欧州サイバーレジリエンス法(CRA)のリスクアセスメントとは?CRAの要請や手法について解説

欧州サイバーレジリエンス法(CRA)ではリスクアセスメントの適正な実施が義務付けられています。デジタル製品の設計・開発・製造をはじめ、規制が及ぶ域内でデジタル製品を流通させるなら、リスクアセスメントを実施し、結果に沿った製品づくりや対応を行わなければなりません。この記事では、CRAにおけるリスクアセスメントについて解説します。

前提となる欧州サイバーレジリエンス法(CRA)の概要

欧州サイバーレジリエンス法(CRA)はEU市場において、デジタル要素を含む製品のほとんどすべてを対象とするサイバーセキュリティ確保のための規則です。直接的か間接的かを問わず、他のデバイスやネットワークに接続できる製品は、一部の例外を除いて対象となります。

CRAが制定される背景

EUがCRAを制定した背景には、年々増加が予測される接続デバイスと国際的なサイバーセキュリティリスクの高まりや、それに対応する包括的な規則がなかったことなどがあります。市場にはサイバーセキュリティの脆弱性が問題となる製品が少なくないため、企業や消費者が安全性の高い製品を選択しづらい状況のなか、2024年に制定され発効したのがCRAです。

CRAの目的

CRAの目的のひとつが企業や消費者が安心して高いセキュリティ性能を持つデジタル製品を選択できる社会の実現です。対象となるハードウェアやソフトウェアが市場投入時から脆弱性を抑えていること、製造業者によって製品のライフサイクル全体を通じたセキュリティが確保されていること、それにより安全な製品開発の境界条件を設定することなども目的となっています。

CRAの要求事項

CRAの要求事項をまとめると以下のようになります。

  • リスクアセスメント
    リスクアセスメントについての規定があるのは、CRAの第13条第2項です。製造業者の義務として、サイバーセキュリティリスクの評価を実施することと、デジタル要素を含む製品の計画・設計・開発段階からサポート段階に至るまでの各段階で評価の結果を考慮することが書かれています。製品のサイバーセキュリティリスクを最小限に抑えること、インシデントを防止すること、ユーザーの健康と安全に関連するものを含めてその影響を最小限に抑えることが目的です。
  • セキュリティ要件への対応
    CRAのセキュリティ要件は、附属書Iに書かれています。デジタル要素を含む製品の設計・開発・製造においては、リスクに基づく適切なセキュリティレベルを確保することが必要です。

    また、附属書にはリスクアセスメントに基づき、デジタル要素を含む製品が守るべき事柄が列挙されています。既知の脆弱性を悪用されることなく市場で利用可能になることや、セキュリティアップデートにより脆弱性に対処可能なことの保証などです。
  • 脆弱性ハンドリング要件への対応
    脆弱性ハンドリング要件も附属書Iに書かれています。要求事項は、脆弱性に対してセキュリティアップデートを含み、遅滞なく解決・修正することや効果的なテストとレビューを定期的に行うこと、ソフトウェア部品表(SBOM)作成を含む特定と文書化、脆弱性開示ポリシーの策定と施行、修正された脆弱性の情報共有と公開など8項目です。
  • 報告義務
    CRAの報告義務は第14条で製造業者の報告義務が規定されています。脆弱性についてと、インシデントに関するものです。悪用されている脆弱性と重大なインシデントについては、認知してから24時間以内の初期報告と72時間以内の詳細報告の定めがあります。
  • 適合性評価
    CRAの適合性評価は自己評価または第三者機関の認証によります。重要ではない一般的な製品に分類される製品は、第三者機関の認証を必要としていません。事業者が自身の判断で適合を宣言できます。クリティカルな製品や重要な製品は第三者機関の認証を必要としています。ただし、一定の条件を満たす場合は自己宣言も可能です。

    CRAに適合する製品にはCEマークを貼り付けます。CEマークが適合の証明であり、CEマークのない製品は不適合となるためEUの加盟国エリア内では市場投入できません。

