AMD による EU サイバー レジリエンス法に向けた準備
EU サイバー レジリエンス法 (EU CRA) は、デジタル化が進む世界において、製品のサイバーセキュリティ要件を確立するための大きな前進を遂げています。AMD は、高性能コンピューティングのリーダーとして、サイバーセキュリティを強化しつつ、イノベーションを実現する要件の作成を支援する標準化プロセスに積極的に参加しています。
AMD は、EU サイバー レジリエンス法 (CRA) の適用要件をすべて満たし、EU で業務を遂行するお客様が CRA に準拠した AMD テクノロジを導入できるようにすることに全力を注いでいます。セキュアな製品設計、脆弱性管理、およびコンプライアンス プロセスへの継続的な投資により、CRA の要件が発効した際にそれらを満たす体制が整っています。
EU CRA とは
CRA は、デジタル コンポーネントを搭載した製品のメーカーや小売業者に必須のサイバーセキュリティ要件を導入することで、消費者と企業の保護を目指しています。この保護は製品のライフサイクル全体にわたって、既存の規制の対象になっている製品の一部の例外を除き、接続されたデバイスに適用されます。
CRA は、セキュリティ関連の機能を備えたマイクロプロセッサおよび FPGA、ならびにサーバー、ノート PC、エンベデッド、消費者向けデバイスなどのエンド製品に直接適用されます。
主要なスケジュール
コンプライアンス達成への道のり
CRA のもとでコンプライアンスを達成することは、EU で事業を展開しているすべての企業にとって不可欠です。製品ライフサイクル全体を通してサイバーセキュリティへの強いコミットメントを示すことで、EU 市場への法的なアクセスを確保し、顧客との信頼関係を構築します。CRA はリスクベースのため、まず最初に製品のリスク評価を実施します。リスク評価では、製品に該当する可能性のある脅威を特定し、それに基づいてコンプライアンス達成に必要なサイバーセキュリティ要件を導き出します。
コンプライアンス達成への道のりは、リスク評価の結果によって変わります。AMD の製品セキュリティ プロセス、ドキュメント、および開示慣行は、CRA リスク評価を補完できるように設計されています。
CRA のもとでイノベーションを実現するための AMD のアプローチは、次の 3 つの柱で構成されています。
コンプライアンス
AMD のお客様は、EU 規制の対象となる市場で業界をリードする AMD 製品を自信を持って導入できます。
機能
最先端のセキュリティ機能にアクセスすることで、最重要のアプリケーションにも対応できます。
通信
AMD は、長期的なドキュメントと脆弱性の報告を通じてお客様に最新情報を伝えています。
コンプライアンス
CRA における AMD 製品のコンプライアンス
CRA のもとでは、製品はサイバーセキュリティ関連の機能や、製品がもたらすサイバーセキュリティ リスクのレベルに基づいて分類されます。この分類により、メーカーがコンプライアンスを達成するうえで必要な手順が決まります。現在の CRA フレームワークに基づいて、AMD 製品は次のカテゴリに分類されることが想定されます。
- デフォルト: ほとんどの AMD 標準開発ツール
- クラス I (重要):
- セキュリティ機能を備えたプロセッサと FPGA
- 一部の組み込みソリューション、およびセキュリティ上重要なソフトウェア コンポーネント
CRA 内の特定の垂直規格は、現在も標準化団体による最終決定の段階にあります。AMD はこれらの策定に積極的に参加しており、最終的な規格の公表後、すぐにガイダンスを更新する予定です。AMD は、これらの分類に基づいて、必要なすべての CRA 規則および規制に従い、CRA に準拠した製品をお届けします。これらの製品は、お客様が構築できる基盤となるものです。
機能
AMD 製品による最先端のセキュリティ機能
最大のシステム セキュリティを実現するには、製品ライフサイクル全体を踏まえたセキュリティ対策を考える必要があります。たとえば、安全に起動しないデバイスにフォールト トレラントなアプリケーション レベルのセキュリティ ソリューションを構築することは、砂の土台に大邸宅を建てるようなものです。AMD と当社のお客様は、セキュリティを考慮したシステム設計において、それぞれの役割を担っています。時間、労力、人材、資金が十分にあっても、攻撃されないシステムは存在しません。つまりすべてのシステムは攻撃される可能性があるということを認識することが重要です。セキュリティとはリスク管理であり、どれだけリスク管理に投資するかという問題になります。
AMD は、世界水準のベスト プラクティスを採用して、シリコン、ソフトウェア、開発ツールの信頼性を確立しています。無数の攻撃ベクトルに対する保護を支援するように設計された対策が、シリコンに統合されています。AMD 製品のセキュア ブートやコンフィギュレーションでは、信頼性、機密性、完全性を備えた、ハードウェアによる信頼のルートを採用しています。
CRA のもとで確立された特定の設計要件は、AMD の設計手法に組み込まれ、今後の設計に反映されることになります。特定の AMD セキュリティ テクノロジの詳細については、お近くの AMD 販売代理店へお問い合わせください。
通信
資料
製品ライフサイクル全体にわたってセキュリティを最大限に高めるため、CRA では、リスク評価、EU 適合宣言、ソフトウェア部品表 (SBOM)、サポート期間に関する情報など、いくつかの重要な事項を文書化することが求められています。これにより、ベンダーが CRA コンプライアンスを維持するために計画している最短期間が確立されます。AMD は現在、CRA の文書要件へのコンプライアンスを確保するため、当社の既存のプロセスを見直しています。
脆弱性の報告
CVE Numbering Authority (CNA) のメンバーとして、AMD は協調的な脆弱性開示の慣行に従い、報告された問題に迅速かつ適切に対応するよう努めています。AMD は、この実証済みの専門知識を活用し、CRA の特定の脆弱性管理要件に準拠します。詳細については、AMD 製品のセキュリティを参照してください。
AMD の取り組み
これまでの製品要件でサイバーセキュリティについて考慮する必要がなかったとしたら、この新たな法律によって未知の課題が生じる可能性があります。50 年以上にわたってクリティカルなアプリケーションを扱ってきた AMD は、CRA 要件を満たすテクノロジを提供でき、これらの変化に対応できる専門知識を備えています。
