欧州サイバーレジリエンス法(CRA)の必須セキュリティ要件とは?各製品区分の適合性評価や必要な対応を解説
デジタル製品をEUへ展開したい企業は、2024年12月10日に発効した「欧州サイバーレジリエンス法(CRA)」への対応が必要です。CRAに対応するためには、必須セキュリティ要件を満たさなくてはいけません。このページでは、CRAの必須セキュリティ要件について詳しく解説します。
【前提】CRAにおける製品のリスク区分
EUが定める「CRA(Cyber Resilience Act)」はIoTや組み込みシステムといったあらゆるデジタル要素を持つ製品が対象であり、以下4つのリスク区分があります。
一般製品(Default category of products)
一般製品とは、他の区分に該当しない製品群です。CRAの条文付属書III(ANNEX III)と付属書IVで指定されない広範なデジタル製品が対象です。CRAの対象となるデジタル製品のうち約90%が該当すると想定されています。たとえば、スマート家電やBluetoothスピーカー、メモリチップが挙げられます。
重要製品・クラスI(Important products Class I)
重要製品・クラスIとは、付属書IIIで指定されるデジタル製品群です。一般製品と比較して、サイバーセキュリティのリスクが高いと考えられる製品が当てはまります。OS、パスワードマネージャー、VPN製品、ネットワーク管理システムなど、主に通信の安全性や認証に関わる製品が条文に列記されています。
重要製品・クラスII(Important products Class II)
重要製品・クラスIIとは、クラスIよりもセキュリティ上の重要度が高いデジタル製品群です。付属書IIIで指定されており、情報システムやネットワーク全体のセキュリティを支える製品が指定されています。具体的には、ファイアウォールやIDS/IPS、耐タンパ性のあるマイクロプロセッサおよびマイクロコントローラなどの製品です。
クリティカル製品(Critical products)
クリティカル製品とは、CRAの付属書IVに記載されたデジタル製品群です。主な製品は、電力等のスマートメーターゲートウェイ、高度なセキュリティ用途の暗号処理デバイスが該当します。公共インフラや高度なセキュリティ対策が必要な領域に関わり、CRAの中でもっとも重要度が高い区分です。
まったなし!EU CRA向けセキュリティ対策【無料 / オンデマンド配信】
組み込み製品におけるセキュリティ対応の進め方を動画で徹底解説。
CRAの必須セキュリティ要件は2種類
CRAのすべての対象製品は、付属書Iの「必須セキュリティ要件」を遵守する必要があります。必須セキュリティ要件は、「サイバーセキュリティ要件」と「脆弱性ハンドリング要件」の2つで構成されています。
サイバーセキュリティ要件
付属書Iのパート1の「サイバーセキュリティ要件(Cybersecurity requirements)」は、製品の設計段階から組み込むべきセキュリティ対策の項目を記しています。
- リスクに応じたレベルのセキュリティを確保するように設計・開発・製造する
- CRA第13条第2項のリスクアセスメントにもとづき、以下の項目を遵守する
- 悪用可能な既知の脆弱性がない状態で、市場に投入する
- セキュア・バイ・デフォルトの状態で提供し、設定のリセット機能を持たせる
- アップデートによる脆弱性対応の保証。セキュリティアップデートのデフォルト設定やオプトアウト、ユーザーへの更新通知を含む
- 不正アクセスからの保護。不正アクセスの可能性があれば、管理者等へ通知・報告する
- 暗号化などの技術により、データの機密性を保護する
- データの完全性を守り、改ざんから保護する。データに破損があれば、管理者等へ通知・報告する
- データの最小化。必要最小限のデータのみ扱う
- サービス可用性の保護。DoS攻撃に対する対策を含む
- ネットワークや周辺機器の可用性に与える影響の最小化
- 外部インターフェースを含め、攻撃対象になり得る部分を制限して設計・開発・製造する
- インシデントの影響を軽減するように設計・開発・製造する
- 関連するアクティビティを記録・監視して、セキュリティ関連情報をユーザーへ提供する。ユーザーにオプトアウト設定も提供する
- ユーザーがすべてのデータを簡単に完全削除できるようにする。加えて、安全にデータ移行できるようにする
脆弱性ハンドリング要件
CRA付属書Iのパート2の「脆弱性ハンドリング要件(Vulnerability handling requirements)」は、デジタル製品の市場投入後の脆弱性対応について定めています。
