採用情報

お問い合わせ

BLOG

  1. HOME
  2. BLOG
  3. IoT
  4. IoT 技術コラム
  5. 欧州サイバーレジリエンス法 (CRA) における製造業者への要求事項と対応方法

IoT 技術コラム

2025 年 03 月 05 日

欧州サイバーレジリエンス法 (CRA) における製造業者への要求事項と対応方法

はじめに

2024 年 12 月 10 日、欧州サイバーレジリエンス法 (Cyber Resilience Act、以降 CRA と表記) が発効されました。

CRA の第 71 条に定められているように、2026 年 9 月 11 日には「第 14 条 製造業者の報告義務」が開始され、2027 年 12 月 11 日には全面適用されます。

本記事では、CRA での製造業者 (manufacturers) への要求事項と、要求事項に対応するためのサイバートラストのサービスをご紹介します。

CRA とは?

CRA とは、2027 年 12 月 11 日以降 (第 14 条については 2026 年 9 月 11 日以降)、EU (Eupropean Union) 加盟国に出荷されるデジタル製品に対して課される法律です。CRA に違反した場合には、高額な制裁金が課されることが定められています (第 64 条参照)。

CRA の対象となるデジタル製品の範囲は非常に広く、第 2 条で定められているようにネットワークに直接接続されていない製品でも、間接的に外部と接続可能なデジタル製品であれば CRA の対象となります。

また、CRA においてデジタル製品は以下のように分類されます。

重要なデジタル製品 (IMPORTANT PRODUCTS WITH DIGITAL ELEMENTS)

Class I: オペレーティングシステム、ルーター、スマートホーム製品、ネットワーク接続可能な玩具など
Class II: ハイパーバイザ、コンテナランタイム、ファイアウォール、IPS / IDS など

※詳細は附属書 III をご参照ください。

特に重要なデジタル製品 (CRITICAL PRODUCTS WITH DIGITAL ELEMENTS)

セキュリティボックス付きのデバイス、スマートメーター、スマートカード

※詳細は附属書 IV をご参照ください。

通常のデジタル製品

上記のいずれにも分類されないが、第 2 条に該当するデジタル製品

なお、第 7 条 第 4 項には、重要なデジタル製品および特に重要なデジタル製品の技術的説明を定める実施法が 2025 年 12 月 11 日までに採択されると示されており、読者のみなさまのデジタル製品がどこに分類されるかについては、左記の実施法の採択まで待つ必要があります。

製造業者への要求事項

製造業者への要求事項は、主に以下に定められています。

  • 第 13 条 製造業者の義務
  • 第 14 条 製造業者の報告義務
  • 附属書 I サイバーセキュリティの必須要件
    • Part I デジタル製品に対するサイバーセキュリティ要件
    • Part II 脆弱性処理要件

上記に記載されている要求事項の要点をまとめると、以下の 5 つになります。

  1. リスクアセスメントの実施
  2. セキュアな製品設計
  3. 出荷時に悪用された脆弱性を含まないこと
  4. SBOM の作成
  5. 悪用された脆弱性の早期報告

1. リスクアセスメントの実施

第 13 条 製造業者の義務」に定められています。

デジタル製品を EU 加盟国に出荷する場合、附属書 I の Part I に定められた基本的なサイバーセキュリティ要件に従い設計、開発、製造を行う必要があります。

このサイバーセキュリティ要件を遵守するためには、リスクアセスメント (cybersecurity risk assessment) を実施することが定められています。

また、デジタル製品を出荷する場合には、第 31 条に定められている技術文書に加え、リスクアセスメントの結果を含む必要があります。

2. セキュアな製品設計

附属書 I Part I デジタル製品に対するサイバーセキュリティ要件」に定められています。

例えば、(f) では、

(f) protect the integrity of stored, transmitted or otherwise processed data, personal or other, commands, programs and configuration against any manipulation or modification not authorised by the user, and report on corruptions;

と、許可されない操作からデータなどの完全性を確保することが定められています。

また、(g) では、

(g) process only data, personal or other, that are adequate, relevant and limited to what is necessary in relation to the intended purpose of the product with digital elements (data minimisation);

と、デジタル製品の使用目的に合ったデータだけを処理することが定められています。

その他、デジタル製品のサイバーセキュリティを確保するための要求が定められています。また、これらの要求を、設計、開発、製造の段階で行うことが製造業者の義務として定められています。

3. 出荷時に悪用された脆弱性を含まないこと

附属書 I Part I デジタル製品に対するサイバーセキュリティ要件」の (2) の (a) に定められています。

原文では、

(2) (前略) products with digital elements shall:

(a) be made available on the market without known exploitable vulnerabilities;

