本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

2027年全面適用へ――迫るサイバー・レジリエンス法（CRA）対応

2027年の全面適用に向けて、EUのサイバー・レジリエンス法（CRA）への対応が現実的な経営課題となっています。

CRAは、EU域内で販売される製品・ソフトウェアにサイバーセキュリティ要件を課す初の包括的な規制であり、FA機器や工作機械、産業用制御機器など、製造業の製品も対象となります。EU市場で事業を展開する日本の製造業にとって、CRA対応は避けて通れない重要テーマとなっています。

CRA要求事項は理解できても、自社製品での実装方法が分からない

CRAの条文やガイドラインを読み込み、「何が求められているか」は理解できた。 しかし――

・既存製品にどこまでセキュリティ機能を追加すべきなのか分からない ・長期稼働が前提で、パッチ適用が現実的でない機器はどう扱うべきか判断できない ・認証取得を見据えたドキュメント整備や開発プロセスの構築に手が回らない

条文は理解しているのに、自社製品へどう落とし込めばよいのか分からない――。 今まさに、CRA要求事項を自社製品へ落とし込むための具体的かつ実践的な対応指針が求められています。

認証機関が解説するCRAが求める脆弱性対応の要点と、パッチ適用が難しい機器への現実的な対応策

本セミナーでは、欧州法規制に基づく製品認証・適合性評価を担う第三者認証機関であるテュフズードジャパンを講師に迎え、CRAが求める脆弱性対応の要点を審査・評価の観点から整理するとともに、FA・工作機械メーカーが押さえるべき実務対応ポイントを具体的に解説します。

また、製造業の製品は顧客環境で長期間稼働することが多く、すぐにパッチ適用ができないOT機器や設備をどのように守るかが現実的な課題となります。こうした課題への現実的な対策として、TXOne Edgeシリーズを活用したネットワーク防御およびエンドポイント保護の実践手法を、用途・リスクレベル別のセキュリティバンドル構成例や導入パターンとともにご紹介します。

こんな方におすすめ

・FA機器・工作機械メーカーでCRA対応を担当されている方 ・設計・開発部門で製品セキュリティ要件の実装を検討している方 ・EU市場向け製品の認証・適合性評価に関わる品質保証／法規制担当の方 ・パッチ適用が難しい製品の現実的なセキュリティ対策を模索している方

プログラム

14:45～15:00　受付

15:00～15:05　オープニング（マジセミ）

15:05～15:50

・CRA対応における本セミナーの位置づけとアジェンダのご説明（岡谷エレクトロニクス）

・CRA2027年施行に備える！企業が今から始めるべき対策とは（テュフズードジャパン 登山 慎一 様）

・TXOneによるCRA支援策（TXOne Networks Japan 渡辺 太造様）

15:50～16:00　質疑応答

主催・共催

岡谷エレクトロニクス株式会社（プライバシーポリシー）

TXOne Networks Japan 合同会社（プライバシーポリシー）

テュフズードジャパン株式会社（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

増えるWebサービス、増えない予算と人員

近年、DXの推進によりデジタルサービスが次々と生み出され、機能追加や改修の頻度も高まっています。そんな中、外部委託だけで脆弱性診断に対応すると、サービス数・診断回数ごとに費用がかさみ、診断までの調整（見積・日程調整・再診断など）も重荷となります。それにより、リリースサイクルに合わせて継続的に診断することが難しくなり、セキュリティレベルを落とさざるを得ないことも…。結果として、必要なタイミングで十分な診断ができず、リスクを抱えたままサービスを公開してしまうことにつながります。こうした背景から、ツール活用による診断内製化や、開発工程への組み込み（シフトレフト）を検討する企業が増えています。

内製化の壁。ツール選定・導入・運用の難しさ

ところが、脆弱性診断の内製化を進めようとしても、導入するツールの運用に専門スキルが必要で、診断方法や運用設計の勘所が分からないまま、取り組みが進まないケースもあります。また、Webサイトの画面や機能が増えるほど、セキュリティ部門では全体を把握しきれず、診断対象の抜け漏れ・診断品質のばらつきが起こりやすくなります。あるいは、診断サイト数や診断回数に制限があったり、従量課金になっていたりすると、結局コストの問題で、高頻度な診断が実現できないことも。

