CRAは、他のEU法規制(サイバーセキュリティ規則、NIS 2指令、機械規則、AI規則など)と相互補完的に機能し、製造業やシステムインテグレーターに総合的なサイバーセキュリティ対応を求めます。生成AIや高度な制御技術が進む中で、機械安全とサイバーセキュリティが一体化した適合性評価が進んでいます。サイバーレジリエンスの実現には、IEC 62443のような国際規格の導入や、製品ハードウェア設計から見直す継続的な改善が必要です。
本連載の第1回から第6回までは、欧州サイバーレジリエンス法(CRA)の概要や製造業への影響、IEC 62443との関連性、さらに具体的な対応戦略などについて解説してきました。今回の第7回は、CRAと他のEU法規制・規格(サイバーセキュリティ規則、NIS 2指令、機械規則、AI規則など)とのつながりに注目し、法規制間の相互関係を整理します。
あわせて、CRA認証取得プロセスのポイントや、最終目的となる「サイバーレジリエンス実現」への道筋を再確認し、日本企業がDXとセキュリティ対策を並行して進める上で直面している課題と、その解決の方向性についても触れます。
EUでは、サイバー攻撃やデジタル化に伴う新たなリスクに対応すべく、以下のような法規制や指令が相次いで整備・更新されています。
このようにEU圏のデジタルセキュリティ政策は相互参照型の仕組みを取りつつ、一貫した基盤整備を進めています。
CRAが強調する「レジリエンス」とは、単に“攻撃を防ぐ”だけでなく、“攻撃からの迅速な復旧”を含む概念です。
それに対して、多層防御では、以下の二つの概念が示されています。どちらかを選択するのではなく、両方を成立させることになります。
①セキュリティ管理/セキュリティ要件仕様/設計によるセキュリティ/セキュアな実装/セキュリティ検証と妥当性テスト/セキュリティガイドラインを同時に実現することで多面的な防御対策を実現する方法 ⇒ 「Security Management System」
②システムやコンポーネントのアーキテクチャー(構造)の要所要所に、IEC 62443-3-3やIEC 62443-4-2のあるセキュリティ要件を実現したセキュリティ機能を配置し、それぞれのセキュリティ機能がセキュリティ性能を発揮させることで実質的防御対策を実現する方法 ⇒ 「Security By Design」と「Security By Integrate」の構造設計技術
そして、この①の「Security Management System」と、②の「Security By Design」と「Security By Integrate」の構造設計技術は、重要インフラのプラント制御装置や航空管制システムや列車・船舶などの航行監視システムでも必要であり、制御装置や機械のコンポーネント設計でも必要であり、船舶の計装設計でも必要であり、戦車や護衛艦や空母などの軍事製品でも必要であり、自動車や航空機などの製品設計でも必要になっていると考えます。
IEC 62443-3-3システム対象のセキュリティ要件(以下のFR:Foundation Requirement)をシステムの要所要所に機能装備したデジタル製品を配置して、セキュリティ機能を統合したシステム設計を実現することになる。
IEC 62443-4-2の製品対象のセキュリティ要件(CR・SAR・EDR・HDR・NDR)をコンポーネントのアーキテクチャの要所要所に、セキュリティ機能として配置し、コンポーネントのセキュリティ機能として統合したコンポーネント設計を実現することになります。
システムやコンポーネントのアーキテクチャ(構造)によって、セキュリティ要件の機能や性能を採用しどう実現するかが課題となる。さらに、そのセキュリティ性能を検証するテスト方法もセキュリティツールの使い方で異なり、機能や性能の検証方法も異なってきます。
更に、これらの多層防御をコンポーネントや現場のシステムに実現することにより、サイバーセキュリティはより堅牢になり、サイバーレジリエンスの短時間復旧や操業継続をより具体的に実現させることが可能になります。
このノウハウ部分は、ICS研究所のオンデマンドビデオ講座eICSや有償コンサルや有償セミナーを受けることで習得することができます。
欧州サイバーレジリエンス法に適合したからといって、それがすべての脅威に対して“最善”ではありません。EU規制やIEC 62443などの国際規格が定める要件は“最低ライン”であることも多く、実際のサイバー脅威は日進月歩で高度化します。