- 製品に含まれる脆弱性とコンポーネントの文書化。製品のトップレベルの依存関係を含む「ソフトウェア部品表(SBOM)」を作成する
- 製品の脆弱性に遅滞なく対処する。技術的に可能な場合、セキュリティアップデートは機能更新と分けて提供する
- 製品のセキュリティのテストとレビューは、効率的・定期的に実施する
- セキュリティアップデートの提供後、修正した脆弱性の関連情報を公開する。脆弱性の説明、対象製品の識別情報などの情報を提供する
- 脆弱性開示のポリシーを策定・実行する
- 製品と第三者コンポーネントについて、潜在的な脆弱性の情報共有を行う。脆弱性を報告するための連絡先を提供する
- 製品のアップデートは安全かつ自動で適用される仕組みで提供し、脆弱性を適時に修正・軽減する。
- 特定のセキュリティ上の問題に対処する場合、遅滞なくセキュリティアップデートを提供する。特注製品について合意がある場合をのぞき、無償で行う。ユーザーが取るべき対応を示す情報も配布する
CRAの必須セキュリティ要件を満たす証明文書
デジタル製品がCRAの必須セキュリティ要件を満たすと証明するためには、関連する文書の作成が必要です。
作成を義務付けられている文書
| 文書の種類 | 文書の内容 | 根拠条文 |
|---|---|---|
| セキュリティリスクの評価文書 | 製品の想定用途や使用環境を踏まえたリスク分析を行い、必須セキュリティ要件をどう適用するのかを示す | 第13条第3項 |
| 技術文書 | 第31条と付属書VIIに沿って、必須セキュリティ要件を満たす技術情報をまとめる | 第13条第12項、第31条、付属書VII |
| EU適合宣言書 | 付属書Vに沿って、EU法規制や技術要件を満たすと宣言する。製品へのCEマーキングが可能になる | 第13条第12項、第28条(Article 28)、付属書V |
作成した文書の保存期間
CRAは第13条(Article 13)第13項にて、技術文書とEU適合宣言書の保存期間を定めています。「製品の市場投入後10年間」または「サポート期間中」のうち、長いほうの期間中は保管が必要です。一方、セキュリティリスクの評価文書の保管期間は明記されていませんが、第13条第3項にて少なくともサポート期間中の文書更新が求められています。
CRAの必須セキュリティ要件の適合性評価
CRAのセキュリティ必須要件を満たしているかを示すためには、第32条にもとづく適合性評価の実施も求められます。適合性評価の方法は製品のリスク区分によって異なります。
一般製品(Default category of products)の評価方法
一般製品は、第32条第1項で定められた基本ルールに沿って適合性評価を進めます。原則として、付属書VIIIの「モジュールA」による自己適合宣言を選択できます。デジタル製品の製造者が自ら適合性を評価できるため、第三者機関への依頼は必須ではありません。ただし、自己評価であっても、リスク分析や技術文書の整備には高度な専門知識が求められます。社内での自己評価に不安がある場合は、第三者機関への依頼を検討しましょう。
重要製品・クラスI(Important products Class I)の評価方法
重要製品・クラスIの適合性評価は、第32条第2項に従います。CRAへの適合が推定される「整合規格」等を適用して必須セキュリティ要件を満たしている場合、モジュールAによる自己評価が可能です。該当しない場合、付属書VIIIに規定される「モジュールB+C」もしくは「モジュールH」による第三者評価を実施します。
重要製品・クラスII(Important products Class II)の評価方法
重要製品・クラスIIは第32条第3項が適用され、自己評価による適合性評価は認められていません。整合規格等の適用の有無にかかわらず、第三者機関による手続きが必須です。具体的には、付属書VIIIにもとづいて「モジュールB+C」もしくは「モジュールH」を選択します。
クリティカル製品(Critical products)の評価方法
クリティカル製品の適合性評価は第32条第4項に規定されており、第三者機関による評価が必要です。「EUサイバーセキュリティ認証制度(EUCC)」を利用できる場合、制度を通じて必須セキュリティ要件への適合を示せます。EUCCを利用できない場合、付属書VIII「モジュールB+C」もしくは「モジュールH」で適合性評価を行います。
CRAの必須セキュリティ要件を満たすための対応
CRAの必須セキュリティ要件を満たせない場合、EUで製品を販売できません。要件を満たすためには、次の取り組みを進めましょう。
区分ごとの適合性評価を確認する
