欧州Cyber Resilience Act――整合規格ドラフトから読み取る、企業に求められるアクションと対応戦略

1. Cyber Resilience Actとその整合規格の概要

CRAの背景と目的

欧州が推進する製品サイバーセキュリティ関連規制であるCyber Resilience Act（CRA）は、2026年9月からインシデントや積極的に悪用された脆弱性の報告義務が適用されており、2027年12月からは製品に関するセキュリティ要件を含むすべての要件が適用される予定です。CRAは欧州域内へ流通するほぼすべてのデジタル製品を対象に、サイバー攻撃耐性の底上げと安全を確保することを目的としています。

EUのデジタル単一市場統合戦略の重要な一環であり、製品が提供する機能の安全性だけでなく、その設計から保守・廃止に至るライフサイクルの包括的なセキュリティ対応が法的に義務化されます。これにより、サプライチェーンリスクを緩和し、欧州市民および企業のセキュリティインシデントを減少させることを狙っています。

整合規格の構造

CRAに準拠するために策定された技術的要件は、整合規格において大きく二区分で構成されています（図表1）。

水平規格はCRA対応の前提となる脆弱性管理体制などの組織としての取り組みや、製品種別に関係なく適用されるサイバーセキュリティ要件など全般的に適用されるべき基準を提供します。そのため、産業機械、IoT機器、組み込み機器など、製造する製品の種別にかかわらず幅広く適用されます。これら水平規格を前提とした上で、垂直規格の適用により製品固有のサイバーリスクに対処します。垂直規格はETSI（欧州電気通信標準化機構）などが策定を進めており、順次ドラフトが公開され始めている状況です。本記事では以降、水平規格について解説します。

2. 水平規格（prEN 40000-1-1、1-2、1-3、1-4）の要件

製造業の企業がCRAに対応するにあたり、初めに取り組むべきは、CRA対応の前提となる組織の取り組みや製品種別によらない製品向け要件を示した水平規格の理解です。以下ではprEN 40000-1-2（5～7章）、1-3を詳細に解説し、企業に求められる具体的アクションを明示します。また、ドラフトが公開されていないprEN 40000-1-4についてはprEN 40000-1-2との関連性を概説します。

サイバーセキュリティの原則（Cyberseucirty principles）

prEN 40000-1-2の5章「Cybersecurity principles」は、製品ライフサイクル全体で適切なサイバーセキュリティを確保するための基本的な考え方を示しています。ここではリスクベースアプローチに基づき、製品のコンテキストを明確化し、脅威分析やリスク評価、リスク対応、さらにはリスクの監視・コミュニケーションを体系的に実施することを求めています。また、セキュリティ・バイ・デザイン、セキュア・バイ・デフォルト、透明性といった製品セキュリティの原則が定められており、設計から廃止まで一貫したセキュリティ確保を促します。各原則には具体的なガイダンスが付され（図表3）、組織・製品レベルでの実践を促進します。

リスクマネジメント（Risk management elements）

prEN 40000-1-2の6章「Risk management elements」では、製品のライフサイクル全体に適用されるリスク管理の基本要素を規定しています（図表4）。リスク管理は製品の設計、開発、生産、保守のすべての段階で実施され、変化に応じて繰り返し評価・対応を行います。主なプロセス要素は「製品コンテキストの確立」「リスク受容基準の設定」「リスク評価」「リスク対応」「リスクコミュニケーション」「リスク管理のレビュー」で構成されます。これにより、適切なサイバーセキュリティレベルが維持されます。

サイバーセキュリティ活動（Cybersecurity activities）

prEN 40000-1-2の7章「Cybersecurity activities」は、製品のサイバーセキュリティを製品ライフサイクル全体で維持・向上させるための具体的な要件と活動を体系的に示しています。製品の設計から運用、保守、廃止に至るまでの各段階で実施すべき重要なサイバーセキュリティ活動が詳細に規定されており（図表5）、CRA対応企業にとって実務的な指針となる内容です。

以下では、prEN 40000-1-2の内容に基づきながら各活動に関する主要なポイントを紹介します。

サイバーセキュリティ計画の策定

• 製品ライフサイクル全体にわたるセキュリティ対策の計画策定と文書化を義務付け。
• リスク受容基準や評価・管理手法を明確化し、計画は継続的に更新。
• 適切な場合には人員の役割分担や教育訓練も計画に含め、組織全体での統制強化を確保。

