欧州サイバーレジリエンス法(CRA)の認証方法と対策を解説
EU市場でデジタル製品やサービスを展開する企業にとって、欧州サイバーレジリエンス法(CRA)は避けて通れません。対象製品やソリューション、事業者は一定のセキュリティ要件への適合と適切な認証対応を実施する必要があります。
しかし、「どのような認証手続きが必要なのか」「自社は何から対策を講じるべきか」といった点を十分に理解できていない担当者も少なくありません。要件を正確に把握せずに対応を進めると、遅れや法的リスクにつながる可能性があります。
本記事では、CRAの概要を整理したうえで、認証の方法と具体的な対策の進め方をわかりやすく解説します。
CRA(欧州サイバーレジリエンス法)とは
欧州サイバーレジリエンス法(CRA:Cyber Resilience Act)は、EU市場に投入されるデジタル要素を備えた製品(PDE:Products with Digital Elements)に対し、ライフサイクル全体を通じた共通のサイバーセキュリティ基準を義務付ける欧州連合規則です。
2024年12月10日に発効された当規則は、主要な規定から段階的に適用されており、2027年12月11日から全面適用となります。
この法律が誕生した背景には、ネットワークに接続されるIoTデバイスの急増とそれに伴うサイバー攻撃の激化という深刻な現状があります。多くの製品が設計段階でのセキュリティ考慮が不十分なまま市場に供給され、サプライチェーン全体の脆弱性となっている点が課題視されてきました。
CRAは、こうした状況を改善し、消費者が安心してデジタル製品を使用できる環境を整える目的で制定されました。
対象となるPDEには、ハードウェアとソフトウェアの両方が含まれます。PC、スマートフォン、センサー、スマート家電などの消費者向け製品から、工場向け制御システム、産業用ロボットなどのBtoB向け製品まで幅広く網羅しています。
一方で、自動車や医療機器などの他の法律で既に規制されている分野や特定の性質を持つ製品については適用除外(対象外)とされています。
EU市場で製品を販売するメーカーはもちろん、グローバルなサプライチェーンの一部としてソフトウェア部品を提供している企業は、CRA基準への準拠が必要です。
適合性が証明できない製品は、EU市場への投入が制限されるだけでなく、違反した場合には全世界の年間売上高の最大2.5%という制裁金が課される可能性があります。
まったなし!EU CRA向けセキュリティ対策【無料 / オンデマンド配信】
組み込み製品におけるセキュリティ対応の進め方を動画で徹底解説。
CRAの認証方法:製品リスクによる4つの分類
CRAの適合性評価プロセスを理解するうえで最も重要なのが、製品のリスクに応じたカテゴリ分類です。すべての製品に一律の厳格な審査を課すのではなく、その製品がサイバー攻撃を受けた際の社会的・経済的影響の大きさに応じて、4つの段階的なクラスが設定されています。
一般製品(デフォルトカテゴリ)
デジタル要素を備えた製品の約90%がこの一般製品に該当すると予測されています。
具体的には、Wi-Fi接続機能を持つスマート家電(冷蔵庫や洗濯機など)、写真・画像編集ソフトウェア、ゲームソフトなどが含まれます。これらは日常生活で広く使われていますが、万が一侵害された際の影響範囲が、特定の個人や家庭内に留まる可能性が高いと判断されるグループです。
このカテゴリの特徴は、メーカー自身がCRAの定めるセキュリティ要件への適合を確認して宣言する「自己適合宣言」が可能である点です。
外部の認証機関を通さずに市場へ投入できるため、スピード感のある製品展開が可能ですが、その分、技術文書の作成やリスクアセスメントの実施といった内部プロセスの妥当性を自社で担保する高い責任が生じます。
重要な製品 クラスI
クラスIには、ブラウザー、パスワードマネージャー、ルーターなど、セキュリティ上重要な役割を果たす製品が指定されています。
これらは、万が一脆弱性が悪用された場合に、機密情報の流出やネットワーク全体の侵害につながる恐れがあるため、一般製品よりも一段階高い信頼性を要します。
認証の手続きについては、欧州の整合規格(Harmonised Standards)を完全に適用している場合に限り、自己適合宣言が認められます。しかし、独自の技術スタックを使用している場合やまだ整合規格が整備されていない分野の製品である場合には、第三者機関(通知機関)による適合性評価が義務付けられます。
標準規格を遵守して内製で進めるか、コストをかけて外部審査を受けるかの戦略的判断が必要になる領域です。
重要な製品 クラスII
クラスIIは、クラスIよりもさらにリスクが高いと見なされる製品群です。
