欧州サイバーレジリエンス法（CRA）対応が必要な理由や得られる効果、対応を求められるデジタル製品とは？

EU市場へデジタル製品を流通させる場合、2024年12月10日に発効された「欧州サイバーレジリエンス法（CRA）」への対応が不可欠です。CRAは2027年12月11日から本格的に施行開始となりますが、どのような対応が必要なのでしょうか。このページでは、CRA対応が求められる理由や必要な施策について解説します。

CRA対応を求められるデジタル製品

EUのCRA（Cyber Resilience Act）に対応するためには、まずどういった製品が規制対象なのかを把握しましょう。

デジタル要素を含む製品は対応義務がある

CRAの規制対象は、「デジタル要素を含む製品（products with digital elements）」です。OSやアプリケーションなどの単体ソフトウェア、組み込みシステムのあるハードウェア、IoT、ネットワーク機器といった幅広いデジタル製品に対応義務が生じます。CRAの目的は、EU市場で流通するデジタル製品のサイバーセキュリティ強化です。そのため、ソフトウェアや通信機能を備えた製品が広く対象となります。

デジタル製品の4区分

上記の区分によって、リスクにもとづくセキュリティの「適切なレベル（appropriate level）」や、実施すべき適合性評価は異なります。

CRAに対応しなくていいデジタル製品

一部のデジタル製品は、CRAに対応する必要がありません。CRA第2条および前文12・18では、以下の製品の除外を定めています。

• 医療機器（「医療機器規則（EU 2017/745）」と「体外診断用医療機器規則（EU 2017/746）」の対象製品）
• 航空機関連機器（「民間航空機規則（EU 2018/1139）」の対象製品）
• 自動車関連機器（「自動車の型式承認規則（EU 2019/2144）」の対象製品）
• 国家安全保障や防衛を目的とした製品
• 機密情報を処理するために設計された製品
• SaaSなどの純粋なクラウドサービス（「NIS2指令（EU 2022/2555）」の対象サービス）
• 非商用目的のオープンソースソフトウェア（OSS）

他のEU法規の対象である分野やCRAに該当しないと個別に判断された製品は、CRAに対応する必要がありません。

CRA対応が必要な理由

CRAへの対応は単なる法規制の準拠にとどまらず、製品の安全性や信頼性を確保するうえでも重要な取り組みと言えます。ここでは、CRA対応が必要な具体的な理由を3つに分けて解説します。

サイバー攻撃の脅威が増しているため

そもそもEUでCRAが制定された理由は、甚大化するサイバー攻撃を防ぐためです。たとえば、サイバーセキュリティの調査機関Cybersecurity Venturesが発表した統計によれば、2031年には世界のランサムウェア被害総額は2,750億ドルに達すると見込まれています（※1）。CRAは製品の設計段階からのセキュリティ対策の組み込みや、脆弱性への対応やアップデート管理といった製品サイクル全体での対応を求める仕組みです。ゆえに、CRAに対応することで、年々増加するサイバー攻撃への対策強化も可能になります。

EU市場へ対象のデジタル製品を流通させるため

EU市場へ対象のデジタル製品を流通させるためには、CRA対応が不可欠です。CRAに適合していない対象製品をEU市場で販売した場合、市場監視当局によって是正措置や製品の販売停止といった対応を求められる可能性があります。さらに、CRAは罰金についても定めている点に注意しましょう。違反内容によっては、第64条にもとづき「最大1,500万ユーロ」または「前年度の全世界売上高2.5%」のどちらか高いほうの罰金が科されます。こうしたリスクを回避するためにも、CRAへの対応は必須となります。

国際的な競争力を高めるため

CRAへの対応は、国際的な競争力の維持・向上においても重要です。CRA未対応の製品はEU市場に参入できないことから、グローバルなサプライチェーンに採用されづらくなるおそれがあります。国連貿易開発会議（UNCTAD）の統計によれば、2021年時点で世界の輸入額の約15%をICT関連製品が占めていました（※2）。CRAの対象製品は国境を越えた取引が活発であり、国際的な競争力を高めるためにはCRA対応の重要性が増す可能性があります。