AeyeScanで抜け漏れを防ぎ、網羅的・継続的な診断と、シフトレフトの実現へ

本セミナーでは、株式会社エーアイセキュリティラボが提供するWebアプリケーション脆弱性診断ツール「AeyeScan」を取り上げ、外部診断だけに頼らず、内製化(ハイブリッド化)・シフトレフトを進めるためのポイントを解説します。AeyeScanは、誰でも簡単にプロ級の診断品質を可能にしながら、AIなどの自動化技術を駆使することで診断工数の削減を支援します。さらに、診断サイト数・診断回数が無制限の料金体系により、開発中のWebサービスでも頻繁に診断を実施しやすい点も魅力です。 セキュリティ強化のため、脆弱性診断を内製化を検討されている方は、ぜひご覧ください。

プログラム

09:45～10:00　受付

10:00～10:05　オープニング（マジセミ）

10:05～10:45　【情シス部門・開発責任者向け】Webサイトの網羅的な脆弱性診断を実現するには？「いつでも・だれでも」診断できる環境・体制づくり

10:45～11:00　質疑応答

主催

株式会社エーアイセキュリティラボ（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

ご好評につき、講演部分は2026年02月03日（火）開催セミナーの録画を配信します。

Q＆Aは、ライブにて講演者がご回答いたします。皆様からのご質問お待ちしております。

問題提起：開発スピードが上がるほど、事故のスケールも上がる

近年、システム開発に起因する欠陥が、ビジネス停止や顧客企業に大きく波及するセキュリティ被害事案が増えています。脆弱性悪用による情報漏えい・改ざん・乗っ取りに加え、クラウド設定不備など、「作る」だけでなく「動かす」段階の不備も被害を増幅させています。 生成AIの普及で、開発は“それっぽく”加速しやすくなりました。ところが、スピードが上がっても、セキュリティが自動的に上がるわけではありません。むしろ、指示の出し方や判断基準が曖昧なままAIを使うと、不安全な実装や運用設計が“量産”されるリスクが高まります。

原因への洞察：セキュア開発が回らないのは「仕組み」と「見える化」が足りないから

セキュア開発が難しいのは、スキル不足だけでは説明できません。問題は、仕組みと可視化が不足したまま、個人に負担を押し付けてしまう構造にあります。

• よくある問題構造1.「診断して高リスクだけ対応」で止まってしまう：指摘は“点”で終わり、次の開発に活かす“線”にならない。再発防止が仕組み化されない。
• よくある問題構造2. OSSや委託先を含む開発体制がブラックボックス化する：自社システムの構成や依存関係を正確に把握できず、説明責任を果たしにくくなる。その結果、SBOMの整備や運用に着手しづらい状況に陥いる。
• よくある問題構造3. “リリース中心の文化”が、リスク指摘を遅らせる：不注意に起因する問題ほど言いづらく、例外処理や運用設計の甘さが放置される。

「OWASP Top 10:2025」は、アクセス制御だけでなく、ソフトウェアサプライチェーンや例外条件の扱いなど、より広い範囲で“現実の事故要因”を突いています。この視点を持たずにAI活用を進めると、便利さと引き換えに、見えないリスクを増やしてしまいかねません。

次の一手：「OWASP Top 10:2025」を実践できる力とプロセスに変換する

本講演では、「OWASP Top 10:2025」を単なる知識として“読んで終わり”にせず、開発と運用の現場で実装できる戦略に落とし込むことを考えます。特に、次の3点を“現実解”として提示します。

（1）共通機能要件をつくれるチーム力向上：セキュリティを「できれば」ではなく「仕様」にする （2）検証できるプロセスを組み込む：スプリント（開発サイクル）ごとに改善の示唆が得られる状態をつくる （3）被害影響の最小化と回復を設計する：レジリエントな開発・運用力を高める