自社のデジタル製品の区分を確認して、具体的な適合性評価の方法を理解しておきましょう。CRAは共通の必須セキュリティ要件を定めていますが、単に準拠するだけでは不充分です。リスク区分に応じた適合性評価をクリアして初めて、必須セキュリティ要件を満たすと認められます。区分や適合性評価を間違えば必須セキュリティ要件を満たせず、EU市場への製品投入に遅れが生じかねません。
SBOMを作成・管理する
必須セキュリティ要件のうち、脆弱性ハンドリング要件はSBOMの作成を要求しています。CRAに適合するためだけでなく、SBOMがあれば万一のインシデント発生時にもすばやい対応が可能です。SBOMには、ソフトウェアのコンポーネントや依存関係が一覧化されています。そのため、脆弱性やサイバー攻撃被害が生じても、原因究明および影響範囲の特定を迅速に行えます。
ツールを活用する
必要に応じて、CRAに役立つツールの活用も検討しましょう。たとえば、SBOM管理ツールはソフトウェアの構成情報を自動的に収集し、SBOM作成の効率化が可能です。また、脆弱性管理ツールもCRAの対応業務に適しています。脆弱性の検出やリスク評価、優先順位付けを行えるほか、公開された脆弱性情報の収集に特化したソリューションもあります。適切なツールを導入することで、CRA適合における負担を軽減できるでしょう。
セキュリティ法規対応支援を活用する
CRAに対応している「セキュリティ法規対応支援」の活用もおすすめです。適合性の自己評価が可能な一般製品であっても、サイバーセキュリティの専門部署がない場合は自社のみでの対応が難しい場合もあるでしょう。そこで、専門的にサポートできる会社に依頼することで、スムーズにCRAの必須セキュリティ要件を満たせます。たとえば、オージス総研はCRAに対応したセキュリティ法規対応支援を提供しています。
まったなし!EU CRA向けセキュリティ対策【無料 / オンデマンド配信】
組み込み製品におけるセキュリティ対応の進め方を動画で徹底解説。
CRAの必須セキュリティ要件を満たして欧州市場へ事業展開
CRAの必須セキュリティ要件は全リスク区分で共通しており、詳細な項目への適合が求められます。必須セキュリティ要件を満たす証明として、文書作成と適合性評価の実施も必要です。今後も欧州市場に事業を展開させるためには、CRAの完全施行に向けて必要な手続きを進めましょう。
2026年4月22日公開
※この記事に掲載されている内容、および製品仕様、所属情報(会社名・部署名)は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。
関連サービス
-
セキュリティソリューション
組み込み機器、制御システム、IoTデバイスを対象とした、お客様の課題に応じたセキュリティソリューションをご提案します。
-
制御システムセキュリティリスク分析
大切な制御システムおよび工場を守るためには、セキュリティリスク分析をする必要があります。詳細版と簡易版のセキュリティリスク分析サービスを用意しています。
-
【IT研修・ラーニング】つながる組み込み機器のセキュリティ研修
近年、これまで単独で動いていたさまざまな組み込み機器がネットワークにつながり、セキュリティに真剣に取り組まなければなりません。この研修では、つながる組み込み機器のセキュリティ上の課題や対策を、具体的にわかりやすくお伝えします。
関連記事一覧
- 欧州サイバーレジリエンス法(CRA)は企業にどう影響する? 対象企業に必要な取り組みや課題を解説
- 欧州サイバーレジリエンス法(CRA)の認証方法と対策を解説
- 欧州サイバーレジリエンス法(CRA)対応が必要な理由や得られる効果、対応を求められるデジタル製品とは?
- 【3分でわかる】欧州サイバーレジリエンス法(CRA)のすべて
- 【初学者向け】研修で得られるものとは【セキュリティ】
- Black Hat発表から学ぶ!フィッシング詐欺とアカウント復旧の新たな課題
- MBSEとは?ドキュメントベースの開発の違いやメリット、期待される効果について解説
- 工場の制御システムを守るためのセキュリティ対策ガイド
- 【脅威分析・TVRA】効果的なセキュリティリスク評価のステップ
- IoTセキュリティガイドラインとは?目的や概略、推奨されるセキュリティ対策を解説
- セキュリティ要件適合評価及びラベリング制度(JC-STAR)とは?概要や評価基準を解説
- 製造業がMBSEを導入する前に知るべき課題と対策
- 複雑化する開発にMBSEを。いまこそ導入すべき3つの理由
- TinyMLとは?基本概念や実装方法を解説
- エッジAIとTinyMLが切り開く可能性
- 時系列分析について実際のデータを例にモデルや活用事例をご紹介
- エッジAIとは?活用事例や導入方法、メリット・デメリットを解説
- IoTのセキュリティ対策とは?3つのセキュリティリスクとその対応策
