CRA

EUは2024年、「Cyber Resilience Act（CRA：サイバー・レジリエンス法案、以下CRA）」を正式に採択しました。この法案は、ソフトウェアやインターネットに接続される製品に潜むサイバーリスクから、消費者や企業、社会インフラを守ることを目的としています。 近年、製品のデジタル化が急速に進む一方で、サイバーセキュリティへの対応が追いついていない現状があります。特に、サプライチェーンを通じた攻撃や、ネットワークに接続されたIoT機器を狙ったサイバー攻撃が増えており、個々の製品の脆弱性が社会全体にリスクを及ぼしかねない状況です。EUはこれに対し、「つながるすべての製品」に対するセキュリティ基準の導入が不可欠だと判断しました。 CRAでは、今後EU市場に流通するハードウェア・ソフトウェア製品に対して、セキュリティ対策の実装とリスク管理を義務づける方針が示されています。特に、外部ネットワークと通信可能な製品は優先的な対象とされており、その範囲は非常に広範です。たとえば、インターネットに接続されるスマート家電や通信機器はもちろんのこと、自動運転機能を備えた車両、工場の制御装置、産業用ロボット、プログラマブル・ロジック・コントローラ（PLC）、さらにはスマートトラクターや農業用ドローンなど、通信機能を持つあらゆる産業・農業機械が含まれる可能性があります。 EU市場に製品を流通している日本企業にとって、CRA（サイバー・レジリエンス法案）は無視できない新しいセキュリティ規制です。本記事では、CRAの概要と対応の進め方を分かりやすく解説いたします。   CRAとは？なぜ今、欧州が本気になっているのか EUは2024年12月、サイバーセキュリティをめぐる新たな法規制「CRA」を正式に発効しました。この法律の最大の特徴は、インターネットやその他のネットワークに接続されるすべての製品に対して、サイバーセキュリティ要件の実装を義務付けている点にあります。近年、製品のデジタル化が進み、従来のIT機器に限らず、自動車、産業機器、医療機器、家電製品までもがネットワークに接続されるようになりました。これにより、製品そのものの脆弱性が個人や企業だけでなく、社会インフラ全体に対するリスクに直結するケースが発生しています。 EUがCRAを制定した背景には、こうした「つながる製品」の増加に伴うリスクの実態があります。従来の規制では対応しきれなかった領域までを含め、製品の開発段階からセキュリティ対策を組み込む「Secure by Design」の思想を義務化することで、EU域内のサイバー耐性（Cyber Resilience）を高めようというのがこの法律の狙いです。実際、CRAは以下のような課題に対応するために導入されています。 ソフトウェアやファームウェアの脆弱性を悪用したリモート攻撃の増加 サプライチェーンを通じた間接的な侵入リスクの高まり 脆弱性の発見から対策・報告までの対応スピードの遅れ 製品単位でのセキュリティ対策に関する、明確かつ義務的な規定がEU法に存在しなかったこと CRAは、これらの課題を解決するために、EU全域で統一されたセキュリティ要件と適合評価の枠組みを定め、製品設計から運用・更新・廃棄までのライフサイクル全体を通じたサイバーセキュリティ対応を企業に義務づけています。 CRAへの対応を進めるにあたって最も重要なのは、まず「自社の製品がCRAの対象に該当するかどうか」、そして「どの製品クラスに分類され、どの評価方式が適用されるか」を正しく理解することです。この流れに沿って、製品の対象・分類・評価方法、そして企業に求められる対応項目について順を追って解説します。   CRA対応に向けて企業が押さえるべき基本要件 CRAでは、EU市場で販売されるすべての「デジタル要素を含む製品」に対して、製品ライフサイクル全体を通じたサイバーセキュリティ体制の構築が義務づけられています。単なるチェックリスト的な対応ではなく、持続的なセキュリティ管理が求められるのが特徴です。 まず、製品は設計段階からリスクを考慮し、セキュリティを組み込んだ構造を持つ必要があります（いわゆる「Secure by Design」）。これにより、後付け対応ではなく、最初からサイバーセキュリティを考慮した開発が求められます。また、製品に脆弱性が発見された場合には、EUのサイバーセキュリティ機関ENISAに対して、24時間以内の報告義務が課されます。これは、迅速な情報共有とリスクの最小化を図るためのものです。 さらに、使用しているソフトウェア構成要素を明確にしたSBOM（Software […]