どんなにシステム設計でセキュリティレベルを上げても、脆弱なコンポーネントや脆弱なデジタル製品が一つあるだけで、そのシステムは脆弱なシステムになります。つまり、システムのセキュリティレベルは、システムを構成する製品のセキュリティレベルで決まります。
コンポーネントにおいても、コンポーネントを構成するデジタル製品や制御製品のうち一つでも脆弱な製品があれば、そのコンポーネントは、脆弱なコンポーネントになってしまいます。
システムの構成品を調達するのに、システムインテグレータが採用する構成製品で一つでもセキュリティレベルが低いものがあれば、そのシステムはその低いセキュリティレベルのシステムになります。それは、システムエンジニアのシステム設計手順や判断基準が間違っているから起きることです。
コンポーネントの構成品を調達するのに、一つでも脆弱な製品があれば、そのコンポーネントは、その脆弱な製品のセキュリティレベルになってしまいます。それは、コンポーネント設計をするエンジニアがサイバーセキュリティやサイバーレジリエンスに関する設計手順や判断基準が間違っているから起きることです。
コンポーネント(工作機械・制御装置・制御盤などPLCやCNC製品をを使用したコンポーネント)製品を用いて開発するメーカー顧客に持つPLC及びCNC製品メーカーは、コンポーネントメーカーが機械規則やAI法でIEC 62443-4-2コンポーネント製品認証(CSA)を取得することで、顧客となるコンポーネントメーカーがIEC 62443-4-2デバイス認証(EDSA)を取得したPLCやCNC製品を選択することになるという基本的マーケティングを忘れている傾向があるようです。
ここまでお話しすると、3.1の①の「Security Management System」と、②の「Security By Design」と「Security By Integrate」の構造設計技術の重要性がご理解いただけたのではないでしょうか。
認証を取得するのは、メーカー企業であり、システムエンジニアリング会社であり、工場のオーナー企業でなければなりません。
なお、「Security Management System」や「Security By Design」と「Security By Integrate」の構造設計技術は、ICS研究所のオンデマンドビデオ講座eICS、有償コンサルティングで学ぶことができます。
CRAでは、製品をリスクに応じてClass 1(低リスク)とClass 2(高リスク)に分け、それぞれで評価方法や認証プロセスが異なります。
EUサイバーセキュリティ法(Cybersecurity Act)に基づき、EU域内のICT製品、サービスを対象に、統一された基準(Common Criteria準拠)でサイバーセキュリティを評価・認証する制度。Basic、Substantial、Highのリスクレベルに応じた認証を提供するものです。
AIと従来の制御システムが混在している現場では、統一的なセキュリティポリシーを適用しにくい
全社横断のセキュリティポリシーが難しい場合、まずは現場ごとのリスク評価を実施し、優先度の高い領域に段階的にポリシーを適用するなど柔軟な運用を検討する。
コンピュータ基盤技術が90年代レベルに留まり、モダナイズに投資しないまま設備を使い続けているケースが多い
中長期的な刷新ビジョンを持って対応を進めることを基本とし、旧型設備を全面的に刷新することが困難な場合は、短期策として既存設備のセキュリティを強化するゲートウェイやネットワークのセグメント分割など、部分的なモダナイズを行う。
中小企業経営者を中心に、セキュリティ投資への疲労感や懐疑心が強い
「セキュリティ投資はコストではなく、事業継続や競争力維持のための投資である」ことを経営層に明確に示し、業界別の成功事例や競合の動向を共有するなど、投資意義を具体的に伝えることが重要となる。
IEC 62443認証やISO/IEC 27001等の国際基準を「ハードルが高い」と捉え、後回しにする心理が根強い
IEC 62443やISO/IEC 27001の認証取得は、企業の負担ではなく、競争力や市場参入のカギとなると考え、段階的な認証取得により負担を軽減しつつ成果を早期に実感することが可能である。第三者支援を活用し、明確なロードマップを策定することが、早期の成果達成と組織的な定着につながる。
NIS 2に対応しないと欧州の重要インフラ向けサプライチェーンに入りづらいにもかかわらず、国内仕様にこだわってしまい事業機会を逃す。
