欧州CRA入門！製品セキュリティ対応をマスターしよう

CRA対応、2つのデッドライン：2026年「報告義務」／2027年「適合義務」で必要な実務タスクとは？

第2回

薫田康弘[著]

2026/03/13 08:00

通知

第1の壁：2026年9月からの「脆弱性・インシデント報告義務」

　最初のデッドラインは、CRA施行から21ヵ月後（2026年9月）に先行して適用される報告義務です。

　CRA第14条では、製品に特定のセキュリティ事象が発生した場合、欧州ネットワーク・情報セキュリティ機関（ENISA）および関連するCSIRTへ通知することを義務付けています。

表1：CRA第14条製造業者の報告義務について

※表中の「＃」は、CRA第14条における項番（パラグラフ番号）を示しています。本表では、製造業者の実務において特に重要となるサイバーセキュリティ固有の要件を抜粋して記載しています。
第14条	製造業者の報告義務概要
#1、#3	製造業者は、製品に含まれる積極的に悪用される脆弱性／製品のセキュリティに影響を及ぼす重大なインシデントを認識した場合、コーディネータとして指定されたCSIRTおよびENISAに同時に通知するものとする。
#2	通知のために、製造者は以下を提出するものとする。（a）積極的に悪用されている脆弱性に関する早期警告通知を、過度の遅滞なく、いかなる場合にも製造者がその存在を認識してから24時間以内に提出する。（b）製造者が積極的に悪用された脆弱性を認識してから、過度の遅滞なく、いかなる場合であっても72時間以内に、脆弱性に関する以下の通知を行う。当該製品に関する一般的情報当該脆弱性および悪用の一般的性質講じられた是正措置または緩和措置ユーザーが講じることができる是正措置または緩和措置（c）是正策はたは緩和策が利用可能になってから14日以内に、少なくとも以下を含む最終報告書を提出する。脆弱性の深刻度および影響を含む脆弱性の説明脆弱性を悪用した、または悪用している悪意のある行為者に関する情報脆弱性を是正するために提供されたセキュリティ更新またはその他の是正措置の詳細
#4	通知のために、製造者は以下を提出するものとする。（a）製品のセキュリティに影響を与える重大なインシデントについて、不当な遅滞なく、いかなる場合にも24時間以内に早期警告通知を提出する。（b）製造者が重大なインシデントを認識してから、過度の遅滞なく、いかなる場合であっても72時間以内に、インシデントに関する以下の通知を行う。インシデントの性質インシデントの初期評価講じられた是正措置または緩和措置ユーザーが講じることができる是正措置または緩和措置に関する一般的な情報（c）（b）に基づくインシデント通知の提出後1ヵ月以内に、少なくとも以下を含む最終報告書を提出する。インシデントの詳細な説明（重大度と影響度を含む）インシデントを引き起こしたと考えられる脅威または根本原因の種類適用された継続中の緩和策

　上記、CRA第14条の規定から読み取れる最大の課題は、報告までの厳格なタイムラインです。「悪用された脆弱性」および「重大なインシデント」のいずれにおいても、「その存在を認識してから、いかなる場合にも24時間以内に」早期警告通知を提出することが求められます。条文上の「いかなる場合にも」は、営業日などの考慮がないことを意味するため、休日や夜間であっても24時間以内に事象を検知し、第一報を上げる運用フローの構築が必要となります。

　この報告義務を果たすための具体的なプロセスを示しているのが、EN 40000-1-3です。同規格の「Clause 5（Vulnerability handling）」では、脆弱性対応を以下のフェーズに分け、要求事項を定義しています。

表2：EN40000-1-3 第5条項脆弱性ハンドリングについて

Clause 5	概要
5.1 General （一般）	脆弱性ハンドリングプロセスの全体概要
5.2 Applicability（適用性）	製品のリスクに応じた要件強化の判断
5.3 Preparation（準備）	脆弱性ハンドリングポリシーや協調的脆弱性開示（CVD）ポリシーの策定。また、脆弱性の影響調査に不可欠なSBOM（ソフトウェア部品票）の作成・維持（Clause 5.3.8）などもここで規定される
5.4 Receipt （受領）	外部からの報告を受け付ける窓口の設置と、内部テストや外部データベースなどを通じた継続的なモニタリング
5.5 Verification（検証）	報告された脆弱性の妥当性確認と、製品のリスク評価に基づく優先順位付け（トリアージ）
5.6 Remediation（修復）	対応方針の決定、パッチの開発、およびテスト
5.7 Release （リリース）	セキュリティ更新プログラムの配布とアドバイザリ（通知）の公開
5.8 Post-release（リリース後）	対応後の継続的な監視とプロセスの改善

　2026年9月の段階では、製品そのものの設計適合までは問われません。しかし、実務としては、「脆弱性を受領・監視し、検証して、24時間以内に報告する一連の運用プロセス（Clause 5.3〜5.5を中心とした体制）」が確実に稼働している必要があります。

次のページ
第2の壁：2027年12月までの「セキュア開発と適合義務」

この記事は参考になりましたか？

広告を読み込めませんでした

広告を読み込み中...

印刷用を表示

欧州CRA入門！製品セキュリティ対応をマスターしよう連載記事一覧: CRA対応、2つのデッドライン：2026年「報告義務」／2027年「適合義務」で必要な実務...

欧州サイバーレジリエンス法への備えは大丈夫か？製品セキュリティの規制が加速する理由と対応の...

この記事の著者: 薫田康弘（クンダヤスヒロ）

GMOサイバーセキュリティbyイエラエ株式会社グローバル戦略部シニアエンジニア国内セキュリティベンダーに入社し、製品に対するペネトレーションテストやマルウェア解析トレーニング講師を務めるなど、技術基盤を確立。その後、大手コンサルティングファームにて、車載機器の脅威分析やOEMサプライヤに対する標...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事