※1 参照: Cybersecurity Ventures「Global Ransomware Damage Costs Predicted To Exceed $275 Billion By 2031（外部サイト） 」
※2 参照: 国連貿易開発会議（UNCTAD）「Trade in ICT goods statistics: Impacts of the 2022 update to the Harmonized Commodity Description and Coding System（外部サイト）」

CRA対応によって得られる効果

CRAに対応することでEU市場に進出できるほか、さまざまな副次的な効果も期待できます。CRA対応によって期待できる3つの効果を紹介します。

信頼性の向上

CRAへの対応は、自社の信頼性向上につながります。CRAに対応するためには、付属書Iに定められた「必須セキュリティ要件」の準拠が必要です。必須セキュリティ要件には、設計段階からのセキュリティ対策の適合や脆弱性管理など、製品ライフサイクル全体を通じて守るべきルールが規定されています。自社製品のサイバーセキュリティ水準を高められるため、結果として顧客や取引先からの信頼性の向上が見込めます。

サイバー攻撃の被害抑制

CRAによってサイバーセキュリティが強化されれば、自社のデジタル製品がサイバー攻撃の被害に遭うリスク軽減にもつながります。近年は、IoT機器やサプライチェーンを標的とする攻撃が増加傾向にあります。CRAの要件に沿ってセキュリティ対策を強化することで、自社製品が攻撃の入口となる危険性を抑えられるでしょう。また、CRAは脆弱性の報告窓口の設置やインシデント対応体制の整備も求めており、万一の問題発生時も迅速に対応できます。

将来的な規制への柔軟な対応

2026年時点で「市場に流通するデジタル製品のサイバーセキュリティを包括的に義務化する規制」は、EUのCRAが先行しています。世界にはCRAのほか、米国のCMMC、日本のJC-STAR、英国のPSTIといったサイバーセキュリティ規制が存在します。しかし、主に防衛産業やIoT機器などの特定分野が対象であり、CRAのように広範囲のデジタル製品におよぶ規制ではありません。CRAへ準拠しておくことで、将来的に新たな規制が導入された際は既存の体制をベースにした柔軟かつすばやい対応が可能になるでしょう。

CRA対応に必要な施策

企業がCRA対応を進めるうえで必要な施策を解説します。

サイバーセキュリティ要件の対応

サイバーセキュリティ要件とは、製品の設計・開発・製造の段階からセキュリティを考慮するように細かな要求をまとめた要件です。CRAが準拠を求める「必須セキュリティ要件」の1つであり、付属書IパートIに具体的な内容が示されています。具体的には、既知の脆弱性への対応、セキュア・バイ・デフォルトな構成、データの保護、不要な攻撃面の削減、オプトアウトの設定といった項目です。

脆弱性ハンドリング要件の対応

脆弱性ハンドリング要件とは、必須セキュリティ要件の1つです。付属書IパートIIに詳細があり、製品の脆弱性を継続的に管理する体制を求めています。たとえば、SBOMを含む技術文書の作成、脆弱性の修正、ユーザーへの脆弱性情報の提供など、製品出荷後の対応が必要です。そのため、脆弱性に対処する体制としてPSIRTの整備も重要になります。

文書の作成

CRA対応の一環として、技術文書やEU適合宣言書（EU Declaration of Conformity）などの文書も作成します。技術文書は付属書VIIに沿って製品の設計情報やリスク評価などの内容をまとめます。一方、第28条が定めるEU適合宣言書とは、製品がCRAに適合していることを公式に宣言する文書です。また、ユーザー向け添付文書の作成も求められ、製品や製造者の情報をわかりやすく提供する必要があります。

適合性評価の実施

適合性評価とは、製品が必須セキュリティ要件を満たしているかを確認する手続きです。第32条で製品区分に応じた適合性評価の方法が、付属書VIIIに具体的な手順が記載されています。具体的には、もっともリスクが低いとされる一般製品は自己評価が可能です。重要製品クラスIは「整合規格を適用する」等の条件を満たした場合のみ、自己評価を行えます。一方、重要製品クラスIIとクリティカル製品は、第三者の認証機関による適合性評価を実施しなくてはいけません。

自社製品へのCEマーク貼付

CRAの適合性評価を完了した製品には、CEマークを貼り付けます。CEマークは製品がEUの関連法規に適合していることを示し、CRAの対象製品をEU市場で販売させるために不可欠です。CEマークの貼付に関するルールは、第30条に定められています。たとえば、「市場投入前に実施する」「視認性や判読性を保った方法で製品に表示する」といった規定があります。

CRA対応に役立つツールやサービス

CRAへの対応の負担軽減のためには、以下3つのツールやサービスが役立ちます。

SBOM管理ツール

SBOM（Software Bill of Materials）とは、ソフトウェアに含まれるコンポーネントおよび依存関係をまとめた文書です。CRAの脆弱性ハンドリング要件ではSBOMの作成を要求しており、SBOM管理ツールの導入がおすすめです。SBOM管理ツールを活用すれば、読み込んだソースファイルからソフトウェアの構成情報を自動的に収集し、効率的に依存関係や構成要素を可視化できます。手作業を大幅に削減できることから、情報の抜け漏れ防止にも効果的です。

脆弱性管理ツール

脆弱性管理ツールとは、脆弱性の検出やリスク評価、対応の優先度を分析するシステムです。また、ソフトウェアやOS、アプリケーションなど、公開された脆弱性情報の収集も可能です。CRAの対応には、製品の脆弱性を継続的に管理し、必要に応じてセキュリティアップデートを提供する体制が欠かせません。脆弱性管理ツールがあれば、スムーズな脆弱性の情報収集および対処に役立つでしょう。

セキュリティ法規対応支援サービス

セキュリティ法規対応支援サービスを利用すると、CRAの要求事項の整理、適合性評価の準備、文書作成を支援してもらえます。CRAは比較的新しい規制であるうえ、複雑な要求事項や適合手続きが存在します。セキュリティ対策のリソース不足にお悩みの場合、自社のみでの対応は難しいかもしれません。専門会社のサポートを受けることで、効率的かつ確実にCRA対応を進められます。

オージス総研のCRA対応支援

オージス総研は、CRAのセキュリティ法規対応支援サービスを提供しています。

組み込みシステムのCRA対応をサポート

オージス総研のセキュリティ法規対応支援では、組み込みシステムに必要なCRA対応のサポートが可能です。製品の設計時点でセキュリティ対策を取り入れる「セキュリティ・バイ・デザイン」に対応しており、CRAが製造会社に求める設計・開発段階からの必須セキュリティ要件の準拠を支援いたします。

CEマーク取得に役立つ「脅威分析（TVRA）」の実務支援

CRAの対象製品に貼り付ける「CEマーク」を継続的に取得するためには、脅威分析を含むリスクアセスメントが重要です。オージス総研は、脅威分析の一種である「TVRA（Threat Vulnerability and Risk Analysis）」にもとづき、資産抽出→脅威導出→リスク評価→対策検討の全プロセスの実務支援を提供しています。脅威分析の実施後に通常の開発工程へ進むため、CRAで準拠すべき要件を取りこぼす心配がありません。

セキュリティ研修にも対応

オージス総研はCRA対応の実務的な支援に加え、多様なセキュリティ研修サービスも提供しています。たとえば、CRA対応に向けた組み込みシステムの「開発担当者」と「脅威分析担当者」向けのセミナーに対応しています。受講者のニーズに研修内容を合わせられるため、基礎から実務的な研修まで対応可能です。

CRA対応には専門会社への相談を

CRAに対応するためには、デジタル製品の区分や必須セキュリティ要件の理解が求められます。さらに、実際に製品の技術仕様を適合させ、適合性評価をクリアする必要があります。EUの法規制やサイバーセキュリティの知識が重要になることから、CRA対応にお悩みであれば専門会社への相談を検討してみてはいかがでしょうか。

2026年4月22日公開
※この記事に掲載されている内容、および製品仕様、所属情報（会社名・部署名）は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。