さらに、年度末予算100～500万円規模でも着手できる施策例を示し、「どこから始めるか」「何を成果物にするか」「どう測るか」など検討できる経営判断の起点を提供します。

プログラム

09:45～10:00　受付

10:00～10:05　オープニング（マジセミ）

10:05～10:45　AI時代だからこそ必要なセキュア開発の「次の一手」とは？～「OWASP Top 10:2025」を起点に、“作って終わり”から脱却するセキュア開発の現実解～

10:45～11:00　質疑応答

※質疑応答タイムはライブ配信にて行います。

主催

株式会社アスタリスク・リサーチ（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

迫るCRA対応――SBOM時代の脆弱性管理とは

欧州のサイバーセキュリティ規制であるCRA（Cyber Resilience Act）への対応が、いよいよ現実味を帯びてきました。製品ライフサイクル全体にわたるセキュリティ確保と、継続的な脆弱性管理の実施が求められる中、SBOM（Software Bill of Materials）の整備と活用は、もはや“推奨”ではなく“前提条件”となりつつあります。

ソフトウェアサプライチェーンが複雑化し、OSSの利用が拡大する現在、自社製品に含まれるコンポーネントとその脆弱性影響を正確に把握することは、企業の信頼性を左右する重要なテーマです。CRA対応を見据えた実効性のある脆弱性管理体制の構築が急務となっています。

脆弱性の優先的は？パッチ適用までの間まで守る必要性

しかしながら、SBOMを整備し脆弱性情報を収集しても、「何から対応すべきか分からない」という声は少なくありません。日々公開される膨大な脆弱性情報の中から、自社にとって本当にリスクの高いものを見極めることは容易ではありません。

例えば、 ・CVSSスコアは高いが、実際の悪用可能性は低い脆弱性 ・スコアは中程度でも、すでに攻撃コードが出回っている脆弱性 ・重要設備に関わるが、停止できずすぐにパッチを適用できないシステム

といった状況に直面しているのではないでしょうか。

単なるスコア依存ではなく、「自社環境における実質的なリスク」に基づいた優先順位付けと、パッチ適用が困難な環境に対する実効性ある防御策が求められています。

いま始めるべき、実効性ある脆弱性管理とリスク対策

本セミナーでは、CRA対応における脆弱性管理や優先順位付けに課題を抱える方に向けて、実践的な解決策をご紹介します。

まず、クラウド型脆弱性管理サービス「FutureVuls」を活用し、SBOMと最新の脆弱性情報を組み合わせながら、自社にとって真に対応すべき高リスクを見極める方法を解説します。

さらに、自社製品が顧客環境で長期間稼働することを前提とし、「すぐにパッチを適用できない設備」をどのように守るのかについても取り上げます。TXOne Edgeシリーズを活用したネットワーク防御およびエンドポイント保護の実践手法を、用途・リスクレベル別のセキュリティバンドル構成例や導入パターンとともにご紹介します。

こんな方におすすめ

・CRA対応を見据え、SBOMの活用方法を具体化したい方 ・脆弱性の優先順位付けに課題を感じているセキュリティ担当者の方 ・パッチ困難環境でのリスク対策を強化したいIT／OT部門の方 ・製品開発や品質保証の立場で脆弱性管理体制を整備したい方

プログラム

14:45～15:00　受付

15:00～15:05　オープニング（マジセミ）

15:05～15:50　

・CRA対応における本セミナーの位置づけとアジェンダのご説明（岡谷エレクトロニクス）

・製造業のCRA対応 SBOMと脆弱性管理の『次の一歩』 （フューチャー 小野田 裕様）

・TXOneによるCRA支援策（TXOne Networks Japan 渡辺 太造様）

15:50～16:00　質疑応答

主催・共催

岡谷エレクトロニクス株式会社（プライバシーポリシー）

TXOne Networks Japan 合同会社（プライバシーポリシー）

フューチャー株式会社（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

警察庁令和7年度レポートに見る最新ランサム攻撃の実態

警察庁の最新レポートによると、ランサムウェア攻撃の被害は依然として高止まりしています。攻撃は暗号化だけでなくデータ流出や二重恐喝へと巧妙化しており、被害額や業務停止の期間も深刻化しています。こうした状況を踏まえ、中小企業も含む幅広い企業を対象に、今年度末頃の制度開始を目指す「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」の検討が進んでおり、各社には対策状況の可視化と対応が求められています。