まったなし!EU CRA向けセキュリティ対策【無料 / オンデマンド配信】

組み込み製品におけるセキュリティ対応の進め方を動画で徹底解説。

EU CRA向けセキュリティ対策 オンデマンド配信ページへ

CRA不適合のリスク

そもそもCRAに不適合の製品はEUの域内で流通させることができません。それ自体がグローバルな事業展開を行う製造業者にとってはリスクとなります。しかし、EU域内の市場に投入している製品が不適合と判断されたり、事業者がCRAの求める義務に違反したりした場合のリスクはより大きなものです。

  • 当該地域における販売の禁止
    EU市場に投入されている製品について、市場監視当局では違反がないかを監視しています。違反が確認された場合、当局が行う措置のひとつとして是正要求が可能です。期間内に是正が行われない場合には、当該EU加盟国内での販売制限や禁止といった厳しい措置もあり得ます。
  • 是正などにかかるコスト
    引き続きEU市場で販売しようとするなら、当該製品がCRAに適合するように是正し、少なくともその状態を維持管理する必要があります。是正の程度にもよりますが、ケースによっては莫大なコスト負担になると考えられます。
  • 社会的信用やブランドイメージの失墜
    CRAに不適合になったというニュースは、SNSや報道などを通じて短時間に広く伝わるものと思っていたほうがよいでしょう。その結果、違反企業のレッテルが貼られたり、ネット上で炎上したりするおそれがあります。そのような事態に陥ると、EU域内で提供していた当該製品の問題だけでは済まなくなり、社会的信用やブランドイメージの失墜につながりかねません。CRA不適合には大きなリスクが潜んでいます。
  • 公的な処分や罰則
    CRA不適合について当局は、製品の撤去やリコールの要求もできます。是正要求への対応と同様に、手間やコスト負担が必要です。また、不適合、違反の状況によっては高額の罰金を科されるケースがあります。

    罰金額の決定には侵害性や重大性、結果や過去の罰則歴、事業者の規模などさまざまな要素が考慮されますが、最大では1,500万ユーロまたは年間売上の2.5%の高いほうという莫大な金額です。
  • 訴訟リスク
    罰金が多額になるような不適合、違反があった場合は、当該製品の利用者に対して使用したことに起因する損害が発生している可能性が考えられます。実損害が生じていた場合には賠償の話が出てくるでしょう。任意の話し合いで済まない場合は訴訟リスクを抱えることになりかねません。

CRAのリスクアセスメントとは

ノートPCに南京錠のイメージ

CRAのリスクアセスメントについて解説します。

リスクアセスメントとは

CRAではリスクアセスメントの実施が求められていることは前述の通りです。では、そもそもリスクアセスメントとはなんでしょうか。

リスクは危険を意味し、アセスメントは評価、査定を意味しており、リスクアセスメントは危険について事前に評価や査定を行うことです。評価、査定対象の潜在的な危険や問題点を明らかにし、改善などの対策に役立てる点にリスクアセスメントを実施する大きな意義があります。

CRAとリスクアセスメントの関係

CRAのリスクアセスメントにおいても、対象となるデジタル要素を含んだ製品についてリスク評価を行い、必要な対処を実施することが重要です。

CRAの要求事項で述べたように、附属書Iでデジタル製品のサイバーセキュリティ要件が定められています。リスクアセスメントの結果を踏まえた設計・開発・製造が必要なだけでなく、計画段階から配送、メンテナンスのプロセスまで、デジタル製品のライフサイクル全体を通じて求められるサイバーセキュリティレベルをクリアする仕組みとして、実施を義務付けられているのがリスクアセスメントです。

リスクアセスメントの文書化

CRAではデジタル要素を含む製品を市場投入する際と、製品が使用されると予想される期間を反映して決定されたサポート期間中に、リスクアセスメントを適宜文書化し更新することが義務付けられています。

CRA第13条製造業者の義務の第3項によれば、文書化されるサイバーセキュリティリスクアセスメントには以下の内容が必要です。

  • デジタル要素を含んだ製品の想定される目的および合理的に予見可能な使用方法、並びに運用環境や保護されるべき資産などの使用条件に基づくサイバーセキュリティリスクの分析
  • 附属書Iに定めるセキュリティ要件が当該デジタル要素を含んだ製品に適用可能かどうか
  • 適用可能である場合のどのような方法で適用されるか
  • サイバーセキュリティリスクアセスメントに基づいてこれらの要件がどのように実施されるか
  • 製造業者が附属書Iに定める脆弱性対応要件をどのように適用すべきか

