CRAの目的と背景
なぜCRAが提案されたのか、どのようなゴール(製品セキュリティの強化や市場信頼性向上)があるのか。
連載解説CRAとは何か?どう対応すれば良いのか?
CRAが製造業へ与える影響
「CRAが製造業に与える影響」を中心に、企業が直面する具体的なインパクトを多方面から考察します。
CRAの適用範囲と対象製品
CRAで具体的にどのような製品が対象となるのか?どこまでが適用範囲で、どこが除外なのか?
CRAの要求事項と遵守のポイント
CRAに明記された要求事項を整理し、実務でどのように実践するかに焦点を当てます。
CRAへの対応戦略 その1
「CRAへの対応戦略 その1」として、組織体制強化と人材育成を中心とした実務的アプローチを解説します。
CRAへの対応戦略 その2
「CRAへの対応戦略 その2」として、キーテクノロジーやIEC 62443との連携について、事例を交えて解説します。
※詳細は後日公開
※詳細は後日公開
次回のCRA解説は?
CRAと他の国際規格(IEC 62443以外にも、AI法やEN 18031など)との関係や、認証取得に向けた留意点を詳しく解説します。
CRAの準備をして新しいEU規制に備える
欧州サイバーレジリエンス法(CRA)により、「デジタル要素を含む製品」に対して拘束力のあるサイバーセキュリティ要件が導入されます。CRAの目的は企業がサイバー攻撃に対するレジリエンスを高め、信頼性の高いデジタルサービスを提供することです。
- 欧州サイバーレジリエンス法(CRA)発行
- 製造業者は自社製品の脆弱性について国家当局とENISAに通知する報告義務が開始されます
- CRAの全規定が適用され、CEマークなしでは「デジタル要素を持った製品」をEUで販売できなくなります
しかし、次のような疑問が残ります。CRAとは正確には何なのか?この法律に準拠するには何をする必要があるのか?
CRAの概要をまず知りたい!
CRA解説連載の第1回で「CRAの目的と背景」を解説しています。
CRA(欧州サイバーレジリエンス法)とはそもそも何か?なぜサイバーセキュリティに関する法規制や標準化が急速に進んでいるのか、詳しく解説しています。
CRAの影響を受ける事業者は?
CRAの対象となるデジタル要素を持った製品は有線・無線を問わず、EU内で販売されるあらゆるコネクテッドデバイスが対象となっており、デバイスやネットワークに直接的・間接的に接続する製品も含まれます。そのため、多種多様な製品がCRAの対象となりますので再確認をしてください。
- 製造業者
- 有償か無償かを問わず、デジタル要素を含む製品を開発、製造、または販売する個人または企業。
- 輸入業者
- EU 域外の自然人または企業の名前または商標を付したデジタル要素を含む製品を市場に投入する EU 域内の個人または企業。
- 販売代理店
- 製造業者および輸入業者を除き、特性を変更することなくデジタル要素を含む製品を EU 市場に供給する個人または企業。
- オープンソースソフトウェア
- 商用目的でオープンソースソフトウェアとみなされるデジタル要素を備えた特定の製品の開発を体系的にサポートするメーカー以外の企業。
- ハードウェア
- デジタル データを処理、保存、または送信する物理的な電子システム、およびそのシステムのコンポーネント。
- ソフトウェア
- 統合ソフトウェア(組み込みソフトウェア)、スタンドアロン ソフトウェア、商用ソフトウェア ソリューション。
- クラウドサービス
- スマートなリモート制御家電のメーカーが提供するクラウド サービスなどのリモート データ処理ソリューション。
対象外の製品
- 医療機器規則の対象製品
- 体外診断用医療機器規則の対象製品
- 民間航空機規則の対象製品
- 自動車の型式承認規則の対象製品
- 国家安全保障に関するデジタル製品
- 軍事目的・機密情報処理目的の製品
- SaaSなどのソフトウェアサービス
- 研究開発目的のオープンソースソフトウェア
CRAの適用範囲と対象製品を知りたい!
「CRAで具体的にどのような製品が対象となるのか? どこまでが適用範囲で、どこが除外なのか?」を明確化いたします。
第4回以降の「具体的な要求事項や遵守のポイント」への橋渡しも兼ねて、Class I(低リスク)/Class II(高リスク)の製品例や、パブリックコメント後に除外された機器・システムについても網羅的に整理します。
日本企業のCRA対応実態調査
ICS研究所は、2025年1月24日に開催したOTセキュリティ無料セミナー参加者を対象に「CRA(欧州サイバーレジリエンス法)への対応状況」についてアンケートを実施し、31件の回答(複数回答可)を得ました。その結果、以下のような傾向が見えてきました。
- CRAに関する情報収集を積極的に行っている: 71%
- 自社内でCRA対応を検討中: 41.9%
- サプライチェーン内のCRA対応が着々と進んでいる: 0%
- サプライチェーン内のCRA対応がなかなか進んでいない: 12.9%
主な考察
回答からは、CRAへの関心は高く情報収集は進んでいる一方で、サプライチェーン全体を見据えた取り組みが十分に進んでいない現状がうかがえます。CRAは製品の供給責任を果たすために、企業単独での対応だけでなく、サプライチェーン全体でのリスク評価や対策推進が重要視されています。しかしながら今回の結果を見る限り、サプライチェーンに対する具体的な検討や連携が始まっていない企業が多いようです。
ICS研究所では、この解説を通じてCRAの最新動向や本質を発信するとともに、関連セミナーやコンサルティングを通じて、日本の製造業の製品セキュリティ強化と欧州関連法規制への対応を支援してまいります。
CRAに関するよくあるご質問
CRA(欧州サイバーレジリエンス法)に関する知識や理解を深めるため、ICS研究所のコンサルタントにお寄せいただいておりますご質問を整理して公開しております。ぜひご参考にしていただき、課題解消にお役立てください。
CRAでは、一般的な産業機械は自己適合宣言で良いと理解しています。そのため、IEC62443-4-2に準じて適合確認を進めようと考えていますが、一般的な産業機械であっても自己適合宣言で済まないケースはあるのでしょうか?
一般的な産業機械や産業用PLC、DCS、CNC、SCADAなどの産業用自動化制御システム製品であっても、機能安全などの安全機能を装備し、AI技術(機械学習機能含む)を扱っている場合は、AI法(EU Artificial Intelligence Act, EU 2024/1689)や機械規則(EU 2023/1230)の規制を受けます。つまり、セキュリティの第三者認証を取得している必要があります。現在の製品機能や将来のバージョンアップ計画を考慮して判断することが重要です。
CRAでは、サプライチェーン全体でのリスク評価や対策推進が重視されていますが、現状は協力企業や部品のサプライヤーのセキュリティへの取り組みや意識に問題を感じています。何か良い対策があれば教えてください。
CRAは製品の供給責任を果たすために、企業単独での対応だけでなく、サプライチェーン全体での対策や、製品ライフサイクル全般にわたりセキュリティを考慮した「セキュリティ・バイ・デザイン」が重視されています。また、CRA対応で下支えとなる規格IEC 62443では「セキュリティ専門知識」に関わる要求(IEC 62443-4-1 SM4)があり、「職務の担当者が、役割に応じたセキュリティの専門知識を持っていることを証明するために、セキュリティ教育および評価プログラムを定め、提供しなければならない。」と定められており、この要求を満たすような施策が1つの基準になるのではないでしょうか。この要求に対応するサービスとして、ICS研究所はオンラインビデオ講座の"eICS"や、IEC 62443に準拠した実務能力が評価できる"制御システムセキュリティ実務能力検定"を提供しています。