製品サイバーセキュリティ要件の設定

• 製品コンテキストやリスク評価を踏まえた具体的なセキュリティ要件の文書化が必須。
• ステークホルダー期待や規制要件も加味し、適用される管理策を体系的に選定・実装。
• 技術仕様は追跡可能・検証可能な形で整備。

prEN 40000-1-2では、製品に実装されるべきサイバーセキュリティ要件は具体化されていません。この点については、現在ドラフティングが進んでいるprEN 40000-1-4で規定される予定です。prEN 40000-1-4はCRA 付属書I 第I部が定める製品の必須サイバーセキュリティ要件（2）（a）から（2）（m）に対応した一般的な技術的サイバーセキュリティ要件および評価基準を規定するものです。これらの要件はリスク評価の結果に基づいて実装されるもので、prEN 40000-1-4においてもサイバーセキュリティ上の脅威と要件との関係を示しつつ、特定されたリスクに対応するための適切な要件を選定する際のアプローチのガイドラインが含まれる見込みです。内容としてはEN 18031シリーズ（インターネットに接続可能な無線機器のセキュリティ要件）を基盤とし、CRAを踏まえたセキュリティ管理策が追加される予定です。また、産業用機器などに対する技術的要件を定めたIEC 62443-4-2などとも関連付けられる見込みです。ドラフトに対するパブリックコメントは2026年7月中旬から11月中旬にかけて実施される予定です。

サイバーセキュリティ設計・アーキテクチャ

• コンポーネント間の信頼境界の明確化、安全なインタフェース設計が要求される。
• セキュリティ・バイ・デザイン、セキュア・バイ・デフォルト原則を遵守。
• 第三者コンポーネントやRDPS（リモートデータ処理ソリューション）の適切な統合管理も重要。

セキュアな実装

• SBOM（Software Bill of Materials：ソフトウェア部品表）の整備と更新を義務付け、構成部品ベースで脆弱性監視を可能にする。
• 各プログラミング言語に応じたセキュアコーディングとメモリ安全の確保。
• 開発環境のセキュリティ維持（アクセス管理、鍵管理）も必須。
• ユーザーセキュアな実装のための技術文書の作成およびユーザーやステークホルダー向けの情報と指示。

サイバーセキュリティの検証・確認（Verification & Validation, V&V）

• 製品がサイバーセキュリティ要件に適合していることを多層的に確認。
• ペネトレーションテスト、ファズテスト、ストレステスト等多様な検証手法を取り入れ、継続的に実施。
• 外部インタフェースやプロトコルの脆弱性も検証対象。

セキュアな製造・流通

• 製品に対するサイバーセキュリティリスクが製造および配布プロセス全体で管理されることを目的に物理的・論理的管理策を整備し、製品の改ざんを防止。
• ファームウェアを含むソフトウェアの製造や更新であるデジタル製造も対象であり、特にソフトウェアイメージ等の配布物が配布中に攻撃者などによって改ざんされないように認証・完全性保護を実施。
• 安全な配布チャネルの確立により、利用者に誤情報が提供されるリスクを低減。

サイバーセキュリティ問題の管理

• 特定された脆弱性・インシデントの適切かつ迅速な評価、記録、対応を義務付け。
• 必要に応じて回避策や改善策をユーザーに通知。
• 外部からの脆弱性開示報告も正式に受理し、体系的に処理。

製品の監視と安全な廃止計画

• 新規の脆弱性や脅威情報を継続的に監視しリスク分析を更新。
• 製品寿命終了時のデータ消去や廃棄方法、規制要件などを踏まえた公表方針を計画的に管理。

第三者コンポーネントのサイバーセキュリティ管理

• コンポーネントの選定にデューデリジェンスを適用し、脆弱性リスクを評価・管理。
• SBOMでコンポーネントの追跡性確保。
• 供給者との責任分担を明文化し情報共有の仕組みを構築。

脆弱性管理および報告要件

prEN 40000-1-3は、製品のサイバーセキュリティ脆弱性に関する受付から評価、対応、報告までのプロセスを規定し、ISO/IEC 29147（脆弱性開示）および30111（脆弱性対応プロセス）との整合を図っています。これに加えて、ソフトウェアサプライチェーンの透明性を高めるため、SBOMに関する要件を明確に含んでいる点が特徴です。また、以下に示す要件より、事実上PSIRT体制の整備は必須と言えます。