ランサム攻撃ではバックアップが狙われ、復旧不能となるケースが増加

従来のバックアップ運用では、ネットワーク接続されたストレージやNASが攻撃者の標的となり、暗号化や削除によって利用不能になる事例が増えています。復元を試みてもデータが破損していたり、世代管理の不備で必要な情報が残っていないケースも多発。結果として、バックアップがあっても事業継続が不可能になる企業が少なくありません。

“改ざんも削除も不可能”─イミュータブルバックアップで確実に復元

Barracuda のバックアップ製品は、オンプレ環境を保護する BBS（Barracuda Backup Server） と、Microsoft 365を保護する CCB（Cloud-to-Cloud Backup） の2種類がございます。どちらもデータを改ざんも削除もできない 「イミュータブル」 な状態で保存し、ランサムウェアに侵入されても安全に復元できます。BBSではネットワーク共有プロトコルを排除し、攻撃経路からバックアップ領域を物理的・論理的に隔離。さらにクラウドでの二重バックアップにより、BCP対策も同時に実施可能です。CCBではMS365各種データを容量・保持期間無制限でバックアップが可能です。「高額そう」と思われがちですが、実際は 中小企業でも導入しやすいコスト設計 となっており、ランサム被害後でも確実な復元と事業継続を実現します。

こんな方におすすめ

• 中小企業でも導入可能なコスト感で、安全性を高めたい方

• Microsoft 365を利用中で、オンプレ環境とシームレスに安全性を強化したい方

• ランサム対策としてバックアップを運用しているが、復旧の確実性に不安がある方

• 取引先要請やサプライチェーン対応を見据え、復旧体制の説明可能性を高めたい方

プログラム

12:45～13:00　受付

13:00～13:05　オープニング（マジセミ）

13:05～13:45　ランサムウェア攻撃で、バックアップが復元できないのはなぜか？～警察庁令和7年度サイバーセキュリティレポートに学ぶ、効果的なランサムウェア対策とは？～

13:45～14:00　質疑応答

主催・共催

株式会社テンダ（プライバシーポリシー）

バラクーダネットワークスジャパン株式会社（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

ランサムウェア被害に合う確率は、ダークウェブ上の漏洩データ量に比例する

近年、ランサムウェアは暗号化と身代金要求だけでなく、「窃取した機密情報をダークウェブに公開する」と脅す二重恐喝型へと進化し、多くの企業で被害が深刻化しています。重要なのは、ランサムウェアそのものは“手段”に過ぎず、攻撃者の真の狙いが、認証情報や機密データを盗み出し、ダークウェブ上で売買・公開することであるという点です。どれだけ社内のマルウェア対策を強化しても、すでに漏洩したアカウント情報や顧客データがダークウェブに出回っていれば、攻撃者は別の経路から何度でも侵入を試みます。したがって、社内ネットワークの防御だけでなく、「自社のデジタル資産がダークウェブ上でどう扱われているのか」を把握し続けることが、今やランサムウェア対策の前提条件になりつつあります。

ダークウェブ上の情報と攻撃方法を考慮しない表面的なセキュリティ対策では自社データを守れない

多くの企業では、ファイアウォールやEDRなど“社内側”の対策に意識と予算が偏り、ダークウェブ上でどのような情報が漏洩・流通しているのかを継続的に把握できていないのが実情です。盗まれた認証情報や機密データがどのフォーラムで、どのような文脈で出回っているかを把握しなければ、攻撃者の視点で自社の「狙われやすさ」を評価することはできません。その結果、ランサムウェア攻撃の背後にある初期侵入や、将来の攻撃準備行為を見逃し続けてしまい、「被害が出てから慌てて対応する」状態から抜け出せません。また、自社内だけでのログ分析や脆弱性管理では、サプライチェーンや外部委託先経由のリスク、過去インシデントから派生する二次・三次攻撃の芽も十分に捉えきれないという課題があります。

