ニュースレター登録で特典PDF配布期間限定での配布となります(予告なく終了いたします)

CRA解説の連載完結を記念し、ニュースレター登録者限定で“2大特典PDF”を無料でダウンロードいただけます。

特典1全8回の連載を一つにまとめた統合PDF

  • オフラインでの閲覧や社内勉強会などに活用しやすい一冊化
  • 補足解説や本編で触れきれなかった実践的ヒントもご提供予定

特典2「対象製品・要求事項・罰則」が一目で分かる比較表

  • Class 1 / Class 2 製品のリスク区分や、自己適合宣言・第三者認証 などの相違点を分かりやすく一覧化
  • CRAが求める共通要件や罰則を簡潔に把握
ニュースレター登録はこちら連載解説

連載解説CRAとは何か?どう対応すれば良いのか?

CRA対応で、製造業のサイバーレジリエンス実現へ

CRAへの対応は製造業にとって避けられない課題です。10年以上にわたる製造業向けセキュリティ支援の実績を持つICS研究所が、法規制対応から中長期的なレジリエンス構築まで、専門知識と実践的アプローチで貴社の事業継続を支えます。

ICS研究所のコンサルティングサービス詳しく
ICS研究所のコンサルティングサービス

CRAの準備をして新しいEU規制に備える

欧州サイバーレジリエンス法(CRA)により、「デジタル要素を含む製品」に対して拘束力のあるサイバーセキュリティ要件が導入されます。CRAの目的は企業がサイバー攻撃に対するレジリエンスを高め、信頼性の高いデジタルサービスを提供することです。

欧州サイバーレジリエンス法(CRA)発行
製造業者は自社製品の脆弱性について国家当局とENISAに通知する報告義務が開始されます
CRAの全規定が適用され、CEマークなしでは「デジタル要素を持った製品」をEUで販売できなくなります

しかし、次のような疑問が残ります。CRAとは正確には何なのか?この法律に準拠するには何をする必要があるのか​​?

CRAの概要をまず知りたい!

CRAの影響を受ける事業者は?

CRAの対象となるデジタル要素を持った製品は有線・無線を問わず、EU内で販売されるあらゆるコネクテッドデバイスが対象となっており、デバイスやネットワークに直接的・間接的に接続する製品も含まれます。そのため、多種多様な製品がCRAの対象となりますので再確認をしてください。

製造業者製造業者のイメージ
有償か無償かを問わず、デジタル要素を含む製品を開発、製造、または販売する個人または企業。
輸入業者輸入業者のイメージ
EU 域外の自然人または企業の名前または商標を付したデジタル要素を含む製品を市場に投入する EU 域内の個人または企業。
販売代理店販売代理店のイメージ
製造業者および輸入業者を除き、特性を変更することなくデジタル要素を含む製品を EU 市場に供給する個人または企業。
オープンソースソフトウェアオープンソースソフトウェアのイメージ
商用目的でオープンソースソフトウェアとみなされるデジタル要素を備えた特定の製品の開発を体系的にサポートするメーカー以外の企業。
ハードウェアハードウェアのイメージ
デジタル データを処理、保存、または送信する物理的な電子システム、およびそのシステムのコンポーネント。
ソフトウェアソフトウェアのイメージ
統合ソフトウェア(組み込みソフトウェア)、スタンドアロン ソフトウェア、商用ソフトウェア ソリューション。
クラウドサービスクラウドサービスのイメージ
スマートなリモート制御家電のメーカーが提供するクラウド サービスなどのリモート データ処理ソリューション。

対象外の製品

  • 医療機器規則の対象製品
  • 体外診断用医療機器規則の対象製品
  • 民間航空機規則の対象製品
  • 自動車の型式承認規則の対象製品
  • 国家安全保障に関するデジタル製品
  • 軍事目的・機密情報処理目的の製品
  • SaaSなどのソフトウェアサービス
  • 研究開発目的のオープンソースソフトウェア

CRAの適用範囲と対象製品を知りたい!

