Linux Foundation Education Program 紹介

Transcript

1. Linux Foundation Education program紹介 April 3, 2026 2026年 第2回 Open

   Source Security Meetup OpenSSF Japan Chapter 余保 束 （ルネサスエレクトロニクス） Copyright © 2026 The Linux Foundation®. All rights reserved. The Linux Foundation has registered trademarks and uses trademarks.

2. Agenda • Linux Foundation Education とは • Linux Foundation Educationのメリット

   • OpenSSF Japanからのおすすめ program • Appendix: CRA関連文書の最新動向 2

3. Linux Foundation Educationとは 3 • Linux Foundation Education （LF Education）は、Linux

   Foundationが提供する、オ ープンソース技術を中心とした公式トレーニング・教育プログラム • 次世代のオープンソース プロフェッショナルを育てる事をミッションにかがけ、 業界標準に基づいた実践的な学習と信頼性の高い認定を通じて、現場で通用す るエンジニアリングスキルの習得を支援 • 各コースはオープンソースコミュニティで尊敬・注目されているエキスパート が開発・指導

4. Linux Foundation Educationのメリット 4 • 業界標準・実践重視のカリキュラム Linux、Kubernetes、Cloud Native、Securityなど、実際の現場で求められる技術ベースのカリキュラム • ベンダーニュートラルで汎用性が高い

   特定ベンダーに依存しないため、クラウドや基盤技術を幅広い環境で活かせる • グローバルで通用する学習・認定実績 認定試験合格者やコース修了者にはデジタルバッジを付与 世界中のエンジニアや企業が採用・評価しており、国や企業を問わずスキルの共通言語として活用可能 • オンラインで柔軟に受講可能 自分のペースで学習でき、業務と並行しながらスキルアップしやすい構成 • 無料コース、日本語コースも充実 OSS基礎技術や需要の高い技術、社会的に重要な分野などは無料オンラインコースを提供、日本語コースも順次提供 • LFメンバー企業向け特典 メンバー企業にはバウチャー（受講券）の特典あり

5. OpenSSF Japanからのおすすめprogram 5 • セキュア ソフトウェア開発 (LFD121 -JP)( 無料コース、日本語) オープンソースやその他のソフトウェアを安全に使用、開発するための具体的なヒントを提供

   OpenSSF が開発に携わったコース 、エクササイズの日本語翻訳にはOpenSSF Japan Chapter のメンバーも貢献 • Securing Your Software Supply Chain with Sigstore(LFS182)( 無料コース) Sigstore傘下のツール( Cosign 、Fulcio、Rekor、Policy Controller) がどのように安全なソフトウェア サプライ チェーンをサ ポートするかを説明 • Automating Supply Chain Security: SBOMs and Signatures (LFEL1007)( 無料コース) SBOM および署名ツールに慣れGitHub Actions を使用して署名および SLSA ワークフローを適用 • Understanding the EU Cyber Resilience Act(CRA)(LFEL1001)( 無料コース) EUサイバーレジリエンス法 (CRA) の主な要件、デジタル製品への影響、コンプライアンス戦略、法律の不確実性への対 処方法などについて説明

6. 6 APENDDIX CRA関連文書の最新動向 6

7. Disclaimer スピーカーは法律の専門家ではありません。 ここではスピーカーが CRA （EU Cyber Resilience Act ）をウォッチし調べたことを共有しま すが、誤りを含む可能性があります。

   法令の正確・正式な意味・解釈は、別途専門家に確認を取ることをお勧めいたします。 7

8. EU CRA タイムライン 8 2027 12月 CRA （対策義務） 2024 12月

   2019 製品、サービス、プロセスを対象とした「サイバーセキュリティ認証制度」、 およびインシデントの確率と影響の観点で評価される「保証レベル」の指定 2023 12月 欧州域内における政治的合意発表 2026 9月 CRA （報告義務） 12/11 発効・施行 移行猶予期間36か月 2024/12/11 以前に販売開始した製品についても、 これ以降に出荷を継続する場合は報告義務が発生 2027/12/11 以前に販売開始した製品については 適用範囲外（ただし報告義務はあることに注意） 報告猶予期間21か月 Now (2026/04/3)

9. CRA関連文書 9 • Cyber Resilience Act implementation – Frequently asked

   questions(CRA FAQ) ：2025年12月19日公開 欧州委員会が公開しているの実装に関するFAQ CRAの実装・運用に関する参考資料として提供 (Link: Cyber Resilience Act implementation - Frequently asked questions) • Harmonized Standards(CRA整合規格) CRA 第27条1項にしたがって欧州委員会は整合規格の策定を欧州標準化機関(CEN/CENELEC,ETSI)に要請 2025年4月3日に正式に受理し、2027年12月11日までに整合規格を準備 Horizontal Standards（水平規格：製品カテゴリ非依存）とVertical Standards（垂直規格：製品カテゴリ 別）の２つのクラスに分けて策定 採択予定：Horizontal Standards：2026年8月,Vertical Standards：2026年10月 Horizontal (Source: Interview – convenor of CEN-CENELEC Joint TC 13 – Working Groups 6 and 9) • Commission guidance on the Cyber Resilience Act(CRA Guidance) ：2026年３月３日ドラフト公開 CRA 全体網羅ではなく特定の主要な規定に関し考え方や実務での実施方法などの明確化 (Link: Draft Commission guidance on the Cyber Resilience Act)

10. Draft Commission guidance on the Cyber Resilience Act 10

11. Draft Commission guidance on the Cyber Resilience Act(CRA Guidance (Draft))

    11 • 欧州委員会がCRA 第26条の定めに沿ってCRAガイダンス(コミュニケーション法令）発行に 向けてドラフトを公開 ・ Draft Commission guidance on the Cyber Resilience Act 意見公募中（欧州委員会への提出締め切り：3/31 → 4/13） OpenSSF Global Cyber Policy WG で取纏め：3/26 → 4/6( 現地時間)まで • 欧州委員会の公式ガイダンスであり、企業がCRAをどう解釈・適用すべきかを説明するの が目的。法的拘束力はないが、執行当局の共通解釈の基準になる • CRA 全体を網羅するものではなく、特定の主要な規定の背景にある考え方や、実務でどの ように実施され得るかに関し明確化するもの 例）CRAの適用範囲、サポート期間の概念、他のEU法との関係、実質的な変更 など

12. CRA Guidanceの目次 -1 12 章 項 タイトル 1 イントロダクション (Introduction)

    1.1 サイバーリジリエンス法 (The Cyber Resilience Act) 1.2 本ガイダンスの目的 (Purpose of the guidance) 2 適用範囲 (Scope) 2.1 上市 (Placing on the market) 2.2 HWとSW結合 (Combination of hardware and software forming a product) 2.3 ソースコード (Source code) 2.4 データ接続 (Data connection) 2.5 複雑なシステム (Complex systems) 2.6 既存製品 (Products designed before the CRA entered into application) 章 項 タイトル 3 フリーオープンソースソフトウェア (FOSS) 3.1 責任者の判断 (Determining if free and open-source software is under one’s responsibility) 3.2 上市の判断 (Determining if free and open-source software is placed on the EU market) 3.3 OSSスチュワード (Open-source software stewards) 3.4 コントリビューターとダウンストリームユース (Contributors and downstream uses) 3.5 シナリオ例 (Illustrative scenarios) 4 実質的変更 (Substantial modifications and spare parts) 4.1 物理修正 (Physical repairs) 4.2 スペアパーツ (Spare parts) 4.3 実質的変更SW アップデート (Software updates as substantial modifications)

13. CRA Guidanceの目次 -2 13 章 項 タイトル 4.4 大幅変更結果(Consequences of

    a substantial modification) 5 サポート期間 (Support period) 6 重要製品と最重要製品 (Important and critical products) 6.1 コア機能 (Core functionality) 6.2 適合性評価 (Conformity assessment for important and critical products) 6.3 適合性の推定に関する影響(Implications for presumption of conformity) 7 リスクアセスメントとリスクの扱い (Cybersecurity risk assessment and treatment of cybersecurity risk) 7.1 リスクの評価と扱い(On the evaluation and treatment of cybersecurity risks) 7.2 リスクベースの製品設計・開発・製造(On designing, developing and producing products in such a way that they ensure an appropriate level of cybersecurity based on the risks) 7.3 リスク評価とデューデリジェンス(Risk assessment and due diligence in relation to external dependencies and integrated components) 7.4 製品ファミリーに対するリスク評価および適合性文書の再利用(Re-use of risk assessments and conformity documentation for product families)