攻撃者の初動からモニタリングを行い、全方位への先制対処を実現

本セミナーでは、ハッカーと同じ視点でダークウェブを継続的にモニタリングし、自社やグループ会社、取引先に関連する漏洩データや攻撃準備の兆候を早期に捉える「QUAXAR（クェーサー）」の特長を紹介します。 単なるランサムウェア対策ツールとしてではなく、「ダークウェブ上にどのような情報が出回り、それがどのような攻撃シナリオにつながり得るのか」を可視化し、優先度を付けて対応するための具体的な手順を解説します。具体的には、漏洩アカウントや機密文書、顧客データなどの検知から、インシデント対応チームへのエスカレーション、関連システムへのアクセス制御強化までを一連の流れとして整理し、「ランサムウェア攻撃」という結果だけに目を奪われず、その前段階であるダークウェブ上のデータ漏えいをいかに先回りで抑止するかを、実際のユースケースを交えてお伝えします。

プログラム

12:45～13:00　受付

13:00～13:05　オープニング（マジセミ）

13:05～13:45　【情シス部長・CISO向け】ダークウェブ上に自社の情報が流出していることを経営陣に説明できますか？ハッカー目線でダークウェブをモニタリングするQUAXAR（クェーサー）でランサムウェア攻撃に先制対応

13:45～14:00　質疑応答

主催・共催

S2W Inc.（プライバシーポリシー）

株式会社テクノプロ（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

ランサムウェア被害が「業務停止」に直結する時代

ランサムウェア被害は継続的に発生しており、暗号化や情報漏えいだけでなく、復旧・調査・再発防止まで含めて長期の業務影響を招くケースが増えています。しかも侵入の起点は、特別な操作ではなく、日々の業務で避けられないメール添付の確認、URLアクセス、ファイルのダウンロードといった“当たり前の行為”になりがちです。その結果、現場では「不用意に開けない」「怪しそうなら止める」といった注意喚起が繰り返されますが、業務は止められず、最終的には個々人の判断に依存した運用になってしまいます。対策を強めるほど現場の負担が増え、負担が増えるほど誤クリックのリスクが上がる。この矛盾が、端末を起点とした事故を繰り返す背景になっています。

EDR/NGAVを入れても「業務停止」を避ける設計になっていない

対策を迫られても、端末防御において「EDRやNGAVを入れているから十分なのか」「何を追加すれば業務停止リスクを下げられるのか」を整理できず、結局“機能比較”の沼にはまってしまう担当者は少なくありません。また、アラートを前提にした対策は、運用体制が整っていないと効果を出しにくいのが現実です。通知が多すぎて見切れない、担当者の経験に依存して判断がぶれる、初動が遅れて被害が広がる。こうした状態では「気づいたときには業務が止まっていた」という事後対応に陥りがちです。必要なのは“検知を増やすこと”ではなく、誤クリックが起きても業務停止につながりにくい端末防御の設計です。

誤クリックの入口（添付・URL）を隔離し、業務停止につながる前に封じ込める

本セミナーでは、ランサムウェアを前提に、端末防御を「気づいて対応する」だけの設計から一歩進め、感染をOS本体に持ち込ませない／広げないという考え方で組み直すポイントを整理します。具体的には、メール添付・URLアクセス・ダウンロードファイルといった攻撃の入口になりやすい操作を、隔離された環境で開く“隔離型”のアプローチを取り上げます。これにより、現場の注意喚起や誤クリックゼロの努力に頼らず、万が一踏んだ場合でも被害を封じ込め、業務停止に直結させない状態を目指せます。さらに、すでにEDR/NGAVを導入している環境を前提に、「どこが不足になりやすいのか」「追加するなら何が“業務停止リスク低減”につながるのか」といった判断軸も合わせて解説します。製品比較の前に“守るべきリスク”と“優先順位”が明確になり、自社に必要な対策の方向性を具体的に決められる状態を目指します。