「CRAで具体的にどのような製品が対象となるのか? どこまでが適用範囲で、どこが除外なのか?」を明確化いたします。

第4回以降の「具体的な要求事項や遵守のポイント」への橋渡しも兼ねて、Class I(低リスク)/Class II(高リスク)の製品例や、パブリックコメント後に除外された機器・システムについても網羅的に整理します。

第3回 CRAの適用範囲と対象製品連載解説
第3回連載のスライド

日本企業のCRA対応実態調査

ICS研究所は、2025年1月24日に開催したOTセキュリティ無料セミナー参加者を対象に「CRA(欧州サイバーレジリエンス法)への対応状況」についてアンケートを実施し、31件の回答(複数回答可)を得ました。その結果、以下のような傾向が見えてきました。

「CRA(欧州サイバーレジリエンス法)への対応状況」についてアンケート結果
  • CRAに関する情報収集を積極的に行っている: 71%
  • 自社内でCRA対応を検討中: 41.9%
  • サプライチェーン内のCRA対応が着々と進んでいる: 0%
  • サプライチェーン内のCRA対応がなかなか進んでいない: 12.9%

主な考察

回答からは、CRAへの関心は高く情報収集は進んでいる一方で、サプライチェーン全体を見据えた取り組みが十分に進んでいない現状がうかがえます。CRAは製品の供給責任を果たすために、企業単独での対応だけでなく、サプライチェーン全体でのリスク評価や対策推進が重要視されています。しかしながら今回の結果を見る限り、サプライチェーンに対する具体的な検討や連携が始まっていない企業が多いようです。

ICS研究所では、この解説を通じてCRAの最新動向や本質を発信するとともに、関連セミナーやコンサルティングを通じて、日本の製造業の製品セキュリティ強化と欧州関連法規制への対応を支援してまいります。

CRAに関するよくあるご質問

CRA(欧州サイバーレジリエンス法)に関する知識や理解を深めるため、ICS研究所のコンサルタントにお寄せいただいておりますご質問を整理して公開しております。ぜひご参考にしていただき、課題解消にお役立てください。

CRAでは、一般的な産業機械は自己適合宣言で良いと理解しています。そのため、IEC62443-4-2に準じて適合確認を進めようと考えていますが、一般的な産業機械であっても自己適合宣言で済まないケースはあるのでしょうか?

一般的な産業機械や産業用PLC、DCS、CNC、SCADAなどの産業用自動化制御システム製品であっても、機能安全などの安全機能を装備し、AI技術(機械学習機能含む)を扱っている場合は、AI法(EU Artificial Intelligence Act, EU 2024/1689)や機械規則(EU 2023/1230)の規制を受けます。つまり、セキュリティの第三者認証を取得している必要があります。現在の製品機能や将来のバージョンアップ計画を考慮して判断することが重要です。

CRAでは、サプライチェーン全体でのリスク評価や対策推進が重視されていますが、現状は協力企業や部品のサプライヤーのセキュリティへの取り組みや意識に問題を感じています。何か良い対策があれば教えてください。

CRAは製品の供給責任を果たすために、企業単独での対応だけでなく、サプライチェーン全体での対策や、製品ライフサイクル全般にわたりセキュリティを考慮した「セキュリティ・バイ・デザイン」が重視されています。また、CRA対応で下支えとなる規格IEC 62443では「セキュリティ専門知識」に関わる要求(IEC 62443-4-1 SM4)があり、「職務の担当者が、役割に応じたセキュリティの専門知識を持っていることを証明するために、セキュリティ教育および評価プログラムを定め、提供しなければならない。」と定められており、この要求を満たすような施策が1つの基準になるのではないでしょうか。この要求に対応するサービスとして、ICS研究所はオンラインビデオ講座の"eICS"や、IEC 62443に準拠した実務能力が評価できる"制御システムセキュリティ実務能力検定"を提供しています。

当初の法案策定時にはClass II(高リスク)候補として挙げられていたものの、パブリックコメント等を踏まえて最終案では“重要なデジタル製品 Class II(高リスク)”から除外された製品群”の説明の中にロボットコントローラも含まれておりましたが、これは2027年12月からCRA全面適用の範囲から除外されている、という理解で宜しいでしょうか?

この質問の回答ですが、
CRA対象に入るか?ということであれば、入れるかどうかは工場のオーナーとシステム設計エンジニアが決めることになりますね。
自動車製造工程の溶接ラインのロボットは、工場のOTネットワークにロボットコントローラはつながっているので、CRA対象デバイス製品になりますね。
装置や機械の一部に使用するロボットコントローラは、コンポーネントメーカーに対してサプライヤーとしてSBOM管理など脆弱性識別対応や情報提供をしなければならないですね。
だから、この方が期待されている対象範囲から除外されているという回答はできないと思います。

CRAの法規制の対象者は、工場のオーナーと、サプライチェーンのサプライヤーになっています。そのことから考えますと、工場の生産設備にロボットも含まれることからロボットコントローラを提供しているメーカーという立場では、サプライヤーとしての義務を果たすことになると思います。
ということは、ロボットコントローラはCRA対象デバイス製品ということになると思います。
つまり、装置や機械にロボットを組み込んでいるサプライヤーは、コンポーネントメーカーに対してのサプライヤー義務と、工場の生産ラインに使用しているロボット製品を提供している工場の管理オーナーに対して、SBOM管理や脆弱性情報提供などのサプライヤー義務や、サイバーインシデント検知を要求する顧客への対応があると思います。

ご質問の範囲から外れるかもしれませんが、ロボットコントローラのメーカーとして、セキュリティ対策が必要なのは、CRAだけかというと、機械規則MR(EU2023/1230)が2027年1月20日から機械規則の完全適用が開始されるのですが、そこにおけるCEマーキングの条件にセキュリティ対策義務がありますので、それもご確認されることをお勧めします。

ICS研究所では、一連のEU法規制に関する情報を整理したものとして、「機械規則やCRAなど日本企業が取り組まなければならない課題」と題する資料を提供しております。ご要望ございましたら、ご連絡ください。

インターネットに繋がる設備を開発・欧州に販売しています。CRAでは、SaaSは対象外となっていますが、CRAの対象は、設備本体だけでなく情報を収集するためのSaaS(インターネットサービス)じゃ対象になるのでしょうか?

CRAの対象になると考えられます。CRAのArticle 3 (2)で「 ‘remote data processing’ means data processing at a distance for which the software is designed and developed by the manufacturer, or under the responsibility of the manufacturer, and the absence of which would prevent the product with digital elements from performing one of its functions;」と定義されています。

つまり『「遠隔データ処理」とは、当該デジタル要素を有する製品の製造業者によって、又はその責任の下で、ソフトウェアが設計及び開発された遠隔でのデータ処理であり、その機能の一つを実行することを妨げるものをいう』ということとなり、CRAは製造業者によって遠隔で処理・保存されるものも、製品全体が製造業者によって適切に保護されるようにすることと求めていると捉えることができるのではないでしょうか。

PSIRTは脆弱性情報やインシデントのハンドリングだけを行うのか、あるいは、封じ込め・復旧などの火消しもやると考えるほうが良いのでしょうか?

CRA法では、EU市場で販売されるデジタル製品(IoT機器、ソフトウェア、OTシステムなど)を対象としており、その製造者(メーカー)に対してセキュリティを義務付けています。これは、メーカーのPSIRT能力を直接的に要求するものです。

具体的に考えてみましょう。

工場や重要インフラ設備オーナーは、インシデント検知後初期早期報告を公的機関ENISAに行う義務があります。その後、現場の影響を受けたコンポーネントのサプライヤの調査協力も得ながら、詳細なフォレンジック調査などを実施してその原因や攻撃手法などを分析して14日以内に公的機関に報告します。事後改善対策も含めての最終報告は一か月以内となっています。

そうなると日本企業が提供している設備品に対してのコンポーネント内のセキュリティ保護機能や検知機能が正常に動作していたかなどの情報を含めサプライヤ側のPSIRTは顧客に納めたコンポーネントのフォレンジック調査結果を工場側へ情報提供して協力することになります。
さらに、そのコンポーネント設備がインターネット接続している場合はそこからマルウェア侵入があったかどうかのフォレンジック調査結果も報告しなければなりません。
それに原因がサプライヤ側の範囲にあったらその証拠提出を求められます。
そして、その根本対策を要求されますし、ユーザーからの要求に協力しなかったり、ユーザへ虚偽の報告をしたりすると、
罰則対象にもなり、損害賠償請求が来る可能性もあります。
正しく、かつスピード感をもった立ち回りができるPSIRT組織の能力を有していなければ、サプライヤの責任を果たすことができないということになります。

EU Cyber Resilience Act (CRA)

〒160-0004 東京都新宿区四谷1-15
 アーバンビルサカス8 A棟2階