自社の欧州市場参入の可能性や影響範囲を冷静に見極め、規制対応を最低限の要件としてとらえるだけでなく、「規制適合=欧州市場参入の競争優位性」という積極的なビジネス戦略へと視点転換することが望まれる。
「夢を優先し、現場視点の課題解決を後回しにしてしまう」ことで、戦略との乖離が生じがち。
デジタル化・DXなどの構想を掲げる際には、理想像だけでなく現場のリスクや実務上の課題も戦略に反映し、現実的なロードマップを策定する体制を組織内に整えることに留意する。
製造現場では、知的資産を構築するDXシステムへの移行が急務とされていますが、
デジタルツインの概念をさらに発展させたもので、従来のデジタルツインにベテラン技術者の知恵や日々の改善活動から生まれるノウハウ、技術的知見を統合したシステムです。物理的な実体とそのデジタル表現に、人間の専門知識という第三の要素を加えることで、より高度な価値を生み出します。
この仕組みにより、企業や組織はすでに保有している設備やシステムなどのリソースを最大限に活用でき、急速に変化する市場需要や生産条件に柔軟に対応することが可能になります。デジタルトリプレットは、単なるデータ収集や分析を超え、長年培われた現場の知恵とデジタル技術を融合させることで、より実践的かつ効果的なDXを実現する手段となります。
データを「ノード(点)」と「エッジ(関係性)」で表現し、複雑な関連性を効率的に扱えるデータベースです。知識グラフとしてナレッジベースを構築し、生成AIが情報の関連性や文脈をより深く理解できるよう支援します。これにより、生成AIの回答精度や推論能力を高めることが可能になります。
制御機器や工作機械を中心とするハードウェアベンダーでは、基板設計要件そのものの刷新が必要なケースもあります。
日本でも、経済産業省「サプライチェーンに向けたセキュリティ対策評価制度」の実施に向け、2026年10月より開始予定で準備が進められております。
CRAは他のEU法規制・規格(サイバーセキュリティ規則、NIS 2指令、機械規則、AI規則など)と相互補完的に機能し、製造業やシステムインテグレーターに対して総合的なサイバーセキュリティ対応を要求します。とりわけ、生成AIや高度な制御技術が進む中で、機械安全とサイバーセキュリティが一体化した形の適合性評価が進んでいる点が大きな特徴です。
しかし、EU法規制へ適合したからといって、それがすべてのリスクをカバーできるわけではありません。サイバーレジリエンスという最終目的に向けては、IEC 62443のような国際規格の導入や、製品ハードウェア設計から見直す継続的な改善が欠かせません。また、DX推進とセキュリティ対策の同時進行という課題にも目を向け、組織的・技術的な改革を図る必要があります。
次回の第8回「CRA対応がもたらすビジネスチャンスと未来」では、規制対応がもたらすビジネス上のメリットや、国際的な認証取得による市場拡大、ブランド価値向上の可能性を探りつつ、ICS研究所とともに描く次世代の製造業像を展望していきます。
ICS研究所は、製造業のためのセキュリティ認証と人材育成のスペシャリストです。
ICS研究所は、制御システムセキュリティ対策(IEC62443等)の
国際認証取得支援を始めとした人材育成を中心に、企業の事業活性化(DX対応等)を支援します。
なぜCRAが提案されたのか、どのようなゴール(製品セキュリティの強化や市場信頼性向上)があるのか。
「CRAが製造業に与える影響」を中心に、企業が直面する具体的なインパクトを多方面から考察します。
CRAで具体的にどのような製品が対象となるのか?どこまでが適用範囲で、どこが除外なのか?
CRAに明記された要求事項を整理し、実務でどのように実践するかに焦点を当てます。
「CRAへの対応戦略 その1」として、組織体制強化と人材育成を中心とした実務的アプローチを解説します。
「CRAへの対応戦略 その2」として、キーテクノロジーやIEC 62443との連携について、事例を交えて解説します。
CRAと他のEU法規制・規格(サイバーセキュリティ規則、NIS 2指令、機械規則、AI規則など)との相互関係を解説します。
※詳細は後日公開
CRAへの対応は製造業にとって避けられない課題です。10年以上にわたる製造業向けセキュリティ支援の実績を持つICS研究所が、法規制対応から中長期的なレジリエンス構築まで、専門知識と実践的アプローチで貴社の事業継続を支えます。
〒160-0004 東京都新宿区四谷1-15
アーバンビルサカス8 A棟2階