具体的には、オペレーティングシステム(OS)、ネットワーク型ファイアウォール、侵入検知・防御システム(IDS/IPS)、ハイパーバイザ(仮想化ソフトウェア)、産業用マイクロコントローラなどが該当します。
これらはインフラや産業システムの中核を担うことが多く、不具合が広範囲なシステムダウンや経済的損失に直結します。
このカテゴリでは、整合規格の使用有無に関わらず、第三者機関による適合性評価が例外なく義務付けられます。メーカーは設計図面やソースコードの解析結果、テストレポートなどの詳細なエビデンスを外部機関に提出し、承認を得なければなりません。
クリティカル製品
最も厳格な管理対象となるのが、クリティカル製品のカテゴリです。スマートカード、スマートメーターゲートウェイ、ハードウェア型セキュリティモジュール(HSM)など、極めて高い機密性と完全性を要するハードウェアやソフトウェアが含まれます。
これらは国家インフラの安全性や、デジタル社会の信頼の根幹を支えるデバイスとして位置づけられています。
認証においては、欧州サイバーセキュリティ認証フレームワークにもとづく、最も高い保証レベルの認証(EUCC:Common Criteriaベースの認証など)の取得が必須となります。
開発の初期段階から認証取得を前提とした厳格なプロセス構築が必要となり、技術的な難易度もさることながら、認証維持のための継続的な監視体制も、他カテゴリ以上に重い義務として課されます。
CRA認証のモジュール(手順)
CRAにおいて、製品がセキュリティ基準を満たしていることを証明するための具体的な手続きは、「モジュール」と呼ばれる枠組みで定義されています。
どのモジュールを選択、あるいは適用しなければならないかは、前述の製品リスク分類によって決まります。ここでは、重要となる3つの主要なパターンを解説します。
モジュールA:内部生産管理
モジュールAは、メーカーが自社内で適合性を評価する最もシンプルな手順です。主にデフォルトカテゴリ(一般製品)に該当する製品で採用されます。
この手順では、メーカー自身が製品の設計・製造プロセスがCRAの必須要件を満たしているかを確認し、その証拠となる技術文書を自ら作成します。外部機関による事前の審査は不要ですが、当局から要請があれば即座に提示できる準備が必要です。
開発チームが作成したリスクアセスメント資料やテスト結果が、CRAの水準に達しているかを社内で厳格に承認するフローを構築することが、このモジュールの要となります。
モジュールB+C:型式審査
モジュールBとCは組み合わせて運用されます。これは、製品の設計段階(型式)と、その設計通りに製造されているかの両面を審査する仕組みです。主に重要な製品 クラスIやクラスIIで、整合規格を使用しない場合などに必須となります。
まず、モジュールBにおいて、第三者機関(通知機関)が製品の技術設計を審査し、型式審査証を発行します。その後、モジュールCによって、実際に量産される製品がその型式に適合していることをメーカーが宣言します。
外部の専門家による客観的な目が入るため、自社独自の高度な技術を盛り込んだ製品であっても、その安全性を公的に証明できます。一方で、審査機関とのやり取りや指摘事項への修正対応など、開発工数に余裕を持たせた計画立案が欠かせません。
モジュールH:完全品質保証
モジュールHは、個別の製品検査ではなく、メーカーの設計、製造、最終製品の検査、および試験に関する品質管理システム全体を審査対象とします。クラスIIの製品などで選択肢となります。
このモジュールを適用する場合、ISO 9001のような品質マネジメントシステムに、CRA特有のサイバーセキュリティ管理プロセスを統合し、それを外部機関に認定してもらう必要があります。
一度この体制を確立すれば、個々の製品ごとの外部審査負担を軽減できる可能性がありますが、組織全体のプロセスをCRA基準にアップデートするという大きな初期投資を要します。
以下に、製品ランクと適用される代表的なモジュールの組み合わせをまとめます。
| 製品カテゴリ(ランク) | リスクレベル | 適合性評価の手続き(モジュール) | 第三者機関の関与 |
|---|---|---|---|
| デフォルト製品(一般) | 低 | Module A(内部生産管理) | 不要(自己適合宣言) |
| 重要な製品 クラス I | 中 | 整合規格を適用する場合:Module A 整合規格を適用しない場合:Module B+C または Module H |
規格未利用時のみ必要 |
| 重要な製品 クラス II | 高 | Module B+C または Module H | 必須(規格利用に関わらず) |
| 特に重要な製品(Critical) | 最高 | 欧州サイバーセキュリティ認証制度(EUCC等) | 必須(最高度の保証が必要) |
CRA認証のために必要な対応
CRAの要件を満たし、適合性評価をパスするためには、製品の企画から廃棄に至るまでのライフサイクル全体で、セキュリティを管理する仕組みを構築しなければなりません。
具体的には、設計段階でのリスク分析、開発時の脆弱性管理、そして出荷後の継続的なアップデート提供といった一連の流れを、客観的な証拠とともに運用することが必要です。
ここでは4つの主要な対応事項を具体的に解説します。
- 設計段階: リスク評価をして、安全な設計(SBOM含む)にする
- 検証段階: テストをして、その証拠書類(技術文書)をまとめる
- 審査段階: 必要な審査(自己評価または第三者審査)を受ける
- 販売後: バグが見つかったら報告し、製品寿命と5年間のいずれか短い期間は無料で直す
セキュリティ・バイ・デザインの実施
CRAが求める最も根本的な考え方は、セキュリティ・バイ・デザイン、すなわち設計段階からの安全性確保です。製品が出来上がってから関連するセキュリティ機能を後付けするのではなく、最初の仕様策定の段階からサイバー攻撃のリスクを想定した設計を行う必要があります。
具体的には、出荷時に既知の脆弱性が存在しない状態にすることはもちろん、初期設定で安全な状態(セキュア・デフォルト)にすることが義務付けられます。
すべての個体に共通のデフォルトパスワードを設定することを禁止し、初回起動時に固有のパスワード設定を強制する、あるいは不要な通信ポートはあらかじめ閉じておくといった対応がこれに当たります。
また、将来的な脆弱性発見に備え、安全に自動アップデートを行える機能を実装しておくことも重要な要件の一つです。
SBOM(ソフトウェア部品表)の作成
現代の製品開発において、オープンソースソフトウェア(OSS)やサードパーティ製のライブラリを利用しないケースは稀です。CRAでは、自社製品にどのような部品が含まれているかを網羅的に把握するSBOM(Software Bill of Materials)の作成と管理を要求しています。
SBOMは、原材料のリストを作るようなものです。特定のOSSに深刻な脆弱性が見つかった際、自社のどの製品にその部品が使われているかを即座に特定し、対応の要否を判断できなければなりません。
開発チームに対してSBOMの提出を要請するだけでなく、サプライヤーに対しても同様の透明性を要請する体制を整える必要があります。これにより、サプライチェーン全体での脆弱性管理が可能になります。
技術文書を作成する
適合性を証明するためには、詳細な技術文書(テクニカルファイル)の作成と保管が不可欠です。これは、当局からの要請があった際や第三者機関の審査を受ける際に、製品がCRAの必須要件をすべて満たしていることを論理的に説明するための証拠書類となります。
具体的には、製品がさらされる脅威を特定したリスクアセスメントの結果、前述のSBOM、実施したペネトレーションテスト(侵入テスト)の結果レポート、および脆弱性への対処記録などが含まれます。
テストを行ったという事実だけでなく、どのような基準で安全だと判断したのかというプロセスまで文書化しておくことが、認証をスムーズに進めるための要となります。
運用・報告体制の確立
製品の販売後、原則として5年間(または製品寿命のいずれか短い期間)、脆弱性を修正するためのセキュリティアップデートを無償で提供し続ける義務があります。
さらに、製品の脆弱性が悪用されたり、重大なインシデントが発生したりした場合には、24時間以内に当局へ初期報告を行うことが義務付けられています。
この通知義務には段階があります。
まず脆弱性を認識してから24時間以内に初期報告を行い、その後72時間以内により詳細な通知を提出する必要があります。さらに、インシデントの収束後には最終報告書の提出も求められます。
このように、初期報告から最終報告まで一連の段階的な報告プロセスへの対応が欠かせません。
有事の際に誰が判断し、誰がどこへ報告するのかというフローをあらかじめ定義し、シミュレーションしておくことが、企業の法的リスクを回避するために不可欠です。
まったなし!EU CRA向けセキュリティ対策【無料 / オンデマンド配信】
組み込み製品におけるセキュリティ対応の進め方を動画で徹底解説。
CRAの認証スケジュール
CRAは2024年12月10日に発効しましたが、すべての義務がいきなり課されるわけではありません。段階的な猶予期間が設けられており、企業はそのステップに合わせて準備を進める必要があります。
まず、最も早く適用されるのが、2026年9月11日開始予定の脆弱性やインシデントに関する報告義務です。それ以外の主要な要件、すなわち製品のセキュリティ設計や適合性評価(認証)、技術文書の作成、CEマーキングの表示などは、発効から36カ月後の2027年12月11日から全面的に適用されます。
主なスケジュールを箇条書きで整理しました。
- 2026年9月11日〜:重大なインシデントおよび悪用されている脆弱性の報告義務開始
- 2027年12月11日〜:製品のセキュリティ要件への適合、認証手続き、CEマーキングの義務化
- 既存製品の扱い:2027年12月11日よりも前に発売された製品であっても、同日以降に実質的な改変(大幅な機能追加やOSの刷新など)を加える場合は、最新のCRA要件への適合が必要
開発サイクルが長い精密機器や産業装置の場合、今から設計を始める次期モデルは、発売時にはすでにCRAの全面適用時期に入っている可能性が高いといえます。後から設計変更を余儀なくされる手戻りを防ぐためにも、現段階からCRA基準を要件定義に盛り込んでおくことが賢明な判断です。
今からCRA認証に取り組もう
欧州サイバーレジリエンス法(CRA)の認証を得るためのプロセスは、一朝一夕に完了するものではありません。製品のリスク分類を正確に判定し、設計段階からセキュリティを組み込み、膨大な技術文書を整備するには、部門を越えた連携が不可欠です。
まずは自社の製品ラインナップを棚卸しし、どのクラスに該当するかの判定から始めてみてはいかがでしょうか。早期の着手が、将来的な法的リスクを回避し、グローバル市場での持続的な成長を支える基盤となります。
CRA対策においては、専門家のサポートを受ける企業も増えています。もし疑問や不明点がございましたら、オージス総研にお気軽にお問い合わせください。
2026年4月22日公開
※この記事に掲載されている内容、および製品仕様、所属情報(会社名・部署名)は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。
関連サービス
-
セキュリティソリューション
組み込み機器、制御システム、IoTデバイスを対象とした、お客様の課題に応じたセキュリティソリューションをご提案します。
-
制御システムセキュリティリスク分析
大切な制御システムおよび工場を守るためには、セキュリティリスク分析をする必要があります。詳細版と簡易版のセキュリティリスク分析サービスを用意しています。
-
【IT研修・ラーニング】つながる組み込み機器のセキュリティ研修
近年、これまで単独で動いていたさまざまな組み込み機器がネットワークにつながり、セキュリティに真剣に取り組まなければなりません。この研修では、つながる組み込み機器のセキュリティ上の課題や対策を、具体的にわかりやすくお伝えします。
-
欧州サイバーレジリエンス法(CRA)対応が必要な理由や得られる効果、対応を求められるデジタル製品とは?
前の記事へ
-
欧州サイバーレジリエンス法(CRA)は企業にどう影響する? 対象企業に必要な取り組みや課題を解説
次の記事へ
関連記事一覧
- 欧州サイバーレジリエンス法(CRA)は企業にどう影響する? 対象企業に必要な取り組みや課題を解説
- 欧州サイバーレジリエンス法(CRA)対応が必要な理由や得られる効果、対応を求められるデジタル製品とは?
- 欧州サイバーレジリエンス法(CRA)の必須セキュリティ要件とは?各製品区分の適合性評価や必要な対応を解説
- 【3分でわかる】欧州サイバーレジリエンス法(CRA)のすべて
- 【初学者向け】研修で得られるものとは【セキュリティ】
- Black Hat発表から学ぶ!フィッシング詐欺とアカウント復旧の新たな課題
- MBSEとは?ドキュメントベースの開発の違いやメリット、期待される効果について解説
- 工場の制御システムを守るためのセキュリティ対策ガイド
- 【脅威分析・TVRA】効果的なセキュリティリスク評価のステップ
- IoTセキュリティガイドラインとは?目的や概略、推奨されるセキュリティ対策を解説
- セキュリティ要件適合評価及びラベリング制度(JC-STAR)とは?概要や評価基準を解説
- 製造業がMBSEを導入する前に知るべき課題と対策
- 複雑化する開発にMBSEを。いまこそ導入すべき3つの理由
- TinyMLとは?基本概念や実装方法を解説
- エッジAIとTinyMLが切り開く可能性
- 時系列分析について実際のデータを例にモデルや活用事例をご紹介
- エッジAIとは?活用事例や導入方法、メリット・デメリットを解説
- IoTのセキュリティ対策とは?3つのセキュリティリスクとその対応策