プログラム

15:45～16:00　受付

16:00～16:05　オープニング（マジセミ）

16:05～16:45　ランサム対策、EDR/NGAVだけで安心ですか？～怪しいファイルやURLを開いてしまっても感染しない「隔離型」エンドポイントセキュリティを解説～

16:45～17:00　質疑応答

主催・共催

横河レンタ・リース株式会社（プライバシーポリシー）

株式会社 日本HP（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

CRAへの対応の苦慮する現場と、際立つ「SBOMの重要性」

製造業では、デジタル製品においても品質管理が重要視されていることから、すでに相応の取り組みを行っている企業が少なくありません。それでも、CRAに対応するためのソフトウェアの設計や管理にも、それがそのまま適合できるとは限りません。 また、SBOMはすでにあるという製造業でもExcelなどの台帳管理の延長線のものも多く、インシデント報告とその際に重要となる「迅速な脆弱性対応」に必要な情報がそろっていないものが多く存在し、この問題を解決できなければ、CRAの報告義務に対応できているとは言えません。 CRAへの対応には、脆弱性の公開時などに迅速に対応するためのSBOMの構築と運用が不可欠なのです。

製造業に迫るEU CRAへの対応　「インシデント報告義務」開始という現実

欧州サイバーレジリエンス法（EU CRA）におけるインシデント対応が2026年9月11日から義務化されます。これは、EU市場でデジタル製品を販売する製造業者に対し、深刻なセキュリティインシデントや脆弱性が発見された場合、EUに報告しなければならない義務です。 この法規では、製品の脆弱性（Security Vulnerability）や、重大なインシデントの検知・報告義務、既知の脆弱性がないことを説明できるユーザーへのセキュリティ対応に関する通知と透明性の確保が求められます。 しかしながら、何をもってCRA対応とできるかを判断し、既存の業務プロセスをそれに適合できるようにするのはなかなか難しく、具体的な対応に踏み出せていない企業も少なくありません。そのため、期限が迫る中で、「対応が進んでいない製造業が少なくない」という現実があります。

CRA対応として求められるSBOMの構築・運用の実践的な解決策

本セミナーでは、EU CRAが重視する「リスク分析」を起点に、CRA対応としてどのようなテストを実施し、何を確認・証明する必要があるのかを整理して解説します。単に脆弱性を検出するのではなく、製品構成（SBOM）、開発・検証プロセス、既知の脆弱性が存在しないことを技術文書として説明できる状態をどのように作るかが重要になります。 また、CRA対応で必須となるSBOM管理について、作成・更新・共有を業務として回していくための要点を整理し、『SBOM.JP』を活用した実装・運用の進め方を具体例と共に紹介します。『SBOM.JP』は、一般的な脆弱性マッチング等のためのツールではなく、サプライチェーン全体でソフトウェアを管理することができる製造業向けの管理パッケージソフトです。このツールを核として、対応の全体像と運用プロセスを明確にすることで、CRA対応を現場レベルで前に進めることができる実践的な解決策を提示します。

講演内容

セッション１：EU CRAのFAQには明記されていないセキュリティテスト要件を考える 概要：2025年12月3日、欧州員会はEU CRAについてのサマリーとFAQを公開し、 その4.2.2項で、改めて製造業者に対して脆弱性対策に関する指針を示しており、 「リスク評価に基づいて、悪用可能な脆弱性を含まない」ことを求めていると説明されています。 これはリスクベースのサイバーセキュリティ対策の一般的な考え方を踏襲しており、 従来ブラック・ダックが提案しているアプローチでもあります。 そこで、このFAQの視点を吟味しつつ、ソフトウェアをセキュアに開発するための考え方を改めて整理します。

講師：ブラック・ダック・ソフトウェア合同会社　シニアテクニカルマーケティングマネージャー　松岡 正人

セッション２：迫るEU CRA対応期限 ─ SBOM管理の必須ポイントとSBOM.JP活用法 概要：EU CRAへの対応をご検討中の企業様も多いのではないでしょうか。 本講演では、CRA対応で必須となるSBOM管理のポイントを分かりやすく解説します。 さらに、自社開発のSBOM.JPを活用した効率的な運用方法をご紹介します。 SBOM管理の全体像が理解でき、次の一歩に役立つ内容です。 講師：株式会社ベリサーブ　サイバーセキュリティ事業部　プロダクト企画課 平山 昌弘　

