必須サイバーセキュリティ要件

不正アクセスからの保護

製品は、稼働環境に適した認証済みおよび認可されたアクセス機構を実装しており、不正な論理アクセスを防止します。

データの機密性

製品によって処理、保存、または送信されるデータは、デフォルトで業界標準の暗号化機構を使用して保護されます。

データ、コマンド、およびコードの完全性

製品のコード、設定、コマンド、および更新には、改ざんを防止するための完全性保護が適用されます。

可用性とレジリエンス

製品は、一般的な攻撃手法への耐性を含め、不利な条件下でも利用可能な状態を維持し、安全にフェイルするよう設計されています。

デフォルトでの安全な設定

製品は、ベースラインのセキュリティを達成するために追加の強化を必要としない、安全なデフォルト設定で提供されます。

攻撃面の最小化

必要なサービス、インターフェース、および権限のみがデフォルトで有効化され、不要な機能は無効化または除外されます。

既知の脆弱性からの保護

製品コンポーネントの既知の脆弱性は、リリース前に特定され対処されます。

安全なアップデート機構

アップデートは、改ざんを防ぐために認証および完全性保護された機構を通じて配信されます。

安全なライフサイクルサポート

セキュリティ更新は、製品ライフサイクルに適した定義されたサポート期間にわたり提供されます。

ログ記録と監視（該当する場合）

セキュリティに関連するイベントは、製品の役割および環境に適した方法で記録または提示されます。

最小特権

製品は、その意図された機能に必要な最小権限で動作します。

悪意あるコード実行からの保護

製品内での不正または悪意のあるコード実行を防止するための対策が実施されています。

安全な相互運用性

オペレーティングシステムや外部コンポーネントとの相互作用は、安全に設計および実装されています。

一般的な攻撃手法への耐性

製品設計は、なりすまし、リプレイ、改ざん、権限昇格などの一般的な攻撃ベクトルを考慮しています。

脆弱性対応プロセス

対象製品について文書化された脆弱性対応プロセスが維持されています。

調整された脆弱性開示（CVD）

セキュリティ脆弱性の責任ある開示のための公開チャネルが存在します。

脆弱性の受付とトリアージ

報告された脆弱性は、重大度および影響に基づき評価、優先順位付け、追跡されます。

適時の修復

セキュリティ脆弱性は不当な遅延なく修正されます。

修正の安全な配布

セキュリティ修正は、標準リリースと同じ安全なアップデート機構を使用して配布されます。

ユーザーおよび顧客への通知

適切な場合、ユーザーには関連するセキュリティ問題が通知されます。

悪用の認識

既知または疑われる悪用に関する情報は監視され、対応活動で考慮されます。

規制当局への報告

法律で要求される場合、積極的に悪用されている脆弱性を関連するEU当局に報告する手続きが存在します。

ソフトウェア部品表（SBOM）

製品のソフトウェア構成情報が維持されています。

記録の保持

脆弱性および修復対応に関連する記録は、規制審査のために保持されます。