と定められており、EU 加盟国の市場に出荷されるデジタル製品は、出荷時には KEV を含まないことが製造業者の義務として明記されています。

「known exploitable vulnerabilities」は KEV と略され、直訳すると「既知の悪用された脆弱性」になります。具体的には「攻撃者によって実際に悪用されたことが確認されているセキュリティ上の脆弱性」を指しており、セキュリティ対策の優先度の指標となっています。

4. SBOM の作成

附属書 I Part II 脆弱性処理要件」の (1) に定められています。

原文では、

Manufacturers of products with digital elements shall:

(1) identify and document vulnerabilities and components contained in products with digital elements, including by drawing up a software bill of materials in a commonly used and machine-readable format covering at the very least the top-level dependencies of the products;

と定められており、機械的に可読可能 (プログラムで処理可能) なフォーマットの SBOM を用いて、 デジタル製品に含まれる脆弱性およびコンポーネント (ソフトウェアやライブラリ) を文書化する必要があります。また、最低でも top-level の SBOM を作成する必要があります。

SBOM のレベルについては、こちらの記事をご参照ください。

5. 悪用された脆弱性の早期報告

第 14 条 製造業者の報告義務」の (1) および (2) に定められています。

製造業者が、デジタル製品に積極的に悪用されている脆弱性 (actively exploited vulnerability) が含まれていることを認識した場合、EU 加盟国の CSIRT および ENISA に報告する義務があります。

具体的には、製造業者が悪用されている脆弱性を認識してから 24 時間以内に、その脆弱性を報告する必要があります。

また、製造業者が悪用されている脆弱性を認識してから 72 時間以内に、脆弱性の情報、該当するデジタル製品の情報、是正措置または軽減措置を報告する必要があります。

さらに、是正措置または軽減措置が利用可能になってから 14 日以内に、脆弱性の深刻度と影響、(可能であれば) 攻撃者の情報、セキュリティアップデートまたは更新された是正措置を最終報告として報告する必要があります。

なお、本記事では、悪用された脆弱性の早期報告について取り上げましたが、重大なインシデントについても、「第 14 条 製造業者の報告義務」の (3) に定められているように報告義務が課せられています。

また、「第 69 条 経過規定」の第 3 項で定められているように、CRA の全面適用開始日である 2027 年 12 月 11 日よりも前に EU 加盟国に出荷されている製品であっても、CRA が定めるデジタル製品に該当する場合には、2026 年 9 月 11 日以降は製造業者に報告義務が課されることになります。

CRA に対応するためのサイバートラストのサービス

サイバートラストでは、上述の製造業者への要求事項に応えるための製品およびサービスを提供しています。

CRA の要求事項 サイバートラストの製品・サービス
リスクアセスメントの実施 IoT リスクアセスメント
セキュアな製品設計 EMEliminator
出荷時に悪用された脆弱性を含まないこと EMLinux
Enterprise Pack for AlmaLinux
MIRACLE Vul Hammer SaaS
SBOM の作成 EMLinux
Enterprise Pack for AlmaLinux
MIRACLE Vul Hammer SaaS
悪用された脆弱性の早期報告 EMLinux
Enterprise Pack for AlmaLinux
MIRACLE Vul Hammer SaaS

IoT リスクアセスメント

IoT セキュリティコンサルティングサービスの 1 つとして、IoT リスクアセスメントを提供しています。

IoT リスクアセスメントでは、サイバーセキュリティ観点でのお客様のシステム構成図をもとに、被害シナリオ、脅威シナリオ、影響レベル、攻撃可能性を加味し、リスク評価を行います。

IoT リスクアセスメントおよびその他コンサルティングサービスについては、IoT セキュリティコンサルティングサービスのページをご参照ください。

EMEliminator

EMEliminator は、Linux を搭載した組込み機器や IoT 機器、サーバなどで使用可能なセーフリスト型のセキュリティソフトです。

PC やサーバにインストールされるアンチウイルスソフトのようなブロックリスト型のセキュリティソフトでは、悪意のあるプログラムのリストやパターンを作成する必要があるため、未知または未対応の脆弱性に対して攻撃を受ける可能性があります。

一方、セーフリスト型セキュリティソフトでは、安全であると認められるプログラムのリスト「セーフリスト」を作成し、セーフリストに基づいてプログラムの実行・拒否を制御します。セーフリストに登録されていないプログラムは実行が拒否されるため、新種のマルウェアや悪意あるプログラムの実行を防ぐことができます。

また、セーフリスト型のセキュリティソフトはブロックリスト型のセキュリティソフトと比較し、メモリやディスクの消費量が少ないという利点があります。CPU 負荷も低いため、幅広い機器に導入することが可能です。

加えて、EMEliminator ではセールフリスト内にプログラムやデータファイルのハッシュ値を登録できるため、プログラムやデータファイルの改ざんを検知することもできます。