こんな方におすすめ

・CRA準拠に対する情報を収集されている方 ・SBOMについて興味関心のある方 ・製造業（特にデジタル製品・IoT機器関連）に携わる方 ・セキュリティ動向に興味関心のある方　　など

プログラム

10:45～11:00　受付

11:00～11:05　オープニング（マジセミ）

11:05～11:30　EU CRAなどのサイバー法規対策に必要なセキュリティテスト

11:30～11:50　迫るEU CRA対応期限 ─ SBOM管理の必須ポイントとSBOM.JP活用法

11:50～12:00　質疑応答

主催

株式会社ベリサーブ（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

DMARCは「導入すれば安心」ではない

DMARCは、なりすまし対策として有効な一方で、「DMARCレコードを入れて終わり」ではありません。p=noneのままでもリスクは残り、rejectへ上げればゴールとも言い切れない――DMARCは“導入”ではなく、“判断と運用”が問われる対策です。メールの送信経路や利用サービスは企業ごとに異なり、しかも時間とともに変化していきます。転送や外部配信サービス、委託配信、複数ドメイン運用などの条件が重なると、想定外に正規メールまで届かない事象が起こる可能性があります。実際に、DMARC強化を進めた結果、重要な通知や顧客対応メールが届かないことに後から気づくケースも珍しくありません。なりすまし対策を強化したつもりが業務に影響を及ぼす――DMARC運用で避けたいのは、こうした「強化の副作用」です。

「rejectが正解」とは限らず、判断が止まる

DMARC導入後に多いのは、p=none／quarantine／rejectのどれが自社に適切かを根拠付きで決められず、運用が止まってしまうパターンです。p=rejectを“唯一の正解”として一気に上げると正規メール不達のリスクが気になり、逆に不安からp=noneのまま据え置くと、なりすまし対策としての効果が頭打ちになります。さらに、転送・外部サービス追加・配信経路変更などにより、昨日まで問題なかった設定が今日は問題になることもあります。DMARCは「一度決めたら終わり」ではなく、状況を観測・分析しながら「変える／維持する」を判断し続ける必要があります。重要なのは、「何となくp=none」でも「絶対p=reject」でもなく、理由と根拠を持ってポリシーを選択できる状態です。しかし実際には、DMARCレポートを受信していても分析できないために優先順位を決められず、判断材料として活用できていないケースが少なくありません。設定が形骸化し、リスクの見逃しや判断の先送りにつながってしまうのです。

レポート解析で「変える／維持する」を見極める

本セミナーでは、「p=rejectが唯一の正解」という単純化を避け、DMARCレポートを根拠に“自社にとって”どこまで強化できるかを判断する考え方を整理します。誰が自社ドメインで送っているのか（正規・未承認・設定ミスの可能性）、認証結果がどう分布しているのか、どの送信が業務影響に直結しやすいのかといった観点でレポートを分析し、段階的に方針を決める手順を解説します。転送や外部配信が関わる環境では、p=rejectへ上げる判断だけでなく、あえて据え置く判断が合理的なケースもあります。重要なのは、「適当にp=none」ではなく、根拠を持って「変える／維持する」を選べる状態にすることです。DMARCレポートは膨大かつ複雑であり、継続的に読み解き判断材料として活用するのは容易ではありません。本セミナーでは、DMARCを“導入の話”から“運用と判断の話”へ引き上げ、正規メール不達の事故を避けながら、なりすまし対策としての効果を着実に高めるための視点・材料・進め方を、実務目線で整理します。すでにDMARCを導入済みの企業様にもおすすめの内容です。

プログラム

14:45～15:00　受付

15:00～15:05　オープニング（マジセミ）

15:05～15:45　DMARCは「p=rejectがゴール」ではない〜危険なp=none放置／即rejectを避ける、レポート分析の第一歩〜

15:45～16:00　質疑応答

主催

Hornetsecurity株式会社（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。