CRA法とは?製造業者が知っておくべき新たなセキュリティ義務と対応ポイント
アウトクリプト、インド向けV2Xセキュリティ認証システムを提供開始 グローバル展開をさらに加速
2025年3月24日
EUは2024年、「Cyber Resilience Act(CRA:サイバー・レジリエンス法案、以下CRA)」を正式に採択しました。この法案は、ソフトウェアやインターネットに接続される製品に潜むサイバーリスクから、消費者や企業、社会インフラを守ることを目的としています。
近年、製品のデジタル化が急速に進む一方で、サイバーセキュリティへの対応が追いついていない現状があります。特に、サプライチェーンを通じた攻撃や、ネットワークに接続されたIoT機器を狙ったサイバー攻撃が増えており、個々の製品の脆弱性が社会全体にリスクを及ぼしかねない状況です。EUはこれに対し、「つながるすべての製品」に対するセキュリティ基準の導入が不可欠だと判断しました。
CRAでは、今後EU市場に流通するハードウェア・ソフトウェア製品に対して、セキュリティ対策の実装とリスク管理を義務づける方針が示されています。特に、外部ネットワークと通信可能な製品は優先的な対象とされており、その範囲は非常に広範です。たとえば、インターネットに接続されるスマート家電や通信機器はもちろんのこと、自動運転機能を備えた車両、工場の制御装置、産業用ロボット、プログラマブル・ロジック・コントローラ(PLC)、さらにはスマートトラクターや農業用ドローンなど、通信機能を持つあらゆる産業・農業機械が含まれる可能性があります。
EU市場に製品を流通している日本企業にとって、CRA(サイバー・レジリエンス法案)は無視できない新しいセキュリティ規制です。本記事では、CRAの概要と対応の進め方を分かりやすく解説いたします。
CRAとは?なぜ今、欧州が本気になっているのか
EUは2024年12月、サイバーセキュリティをめぐる新たな法規制「CRA」を正式に発効しました。この法律の最大の特徴は、インターネットやその他のネットワークに接続されるすべての製品に対して、サイバーセキュリティ要件の実装を義務付けている点にあります。近年、製品のデジタル化が進み、従来のIT機器に限らず、自動車、産業機器、医療機器、家電製品までもがネットワークに接続されるようになりました。これにより、製品そのものの脆弱性が個人や企業だけでなく、社会インフラ全体に対するリスクに直結するケースが発生しています。
EUがCRAを制定した背景には、こうした「つながる製品」の増加に伴うリスクの実態があります。従来の規制では対応しきれなかった領域までを含め、製品の開発段階からセキュリティ対策を組み込む「Secure by Design」の思想を義務化することで、EU域内のサイバー耐性(Cyber Resilience)を高めようというのがこの法律の狙いです。実際、CRAは以下のような課題に対応するために導入されています。
- ソフトウェアやファームウェアの脆弱性を悪用したリモート攻撃の増加
- サプライチェーンを通じた間接的な侵入リスクの高まり
- 脆弱性の発見から対策・報告までの対応スピードの遅れ
- 製品単位でのセキュリティ対策に関する、明確かつ義務的な規定がEU法に存在しなかったこと
CRAは、これらの課題を解決するために、EU全域で統一されたセキュリティ要件と適合評価の枠組みを定め、製品設計から運用・更新・廃棄までのライフサイクル全体を通じたサイバーセキュリティ対応を企業に義務づけています。
CRAへの対応を進めるにあたって最も重要なのは、まず「自社の製品がCRAの対象に該当するかどうか」、そして「どの製品クラスに分類され、どの評価方式が適用されるか」を正しく理解することです。この流れに沿って、製品の対象・分類・評価方法、そして企業に求められる対応項目について順を追って解説します。
CRA対応に向けて企業が押さえるべき基本要件
CRAでは、EU市場で販売されるすべての「デジタル要素を含む製品」に対して、製品ライフサイクル全体を通じたサイバーセキュリティ体制の構築が義務づけられています。単なるチェックリスト的な対応ではなく、持続的なセキュリティ管理が求められるのが特徴です。
まず、製品は設計段階からリスクを考慮し、セキュリティを組み込んだ構造を持つ必要があります(いわゆる「Secure by Design」)。これにより、後付け対応ではなく、最初からサイバーセキュリティを考慮した開発が求められます。また、製品に脆弱性が発見された場合には、EUのサイバーセキュリティ機関ENISAに対して、24時間以内の報告義務が課されます。これは、迅速な情報共有とリスクの最小化を図るためのものです。
さらに、使用しているソフトウェア構成要素を明確にしたSBOM(Software Bill of Materials)の作成と継続的な更新・管理も求められます。これは、第三者コンポーネントの脆弱性が発覚した際にも速やかな対応を可能にするためです。製品リリース後も、最低でも5年間にわたってセキュリティパッチ等のアップデートを無償で提供することが義務づけられており、長期的なサポート体制が必要になります。加えて、CRAへの適合を証明するための技術文書や評価資料は、販売後10年間にわたって保管する必要があります。これは市場監視機関による確認に備えるためです。