詳細については、EMEliminator の製品ページをご参照ください。

EMLinux

EMLinux は、組込み機器および IoT 機器向けの Linux ディストリビューションです。

最長 10 年の超長期サポートを提供しており、サポート期間中にはセキュリティアップデートを定期的に提供しています。

また、EMLinux には「脆弱性検査機能」および「SBOM 出力機能」があります。「脆弱性検査機能」については、2024 年 12 月のアップデートにて KEV (Known Exploitable Vulnerabilities: 悪用された脆弱性) にも対応しています。

さらに、お客様の環境をサイバートラストにてお預かりし、定期的に脆弱性検査を行う「EMLinux カスタムメンテナンスサービス」もご用意しています。

詳細については、EMLinux の製品ページおよびEMLinux のブログをご参照ください。

Enterprise Pack for AlmaLinux

AlmaLinux は非営利団体である The AlmaLinux OS Foundation が運営するコミュニティ主体で開発されている Linux ディストリビューションです。

サイバートラストでは AlmaLinux を商用機器で使われるお客様のために、AlmaLinux をベースとした有償サービス「Enterprise Pack for AlmaLinux」を提供しています。

特に、Enterprise Pack for AlmaLinux ではマイナーバージョン (例えば AlmaLinux 9.6) の延長サポートを標準で利用できるため、製品出荷時の AlmaLinux マイナーバージョンを固定したまま、セキュリティアップデートを最大 7 年間適用し続けることができます。

加えて、初期インストール時およびアップデート後の SBOM 提供や、脆弱性管理ツールとの連携で包括的な CRA 対応を実現できます。

詳細については、AlmaLinux の製品ページEnterprise Pack for AlmaLinuxの製品ページFAQ をご参照ください。

MIRACLE Vul Hammer SaaS

MIRACLE Vul Hammer SaaS は、SBOM 作成機能および SBOM 管理機能、そして SBOM を用いた脆弱性検査機能を提供するクラウドサービスです。

特に SBOM の管理機能に特化しており、他のツールで作成された SBOM も MIRACLE Vul Hammer SaaS で一元管理することが可能です。デジタル製品は多種多様なソフトウェアで構成されており、それぞれのソフトウェアの SBOM は異なるベンダーやコミュニティによって、各自のツールを用いて作成されています。このような状況に対応するため、MIRACLE Vul Hammer SaaS では複数の SBOM フォーマットに対応した管理機能を提供しています。MIRACLE Vul Hammer SaaS で管理可能なSBOMの詳細については、こちらのページをご覧ください。

また、MIRACLE Vul Hammer SaaS の脆弱性検査機能は、前述の KEV に加え、該当の脆弱性が今後悪用される確率と相対的にどの程度危険かを示す指標を持つ EPSS (Exploit Prediction Scoring System) にも対応しています。

詳細については、MIRACLE Vul Hammer SaaS の製品ページをご参照ください。

欧州サイバーレジリエンス法支援ソリューション」に、CRA の基礎知識や CRA 対応を支援するサイバートラストのサービスについてわかりやすくまとめていますので、こちらのページもご参照ください。

さいごに

2026 年 9 月 11 日には「第 14 条 製造業者の報告義務」が、2027 年 12 月 11 日には CRA が全面適用されるということで、本記事の読者のみなさまも、CRA 対応を進めていらっしゃることかと思います。

CRA 対応を進めていく中で、「CRA について深く知りたい」、「各要求事項にどのように対応すればよいのか」などのお悩みがあれば、お気軽にサイバートラストにお問い合わせください。

本記事に関連するリンク
< 前の記事へ
Armv9-A から導入される Realm とは? オープンソースとして公開される成果物も紹介
次の記事へ >
Matter 製品の開発に求められる認定プロセスとは
最新 BLOG 記事
Matter 製品の開発に求められる認定プロセスとは
Matter 製品の開発に求められる認定プロセスとは
2025 年 03 月 06 日
欧州サイバーレジリエンス法 (CRA) における製造業者への要求事項と対応方法
欧州サイバーレジリエンス法 (CRA) における製造業者への要求事項と対応方法
2025 年 03 月 05 日
Yocto Project 5.0.7リリース (Scarthgap)
Yocto Project 5.0.7リリース (Scarthgap)
2025 年 03 月 04 日
Yocto Project 5.1.2 リリース (Styhead)
Yocto Project 5.1.2 リリース (Styhead)
2025 年 03 月 03 日
第 6 話:組込み Linux「EMLinux」をアップデートしてみよう
第 6 話:組込み Linux「EMLinux」をアップデートしてみよう
2025 年 01 月 29 日
Yocto Project 5.0.6 リリース (Scarthgap)
Yocto Project 5.0.6 リリース (Scarthgap)
2025 年 01 月 24 日
カテゴリ

CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime