CRA

CRA製品分類の重要性 2024年に正式採択されたサイバーレジリエンス法（Cyber Resilience Act：CRA）は、ネットワーク接続機能を持つハードウェア・ソフトウェア製品に対して、設計・運用・更新・廃棄のすべての段階でサイバーセキュリティ要件の実装を義務づけるEUの新しい規制です。前回（CRA法とは？知っておくべき新たなセキュリティ義務と対応ポイント）の記事では、CRAの背景、対象となる製品の概要、そしてなぜ今、欧州が本気でセキュリティ強化に乗り出したのかを解説しました。この記事から読み始める方にとっても問題ありません。今回のテーマは、CRAの全体像の中でも「製品分類とそれに応じた対応策」にフォーカスを当てた実務的なガイドです。 CRAでは、すべての製品をそのサイバーリスクのレベルに応じてクラスを分けて、それぞれに異なる評価方式とセキュリティ要件が求められます。特に「自社製品がどのクラスに該当するのか」を理解することは、CRA対応の第一歩です。本記事では、以下の3点を軸に、法令に基づく実践的な視点で解説します。 CRAにおける製品クラスの違いと分類方法 各クラスごとに求められる具体的なセキュリティ対策 適合性評価の進め方と準備のポイント CRA対応は、単なる法令遵守にとどまらず、製品価値の向上と市場競争力を強化するチャンスでもあります。CRA対応を進めるうえで避けて通れない「製品分類」と「クラスごとの対応要件」について、実務に役立つ視点で解説していきます。   CRAにおける製品分類 サイバーレジリエンス法では、すべての製品が一律に同じセキュリティ対策を求められるわけではありません。製品の特性やリスクの程度に応じて、求められる対応や評価方法が異なります。その判断の基準となるのが、製品の「分類」です。CRAでは、対象製品を大きく以下の4カテゴリに分類しています。 一般製品（デフォルトカテゴリ）：特に高いリスクを持たない製品 重要製品（Class I）：中リスクを持つ製品。（Annex III） 重要製品（Class II）：高リスクを持つ製品。（Annex III） クリティカル製品：社会インフラ・国家安全に関わる製品（Annex IV） この分類によって、適合性評価においてどのような対応が求められるか、どのモジュールを使うべきかが決定されます。たとえば、Class IIやクリティカル製品では、EU認定のNotified Body（認証機関）による正式な評価が必要となるなど、手続きの負荷も大きく変わります。この分類により、リスクが高い製品ほど、より高度なセキュリティ対策と厳格な評価プロセスが必要となります。それぞれに応じた適合性評価とセキュリティ要件が定められています。以下では、それぞれのカテゴリに属する製品の特徴と、代表的な例を紹介します。 ■ 一般製品（デフォルトカテゴリ） […]

EUは2024年、「Cyber Resilience Act（CRA：サイバー・レジリエンス法案、以下CRA）」を正式に採択しました。この法案は、ソフトウェアやインターネットに接続される製品に潜むサイバーリスクから、消費者や企業、社会インフラを守ることを目的としています。 近年、製品のデジタル化が急速に進む一方で、サイバーセキュリティへの対応が追いついていない現状があります。特に、サプライチェーンを通じた攻撃や、ネットワークに接続されたIoT機器を狙ったサイバー攻撃が増えており、個々の製品の脆弱性が社会全体にリスクを及ぼしかねない状況です。EUはこれに対し、「つながるすべての製品」に対するセキュリティ基準の導入が不可欠だと判断しました。 CRAでは、今後EU市場に流通するハードウェア・ソフトウェア製品に対して、セキュリティ対策の実装とリスク管理を義務づける方針が示されています。特に、外部ネットワークと通信可能な製品は優先的な対象とされており、その範囲は非常に広範です。たとえば、インターネットに接続されるスマート家電や通信機器はもちろんのこと、自動運転機能を備えた車両、工場の制御装置、産業用ロボット、プログラマブル・ロジック・コントローラ（PLC）、さらにはスマートトラクターや農業用ドローンなど、通信機能を持つあらゆる産業・農業機械が含まれる可能性があります。 EU市場に製品を流通している日本企業にとって、CRA（サイバー・レジリエンス法案）は無視できない新しいセキュリティ規制です。本記事では、CRAの概要と対応の進め方を分かりやすく解説いたします。   CRAとは？なぜ今、欧州が本気になっているのか EUは2024年12月、サイバーセキュリティをめぐる新たな法規制「CRA」を正式に発効しました。この法律の最大の特徴は、インターネットやその他のネットワークに接続されるすべての製品に対して、サイバーセキュリティ要件の実装を義務付けている点にあります。近年、製品のデジタル化が進み、従来のIT機器に限らず、自動車、産業機器、医療機器、家電製品までもがネットワークに接続されるようになりました。これにより、製品そのものの脆弱性が個人や企業だけでなく、社会インフラ全体に対するリスクに直結するケースが発生しています。 EUがCRAを制定した背景には、こうした「つながる製品」の増加に伴うリスクの実態があります。従来の規制では対応しきれなかった領域までを含め、製品の開発段階からセキュリティ対策を組み込む「Secure by Design」の思想を義務化することで、EU域内のサイバー耐性（Cyber Resilience）を高めようというのがこの法律の狙いです。実際、CRAは以下のような課題に対応するために導入されています。 ソフトウェアやファームウェアの脆弱性を悪用したリモート攻撃の増加 サプライチェーンを通じた間接的な侵入リスクの高まり 脆弱性の発見から対策・報告までの対応スピードの遅れ 製品単位でのセキュリティ対策に関する、明確かつ義務的な規定がEU法に存在しなかったこと CRAは、これらの課題を解決するために、EU全域で統一されたセキュリティ要件と適合評価の枠組みを定め、製品設計から運用・更新・廃棄までのライフサイクル全体を通じたサイバーセキュリティ対応を企業に義務づけています。 CRAへの対応を進めるにあたって最も重要なのは、まず「自社の製品がCRAの対象に該当するかどうか」、そして「どの製品クラスに分類され、どの評価方式が適用されるか」を正しく理解することです。この流れに沿って、製品の対象・分類・評価方法、そして企業に求められる対応項目について順を追って解説します。   CRA対応に向けて企業が押さえるべき基本要件 CRAでは、EU市場で販売されるすべての「デジタル要素を含む製品」に対して、製品ライフサイクル全体を通じたサイバーセキュリティ体制の構築が義務づけられています。単なるチェックリスト的な対応ではなく、持続的なセキュリティ管理が求められるのが特徴です。 まず、製品は設計段階からリスクを考慮し、セキュリティを組み込んだ構造を持つ必要があります（いわゆる「Secure by Design」）。これにより、後付け対応ではなく、最初からサイバーセキュリティを考慮した開発が求められます。また、製品に脆弱性が発見された場合には、EUのサイバーセキュリティ機関ENISAに対して、24時間以内の報告義務が課されます。これは、迅速な情報共有とリスクの最小化を図るためのものです。 さらに、使用しているソフトウェア構成要素を明確にしたSBOM（Software […]