイスにおいても、長期的なファームウェア更新・配布インフラの維持コストを設計に盛り込む必要があります。</p></li> <li><p><strong>VDB（脆弱性データベース）との同期</strong>: 独自の脆弱性管理だけでなく、ENISAが運用する中央プラットフォームへの報告フローを、社内CSIRT（PSIRT）の標準オペレーションに組み込む必要があります。</p></li> </ul>

sequenceDiagram
    participant "S as Vendor (Supplier)"
    participant "V as VDB/CSIRT (ENISA)"
    participant "A as Asset Owner (User)"

    Note over S: SBOM Generation (CycloneDX/SPDX)
    S ->> A: Deliver Product + SBOM

    Note over V: New Vulnerability Discovered (CVE)
    V -->> S: Vulnerability Disclosure

    S ->> S: Impact Analysis (VEX Creation)

    alt is_vulnerable
        S ->> A: Security Advisory + Patch + VEX (Status: Affected)
    else not_vulnerable
        S ->> A: VEX (Status: Not_Affected / Justification)
    end

    S ->> V: Mandatory Vulnerability Reporting (within 24h)

CRA_COMPLIANCE_EN_40000_1_3 (Draft Structure)
+-----------------------------------------------------------------------+
| Header: SBOM Metadata                                                 |
|   - SpecVersion (8:bits) : e.g., "1.5"                                |
|   - SerialNumber (128:bits): UUID                                     |
|   - Timestamp (ISO8601)                                               |
+-----------------------------------------------------------------------+
| Component_Entity (CRA Class I/II/Critical)                            |
|   - Name (string)                                                     |
|   - Version (string)                                                  |
|   - PURL (Package URL) / CPE (Common Platform Enumeration)            |
|   - Supplier_Identity (vCard format)                                  |
|   - Hash (SHA-256/384/512)                                            |
+-----------------------------------------------------------------------+
| Vulnerability_Handling_Interface (VEX Information)                    |
|   - Vuln_ID (CVE-ID / GHSA-ID)                                        |
|   - Analysis_State (Status: affected, not_affected, under_investigation)|
|   - Impact_Statement (Markdown/Text)                                  |
|   - Remediation_Status (Fixed / No_fix_planned / Workaround)          |
+-----------------------------------------------------------------------+
| External_References                                                   |
|   - Distribution_Endpoint (URL/API)                                   |
|   - Attestation_Signature (JWS/Ed25519)                               |
+-----------------------------------------------------------------------+