14. CRA Guidanceの目次 -3 14 章 項 タイトル 8 リモードデータプロセッシング(Remote data

    processing) 8.1 リモートデータ処理ソリューションと見なされる製品 (What is considered a remote data processing solution for a product with digital elements?) 8.2 リモートデータ処理ソリューションおよびサードパーティソリューションへの依存がもたらす実務的・技術的な影響 (Practical and technical implications of remote data processing solutions and reliance on third-party solutions) 8.3 リモートデータ処理ソリューションのユースケース (Use cases for remote data processing solutions) 9 補足 (Additional elements) 9.1 レポート義務(On reporting obligations) 9.2 脆弱性ハンドリング (On vulnerability handling) 9.3 他の法律との関係 (Interplay with other legislation)

15. 2.1 Placing on the market 15 • CRA Guidance ではブルーガイドの「上市(Placing

    on the market)」の概念がCRAで適用され ると明記されており、ブルーガイドの概念では、製品の種類ではなく個々の製品に対して 上市と判断される。 • つまり2027年12月11日よりも前に量産・販売開始した製品Aを2027年12月11日以降も販 売継続する場合、2027年12月11日以降に欧州市場で販売される製品ＡにはCRAが適用さ れる。※上市は製造日ではなく市場での販売日で判断 2027.12.11 製品A 販売開始 製品A 販売継続 CRA適用対象外 CRA適用対象

16. 2.1 Placing on the market（スタンドアロンSW特例） 16 • デジタル手段によって提供されるスタンドアロンのソフトウェア製品に限って、EU 市場 で初めて提供された時点で、同一のソフトウェア製品のほぼ無限のコピーを同時に市場に

    上市したものと解釈される • デジタル手段による提供とスタンドアロンソフトウェアという２つの条件が揃っている場 合に限られる • したがって、ソフトウェアが物理的手段（USBフラッシュなど）で提供される場合やスタ ンドアロンソフトウェアではない場合には特例に該当しない。 2027.12.11 スタンドアロンソフトX販売開始 スアンドアロンソフトX 販売継続 CRA適用対象外 この時点で無限のコピーを 同時に市場に上市したと解釈

17. 3. FOSS（オープンソースソフトウェア） 17 • FOSS そのものは非商用提供の場合のみCRA対象外 • 有償提供、メンテナンスなど他サービスでの収益化、 など実質的に対価を取っている場合はCRA対象 •

    例20： 商用OS製品を販売している法人が同社のOS製品 向けOSSライブラリを参考実装として無償公開 ⇒OSSスチュワード

18. 9.3 Interplay with other legislation（他の法規制との相互作用） 18 • 部品がRegulation(EU) 2019/2144 車両一般安全規則（General

    Safety Regulation: GSR）およ び規則 (EU) No 168/2013が対象とする車両に組み込むために 専ら設計・製造されている 場合に限り、当該部品は CRA の対象外と考えられる • たとえ車両向けに設計・製造されていても車両以外に組み込まれる可能性がある場合には CRA対象となる。例えばオンライン販売など自動車サプライチェーン外の顧客にも開かれ た流通チャネルを通じて提供する場合、その部品は CRA の適用範囲に含まれる。

19. 19 Thank you 19

20. Legal Notice Copyright © Open Source Security Foundation®, The Linux

    Foundation®, & their contributors. The Linux Foundation has registered trademarks and uses trademarks. All other trademarks are those of their respective owners. Per the OpenSSF Charter, this presentation is released under the Creative Commons Attribution 4.0 International License (CC-BY-4.0), available at <https://creativecommons.org/licenses/by/4.0/>. You are free to: • Share — copy and redistribute the material in any medium or format for any purpose, even commercially. • Adapt — remix, transform, and build upon the material for any purpose, even commercially. The licensor cannot revoke these freedoms as long as you follow the license terms: • Attribution — You must give appropriate credit , provide a link to the license, and indicate if changes were made . You may do so in any reasonable manner, but not in any way that suggests the licensor endorses you or your use. • No additional restrictions — You may not apply legal terms or technological measures that legally restrict others from doing anything the license permits. 20