オープンソース業界に広がる懸念　欧州で導入予定のサイバーレジリエンス法

　欧州連合（EU）で、サイバーセキュリティを確保する「EUサイバーレジリエンス法（CRA）」が年内にも成立する見通しだ。ソフトウェアの部品表（SBOM）作成などを通じて、ソフトウェアのサプライチェーンをはじめとしたセキュリティ問題に対応しながら消費者を守るのが狙いだ。しかし、そこに「意図しない弊害」の可能性があるとしてオープンソースソフトウェア団体が相次いで懸念を表明している。

ソフト・ハードの広範囲のデジタル製品が対象

　サイバーレジリエンス法（CRA: Cyber Resilience Act）は、デジタル要素を持つ製品を、サイバーセキュリティの観点から規制するためのEU法だ。製品の製造業者や小売業者に、指定のサイバーセキュリティ要件を満たすことを義務付ける。

　EUによると、全世界のサイバー犯罪の被害額は2021年に5兆5000億ユーロ（約6兆1200万ドル）に膨れ上がっている。EUが2022年9月に発表した草案では、「サイバーセキュリティのレベルが低く、脆弱性が広がり、それらに対するセキュリティ更新の提供は不十分であり一貫性もない」としてCRA導入の必要性を述べている。

　EUではすでに、2019年に「EUサイバーセキュリティ法」を施行しているが、対象はデジタル要素を持った一部の製品にとどまっている。これに対し、CRAでは対象を拡大してソフトウェアとハードウェアの両方をカバー。従来は対象外だったIoTデバイスなども規制する。

　内容的には、デジタル要素を持つ製品の設計、開発、製造に対する必須要件、製品ライフサイクル全体でセキュリティを確保するための必須要件などが盛り込まれる予定だ。

　また、違反に対しては、最大でグローバル年間売上高の2.5％、または1500万ユーロ（約1650万ドル）の制裁金が科されるとしている。