欧州サイバーレジリエンス法：製造業者向けに解説

サイバーレジリエンス法（CRA：Cyber Resilience Act）は、2024年12月10日に施行されました。主要な規定の適用は2027年12月11日からですが、報告要件はこれに先行し、2026年9月11日から適用が開始されます。
CRAは製造業者と小売業者の双方にサイバーセキュリティ要件を義務付けていますが、本記事では製造業者に特化し、2024年11月20日に発行された版を中心に解説します。
ここでは、CRAが具体的にどのような内容を含んでいるのかを明確にし、製造業者が期限内に義務を果たすために取るべき主要な行動を概説することを目的としています。

CRAの適用範囲

CRA（サイバーレジリエンス法）は、デジタルコンポーネントを備えたソフトウェア製品やハードウェア製品を購入する消費者や企業を保護することを目的としています。製造業者は、EU域内でこれらの製品のサイバーセキュリティを確保することが求められます。これを達成するために、製造業者は必須となるサイバーセキュリティ要件と義務を満たさなければなりません。

この規制は、直接的または間接的を問わず、別のデバイスやネットワークに接続される、デジタル要素を持つすべての製品を対象としています。ただし、特定のオープンソースソフトウェアや、既存の規制の対象となっているサービスベースの製品（医療機器、航空、自動車などの分野）は明確に除外されています。

デジタルコンポーネントを有する製品の例としては、ノートパソコン、スマートフォン、ルーター、スイッチ、産業用制御システム（ICS）などが挙げられます。見過ごされがちな製品としては、製造業者が自社の商標で無償提供する製品や、商用目的のオープンソースソフトウェアなどがあります。

CRAのタイムラインとマイルストーン

CRAは2024年12月10日にすでに発効していますが、製造業者は必須のサイバーセキュリティ要件と義務への対応に向けてまだ準備期間があります。以降の章でこれらを詳細に説明していきます。

2026年9月11日から – 報告義務が発効
製造業者は、デジタル要素を有する自社製品において実際に悪用された脆弱性、およびそれら製品のセキュリティに影響をおよぼす重大なインシデントについて、不当に遅れることなく報告しなければなりません。

2027年12月11日から – サイバーセキュリティ要件への準拠が義務化
この規制が完全に適用されます。製造業者は、この日までに自社製品がすべての必須サイバーセキュリティ要件と義務を満たしていなければなりません。

図1：製造業者にとって重要な日付を示すCRAのタイムライン

必須サイバーセキュリティ要件と義務

要約すると、製造業者は自社製品をEU市場に出す前に、以下の手順を完了させなければなりません。

1. 技術文書 – 製造業者は、必須のサイバーセキュリティ要件にどのように準拠しているかを示すためにこの文書を使用し、ソフトウェア部品表（SBOM）を備えておく必要があります。この文書の内容に関する詳細情報は、CRAの付属書VIIに記載されています。
2. 適合性評価手続き – 製品のカテゴリに応じて、適合性評価は製造業者自身または第三者の認証機関によって実施される必要があります。ほとんどの場合、重要製品およびクリティカル製品は第三者の認証機関の評価を受けます。重要製品およびクリティカル製品には、ルーター、モデム、スイッチ、ファイアウォールなどがあります。詳細情報は、CRAの付属書IIIおよび付属書IVで確認できます。
3. 適合宣言 – この宣言は、主に製品自体が必須のサイバーセキュリティ要件を満たしていることを示すものです。該当する場合、認証機関の名称と番号を記載します。この内容に関する詳細情報は、CRAの付属書Vに記載されています。
4. CEマークの貼付 – CEマークは、規則（EC）No 765/2008の第30条に定められた一般原則に従うものとします。CEマークを貼付することにより、その製造業者は、その貼付を規定する関連する共同体調和法に定められたすべての適用要件に製品が適合することに責任を負うことを示します [Regulation – 765/2008 – EN – EUR-Lex]。

上記のステップを達成するために、製造業者向けの主要な要件と義務を以下にまとめました。

図2：製造業者向けの主要な要件と義務

 
上記の5つのカテゴリについて、詳しく見ていきましょう。

• サイバーセキュリティ評価：
  製品は必須のサイバーセキュリティ要件を満たす必要があり、これらはサイバーセキュリティ要件と脆弱性対応要件に分けられます。製造業者の場合は、サイバーセキュリティ評価のために正式な手順を定めておくことが不可欠です。