出典: EU官報「REGULATION(EU)2024/2847 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL(外部サイト)」

CRAリスクアセスメントを実施するには

CRAのリスクアセスメントは、セキュアな設計開発をはじめとするデジタル要素を含む製品のライフサイクルに重要な影響を及ぼすとともに、セキュリティ要件を満たすことや、デジタル要素を含む製品の計画からサポートまでの各段階におけるリスク評価を行うなど負担の大きな業務です。

リスクアセスメントが適正に行われていなければ、市場投入したデジタル要素を含む製品がCRAに不適合となるおそれがあります。CRA不適合のリスクは前述の通りで、取り返しがつかないケースも考えられることから、リスクアセスメントに失敗は許されないくらいの認識が必要です。

そのため、リスクアセスメントの実施にあたっては、サイバーセキュリティリスクとCRAの双方を理解することと、適正に進行できる社内体制、マンパワーが必要だといえます。また、CRAの内容は時代の進化とともに変わる可能性があることから、CRAの改訂を見逃さない情報収集が欠かせません。適正なリスクアセスメントの実施には、組織の構築と教育が重要です。

CRAのリスクアセスメントとTVRA手法

CRAのリスクアセスメントを実施する手法として、TVRA手法があります。Threat(脅威)、Vulnerability(脆弱性)、Risk Analysis(リスク分析)の頭文字をつないだ名称の脅威分析手法です。TVRAでは資産抽出~脅威導出~リスク評価~対策検討と進みます。脅威導出で資産である製品の価値を脅かすもの、対応すべきリスクの詳細を明らかにし、リスク評価では発生と被害の度合いを定義することで、リスクの度合いを推定する流れです。

制御システムのセキュリティリスク分析ガイド

制御システムのセキュリティリスク分析ガイドは、IPA独立行政法人情報処理推進機構が公開している制御システム向けの分析方法ガイドです。事前準備として、分析対象の明確化とリスク値と評価指標の説明があり、リスク分析の実施では資産ベースと事業被害ベースの2種類が示されています。その内容は実践的で、CRAのリスクアセスメントにも役立つ考え方です。

STRIDE

STRIDEはMicrosoftの脅威分析モデルです。以下の6つの脅威の頭文字が名称になっています。

  • Spoofing(なりすまし)
  • Tampering(改ざん)
  • Repudiation(否認)
  • Information Disclosure(情報漏洩)
  • Denial of Service(サービス拒否)
  • Elevation of Privilege(特権昇格)

それぞれの特性から攻撃者はどう侵攻してくるかを考えながらの脅威分析が可能です。

リスクアセスメントが不十分で起きたと考えられる事件

サイバー攻撃による深刻な被害を出した事件として知られているのが、アメリカに本社を置く世界的なホテルチェーンであるマリオットホテルの情報流出事件です。

2018年12月に発覚したこの事件は、4年もの長い期間、誰にも気付かれることなく5億人以上の顧客データが流出したといわれています。この間、2015年にはマリオット・インターナショナルがスターウッドホテル&リゾートを買収した経緯がありましたが、このときにも不正アクセスに気付くことがありませんでした。このときに気付いていれば、その後の約3年間の流出は防げた可能性が高いでしょう。

この事件そのものはデジタル要素を含む製品の供給とは別の話ですが、リスクアセスメント、リスクマネジメントの重要さを示唆する事件として参考になります。

リスクアセスメントを丁寧に実施してCRAとうまく付き合う

リスクアセスメントはCRAのセキュリティ要件や脆弱性ハンドリング要件などの要求に対し、デジタル要素を含む製品を適合させるために重要な役割を担っています。製品の計画段階に始まり、サポート段階に至るまで、長いライフサイクルの各段階のサイバーセキュリティ確保に欠かせない作業です。リスクアセスメントを丁寧に実施することで、CRAとうまく付き合いましょう。

まったなし!EU CRA向けセキュリティ対策【無料 / オンデマンド配信】

組み込み製品におけるセキュリティ対応の進め方を動画で徹底解説。

EU CRA向けセキュリティ対策 オンデマンド配信ページへ

2026年6月19日公開
※この記事に掲載されている内容、および製品仕様、所属情報(会社名・部署名)は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。

関連サービス

関連記事一覧