そして最終的に、これらの要件を満たした製品のみが、EU市場での流通に必要な「CEマーキング」を取得できる仕組みとなっています。
どんな製品がCRAの対象になるのか
CRA(Cyber Resilience Act)は、EU市場に流通する「デジタル要素を含む製品(product with digital elements)」を幅広く対象としています。ここでいう「デジタル要素」とは、ソフトウェア、ファームウェア、ネットワーク接続機能などを指し、IT機器に限らず、製造業、モビリティ、農業機械などの産業分野製品も含まれます。たとえば、ハードウェア中心に構成されている製品であっても、その中にアップデート可能なファームウェアや外部との通信機能が含まれていれば、CRAの適用対象となります。つまり、製品単位ではなく、その内部に含まれるデジタル機能の有無がポイントです。
一方で、CRAには明確な適用除外規定も設けられており、以下のような製品については対象外とされています。
- 商用目的でないオープンソースソフトウェア
コミュニティ開発で商用目的でない場合、CRAの義務から除外されます。 - 航空宇宙・防衛分野の製品
これらは既に別のEU法規制により管理されているため、CRAでは扱われません。 - 医療機器や自動車など、個別規制が存在する分野
たとえば、医療機器はMDR(Medical Device Regulation)、自動車はUN-R155が適用されており、CRAの重複規制は避けられています。
CRAでは、既存のEU法でセキュリティ要件が網羅されている製品(例:自動車、医療機器等)は対象外とされています。ただし、そうした製品の一部に含まれるソフトウェアや通信モジュールなど、個別に流通し得る構成要素については、CRAの適用を受ける可能性があります。これは、CRAの定義上「単体で市場に供給されるデジタル部品」も明確に対象とされているためです(Article 3(1), Recital 9 参照)。CRAではこのように、「何が製品として対象か」だけでなく、「その構成要素単位でのリスク評価」が求められている点が大きな特徴です。
製品分類と適合評価の仕組み
これらのセキュリティ要件をどのような方法で満たしているかを評価するために、CRAでは製品のリスクレベルに応じた「適合性評価」の仕組みが定められています。すべての製品が同じ基準で審査されるわけではなく、リスクレベルに応じて3つのクラスに分類され、それぞれ異なる評価プロセスが適用されます。つまり、自社の製品がどのクラスに該当するのかを正しく判断することが、CRA対応の第一歩と言えるでしょう。
◼ 製品分類(リスクレベル別)
| 分類 | リスクレベル | 主な例 | 適合評価方式 |
| 一般製品 | 低リスク | スマートフォンみたいな一般的な家電製品 | 自己適合宣言(Self-assessment) |
| Class I | 中リスク | VPNアプリ、IoTゲートウェイなど | 第三者による技術文書レビュー |
| Class II | 高リスク | OS、ファイアウォール、認証システムなど | 認証機関(Notified Body)による正式な適合評価 |
Class I / II に分類される製品では、Notified Body(認証機関)または独立評価機関による審査が必要になります。開発リードタイムや費用への影響も大きくなるため、自社製品のクラスを早めに把握することが重要です。
◼ 「Class I」「Class II」に該当する製品の具体例(Annex IIIより抜粋)
Class I 製品例(Annex III Part A)
- デジタルID管理ソフトウェア(例:パスワードマネージャー)
- ネットワークトラフィック解析ソフト
- 通信ログ保存システム(SIEM等)
- IoTゲートウェイ、車載インフォテインメント機器
Class II 製品例(Annex III Part B)
- オペレーティングシステム(Windows、Linux等)
- 仮想化ソフトウェア、ハイパーバイザー
- ネットワークファイアウォール
- 認証局(CA)や暗号鍵管理システム
これらの分類は機能・通信性・セキュリティ影響度などをもとに決定され、企業が独自に判断するのではなく、Annex IIIに基づいて評価されます。
CRAへの対応は製造業者にとって負担が大きいため、早期からの準備が必要
CRAに違反した場合、最大で全世界売上高の2.5%または1,500万ユーロのいずれか高い方が科される可能性があると規定されています(Article 64)。 対象製品がEU市場で販売できなくなるリスクと併せて、企業経営に直結するレベルの影響が想定されるため、早期の体制整備が求められます。一方で、CRAへの対応は単なる規制対応にとどまらず、製品の信頼性向上や欧州市場での競争力強化にもつながります。
こうした複雑かつ高度なセキュリティ要件に対しては、自社だけで全てを内製対応するのは現実的に難しいケースも少なくありません。AutoCryptでは、製品の設計段階からのリスク評価、SBOM管理、脆弱性テスト、脆弱性対応体制の構築など、CRA準拠に必要な各種セキュリティ対応をサポートしています。特に車載・産業機器向けのサイバーセキュリティに強みを持つ当社のノウハウをぜひご活用ください。
参照先:欧州サイバーレジリエンス法
