欧州サイバーレジリエンス法(CRA)とは何か
こうした流れの中で、EUで新たに制定されたのが「サイバーレジリエンス法(CRA)」です。CRAは、ソフトウェアとハードウェアを含む幅広い製品に対して、設計・開発から市場投入後のライフサイクルに至るまで、一貫したサイバーセキュリティ要件を課す包括的な法規制です。
CRAが目指しているのは、EU市場に流通する製品のサイバーセキュリティ水準を底上げし、利用者が安心してデジタル製品を利用できる環境を整えることです。そのために、メーカーなどの事業者に対して、
- 製品を市場に出す前に、一定のセキュリティ要件を満たしていること
- 市場に出した後も、脆弱性情報を収集・管理し、必要な対策と報告を行うこと
を義務づけています。
誰が、どんな製品が対象になるのか
CRAの対象となるのは、単にソフトウェア製品に限られません。ネットワーク接続機能を持つ多くのハードウェア製品や、ソフトウェアとハードウェアが組み合わさったシステムも含まれます。さらにメーカーだけでなく、輸入業者や販売業者など、サプライチェーン上の関係者にも一定の責任が課されます。
対象製品は、リスクレベルに応じていくつかのクラスに分類され、高リスクに位置づけられる製品については、より厳格な適合性評価や文書化が求められます。たとえば産業用制御機器や、重要インフラに用いられるネットワーク製品などは、社会的な影響が大きいため高いセキュリティ水準を証明する必要があります。
CRA施行スケジュールと製造業への影響
CRAは2024年に成立し、今後は数年かけて段階的に適用されていきます。現時点で重要なマイルストーンとなるのは、
- 2026年9月頃から始まる、脆弱性・インシデント報告の義務化
- 2027年12月頃からの、セキュア開発を含む全面適用
といったスケジュールです。
特に、グローバルに製品を展開している日本企業にとっては、EU向け製品だけの問題ではありません。EU市場に合わせてセキュリティ要件や開発プロセスを整備することは、結果として他地域のビジネスにも波及します。また、海外のパートナーや顧客から、「CRAを踏まえたセキュリティ対応状況」を問われるケースも増えていくでしょう。
逆に言えば、CRA対応をきっかけとして自社の製品セキュリティ体制を整備し、PSIRTの運用レベルをアップさせることは、中長期的には競争力の源泉にもなり得ます。法令順守のためにやむなく取り組む「コスト」ではなく、ビジネス継続と信頼確保のための「投資」として捉える視点が重要です。
次回以降、何をどのように解説していくか
本稿では、IoT機器を取り巻くサイバー脅威の現状と、その延長線上で生まれた法規制・国際標準化の動きを概観し、その中で欧州のサイバーレジリエンス法(CRA)がどのような位置付けにあるのかを紹介しました。
第2回以降では、より具体的に以下のようなテーマを順に取り上げていきます。
- 2026年に始まる「脆弱性・インシデント報告義務」に対して、メーカーが何を準備すべきか
- 2027年の全面適用に向けて、開発プロセスにどのようにセキュリティを組み込むべきか
- CRAの各要求事項に対応するうえで、どのような組織体制やPSIRT運用が鍵となるのか
「何から手をつければよいのか分からない」という状態から一歩踏み出し、自社の製品セキュリティとCRA対応の全体像を描けるようになることが、この連載のゴールです。次回もぜひお読みいただければ幸いです。
この記事は参考になりましたか?
- この記事の著者
-
韓 欣一(カン シンイチ)
GMOサイバーセキュリティbyイエラエ株式会社
グローバル戦略部 部長代理京都大学大学院修了後、大手コンサルティングファームに入社。セキュリティコンサルタントとして、Webアプリケーションのセキュリティ評価、NIST CSF/SP 800シリーズおよびISO/IEC 27001等にもとづく国際標準適合支援...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
