欧州サイバーレジリエンス法（EU CRA）対応のため、PSIRTに求められる脆弱性分析とは

2026-03-30

サイバーレジリエンス法（Cyber Resilience Act：CRA）の整合規格として、2025年10月より水平規格prEN 40000-1-1、1-2、1-3のドラフトが順次公開され、製造業を中心としたCRA対応企業に求められる具体的な要件が明らかになりつつあります。

本稿では、このうち脆弱性ハンドリングに関する水平規格であるprEN 40000-1-3のドラフトを基に、PSIRT（Product Security Incident Response Team）の中核的な活動の一つである脆弱性の評価について、企業に求められる具体的なアクションを解説します。

なお、本記事は2026年2月時点で公開されているドラフト版の内容に基づいています。今後、パブリックコメント等を通じて要件が変更される可能性がある点にはご留意ください。

prEN 40000-1-3で求められる脆弱性の検証

prEN 40000-1-3における脆弱性の検証は、主に以下2つのプロセスで構成されます（図表1）。

[VRF-1] Initial assessment and verification（初期評価・検証）

[VRF-2] Vulnerability risk assessment（脆弱性リスク評価）

図表1：[VRF-1]、[VRF-2]のプロセスイメージ

次に、これらを実施する上で特に重要となるポイントを整理します。

脆弱性情報と設計情報の突合

製品への影響有無の判断や脆弱性の重要度評価を行うためには、モニタリングによって取得した脆弱性情報と、製品の設計情報やセキュリティ対策情報を突合できる状態にしておくことが不可欠です。

この突合を効率的に行うためのアプローチとしては、SBOM（Software Bill of Materials）やHBOM （Hardware Bill of Materials）などの部品表と脆弱性情報を連携させる仕組みの構築が有効です。

また、こうした仕組みが十分に整備されていない場合であっても、以下の対応を行うことで調査の迅速化・効率化が期待できます。

製品の開発情報をデータベース等で管理し、検索可能な状態にしておく
開発を外部に委託している場合、委託先とのコミュニケーションラインや責任分担を明確化しておく

リスクアセスメントの実施と対応

脆弱性情報がリスクアセスメント結果にどのような影響を与えるかを分析し、対応の優先度を判断することが求められます。

脆弱性は、大きく分けて二つのケースに整理できます。

一つは、開発時には想定していなかった新たな脅威として顕在化するケースです。

もう一つは、暗号技術の危殆化などにより、既存のリスク低減策の妥当性を揺るがすケースです。

いずれの場合も、結果としてリスク評価値に影響を及ぼすことになります。

リスクが受容基準を超えると判断された場合には、速やかに脆弱性への対応を実施する必要があります。

脆弱性対応プロセスの構築

上記の活動を継続的に実施するためには、以下を含む脆弱性対応プロセスの整備が重要です。

情報が不足している場合や状況を共有する際の、報告者とのコミュニケーションラインの確立
通常の開発・アップデートプロセスとは異なる脆弱性対応を迅速化するための、例外的プロセスの定義

これらをあらかじめ整備しておくことで、脆弱性対応の迅速性と実効性を高めることが可能となります。

本稿では、prEN 40000-1-3で求められる脆弱性の検証について解説しました。

CRAでは2026年9月以降に脆弱性の報告義務が発生することが予定されています。またPSIRTの活動は単一部門に完結するものでなく、多部門の協調を必要とする場面が多く存在します。そのため、早期のプロセス構築および運用開始が重要です。

PwCコンサルティングでは「PSIRT徹底解説」と題し、製造業において求められるPSIRTの全体像についても解説しています。PSIRTの概要や全体像を把握したい方は、併せてご参照ください。

執筆者

奥山謙

ディレクター, PwCコンサルティング合同会社

和栗直英

シニアマネージャー, PwCコンサルティング合同会社

山口直幹

シニアマネージャー, PwCコンサルティング合同会社

堀江涼介

マネージャー, PwCコンサルティング合同会社

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}

本ページに関するお問い合わせ

© 2004 - 2026 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.

欧州サイバーレジリエンス法（EU CRA）対応のため、PSIRTに求められる脆弱性分析とは

prEN 40000-1-3で求められる脆弱性の検証

脆弱性情報と設計情報の突合

リスクアセスメントの実施と対応

脆弱性対応プロセスの構築

執筆者

{{filterContent.facetedTitle}}

{{filterContent.facetedTitle}}

{{filterContent.facetedTitle}}

本ページに関するお問い合わせ

欧州サイバーレジリエンス法（EU CRA）対応のため、PSIRTに求められる脆弱性分析とは

prEN 40000-1-3で求められる脆弱性の検証

脆弱性情報と設計情報の突合

リスクアセスメントの実施と対応

脆弱性対応プロセスの構築

執筆者

{{filterContent.facetedTitle}}

{{item.title}}

{{item.title}}

{{filterContent.facetedTitle}}

{{item.title}}

{{item.title}}

{{filterContent.facetedTitle}}

{{item.title}}

{{item.title}}

本ページに関するお問い合わせ

関連サービス

サイバーセキュリティ＆プライバシー

サイバーセキュリティコンサルティング

デジタル分野におけるグローバル法規制対応支援サービス

脆弱性診断サービス