脆弱性受付窓口の設置および運用

• 製品に関して発見された脆弱性を受け付ける公式な連絡窓口（CSIRTあるいはPSIRTや専用メールアドレス、Webフォーム）を設置し、外部からの報告を確実に受理。
• 報告者の権利保護（匿名報告の可否、機密情報の取り扱い）とともに、報告内容を明確に分類・管理するプロセスが必要。
• 外部からの情報受付だけではなく、組織内において脆弱性スキャンなどの定期的なテストとレビューを行い、脆弱性を特定してそのリスクレベルに応じた対策を取るための計画と体制を整えることが必要。

脆弱性評価プロセス

• 報告された脆弱性は速やかに初期評価を行い、その深刻度に応じて分類（例：CVSSスコア活用）。
• 深刻度に応じて対応優先度を決定し、修正策の検討を迅速に開始。

脆弱性対応と修正の実施

• 脆弱性の診断結果に基づき、ソフトウェアやファームウェアのアップデート、パッチの作成・テスト・配布を実施。
• アップデートの署名検証など改ざん防止措置を施し、安全にユーザーが適用できる体制を整備。
• 時期設定（緊急修正、計画的修正含む）を適宜調整し、影響範囲は明確に公表。

脆弱性対応窓口の設置および運用に関しては、本水平規格の基盤となるISO/IEC 29147やISO/IEC 30111のほか、ISO/IEC 29147についての解説記事「脆弱性報告窓口運用におけるリスクと企業がとるべき戦略」も併せてご参照ください。

SBOM関連要件

prEN 40000-1-3は、以下のとおりSBOMの作成および管理に関する要件を明確にしています。

SBOMの作成および更新義務

各製品に含まれるすべてのソフトウェア部品（自社開発と外部調達の区分も含む）を一覧化し、SBOMとして文書化・電子管理しなければなりません。このSBOMには部品名、バージョン、供給元、使用許諾、既知の脆弱性情報（追跡可能なCVE番号など）を含める必要があります。

SBOMの透明性・開示性

欧州当局や顧客からの要請に応じてSBOMを提供する体制を整備するほか、脆弱性対応時に活用し、影響分析の迅速化に寄与します。また、SBOMは製品ライフサイクル全体で継続的に更新されるものであり、新たなソフトウェア組み込みやアップデート時に常に最新状態を維持する管理体制を義務付けています。

SBOM活用による脆弱性リスク軽減

調達先のソフトウェアに関する脆弱性情報をSBOMに基づき把握し、問題発覚時には迅速に特定コンポーネントに対する対応を行うことが求められます。SBOMは広義の脆弱性管理プロセスの根幹として機能します。

脆弱性報告と欧州当局対応

報告義務の厳格化

本稿の「脆弱性管理および報告要件」で言及したprEN 40000-1-3に則った脆弱性管理体制を構築する上では、CRAが定める脆弱性報告要件への対応も考慮に含める必要があります。実際にサイバー攻撃に用いられているケースなど、積極的に悪用された脆弱性についてはCRAにおいて当局への24時間以内の早期通知と72時間以内の詳細報告が義務付けられています。また、積極的に悪用されていない脆弱性も含めて必要に応じてユーザーなどの関係者への通知が求められる場合があります。

当局との連携強化

prEN 40000-1-3は、脆弱性対応の透明性確保のため製造者が当局からの問い合わせに速やかに回答し、追加要求にも柔軟に対応することを推奨しています。

ペナルティリスク

積極的に悪用された脆弱性に関する報告遅延や脆弱性に関する不当な情報隠蔽と疑われうる行為はCRAへの違反にあたる可能性があり、実際に違反となった場合は欧州市場における販売停止や高額な罰金といった厳しい執行に繋がりかねません。また、執行リスクだけではなくブランドイメージの毀損なども懸念されます。prEN 40000-1-3に基づいた脆弱性管理体制はこのようなリスクを避ける上でも極めて重要です。

3. 製造業が欧州市場に上市し続けるために求められるアクション

前述の通り、水平規格のドラフト公開に伴い、製造業が欧州市場に上市するために対応すべき要件が明らかになりつつあります。図表6に、これまでの解説を踏まえた主要な対応事項をまとめます。

これらの対応事項は組織内部では完結せず、欧州監督当局と連携して推進される必要があります。そのため、CRA対応においては単なる技術要件の適用だけでなく、欧州監督当局との適切かつ対等なコミュニケーションの確立と維持が不可欠と言えます。そのために検討すべき課題と戦略・ポイントを図表7に示します。