• ドキュメント：
  製造業者は、技術文書、ユーザーへの情報と指示、適合宣言、およびSBOMを作成する必要があります。SBOMに関しては、市場監視当局は製造業者にSBOMの提供を要求する場合があります。さらに、製造業者はユーザーにSBOMを提供するかどうかを自由に選択できます。

• 適合性評価：
  製品が重要製品またはクリティカル製品のカテゴリに属する場合、ほとんどの場合、適合性評価は第三者の認証機関によって実施されることになります。このため、加盟国は2026年12月11日までに、適合性評価を実施するための十分な数の認証機関がEU内に存在するように努めなければなりません。一方、重要製品またはクリティカル製品以外の一般製品は、製造業者自身によって適合性を自己評価する必要があります。

• 製品規制：
  サイバーセキュリティ評価と適合性評価が完了すると、製造業者はCEマークを貼付し、関連する共同体調和法に定められたすべての適用要件への製品の適合性について責任を負うことを示さなければなりません。これには、製品のサポート期間が最低5年間であること、などの重要な規則が含まれます。製品の使用期間が5年未満と予想される場合は、サポート期間は予想される使用期間に合わせます。さらに、製造業者は、サポート期間中に各セキュリティ更新プログラムがユーザーに提供され、発行後最低10年間、またはサポート期間の残りのうち、いずれか長い期間、それが利用可能であることを保証しなければなりません。

• 報告義務：
  製造業者は、デジタル要素を有する製品に含まれる実際に悪用された脆弱性、およびデジタル要素を有する製品のセキュリティに影響をおよぼす重大なインシデントを、不当な遅延なく単一報告プラットフォームを介して報告しなければなりません。この単一報告プラットフォームはENISAによって設立されます。
  • 実際に悪用された脆弱性とは、悪意のある攻撃者が製造業者によって市場に提供されたデジタル要素を有する製品のいずれかの欠陥を利用した結果、製造業者が、そのユーザーまたはその他の自然人・法人に影響をおよぼすセキュリティ侵害が発生したと判断した場合を指します。たとえば、製品の識別機能や認証機能における欠陥などが該当します。システム所有者およびそのユーザーのセキュリティまたは安全性を向上させるために、悪意なく、善意のテスト、調査、修正、または開示のために発見された脆弱性は、強制的な通知の対象とはなりません。
  • 重大なインシデントとは、デジタル要素を有する製品のセキュリティに影響をおよぼすものです。これには、サイバーセキュリティインシデントが製造業者の開発、生産、または保守プロセスを中断させ、ユーザーなどのサイバーセキュリティリスクを増加させる可能性のある場合が含まれます。たとえば、セキュリティ更新プログラム配布時に使用するリリースチャネルに、攻撃者が悪意のあるコードを注入してしまった場合、それは重大なインシデントと見なされます。

製造業者が製品に含まれる実際に悪用された脆弱性、または製品のセキュリティに影響をおよぼす重大なインシデントを認識した場合、24時間以内に早期警告通知を提出する必要があることは留意すべき点です。

次のステップ：製造業者への推奨事項

1.製品がCRAの適用範囲内にあるか、および製品のカテゴリを確認する

製品がEUで販売されている、または販売される予定であり、かつ他のデバイスやネットワークに直接的または間接的に接続できる場合、この製品はCRAの適用範囲に含まれる可能性が高いと言えます。
また、製品が属するカテゴリは、CRAの付属書IIIおよび付属書IVで確認できます。ほとんどの場合、製品が重要製品またはクリティカル製品のカテゴリに属する場合、第三者の認証機関による評価が必要となります。

一方、たとえ製品がEUで販売されていなくても、以下の措置を遵守することを推奨します。多くの規則は、草案作成段階で他の重要な既存規則を参照していることは周知の通りです。CRAは、一般的なデジタル製品の必須サイバーセキュリティ要件を定めているため、これらの要件は非常に普遍的で適用可能が広いものです。
したがって、CRAに早期に準拠することで、製品のセキュリティリスクを低減し、他の規制との整合性を高めるのに役立ちます。

2.協調的な脆弱性開示に関するポリシーを策定・実施し、報告義務手順を実践するための社内訓練を実施する

製造業者は、デジタル要素を有する自社製品およびそれが含む第三者コンポーネントにおける潜在的な脆弱性に関する情報共有を促進するための措置を講じなければなりません。これらの措置には、デジタル要素を有する製品で発見された脆弱性を報告するための連絡先アドレスの提供や、セキュリティ更新プログラムが利用可能になった後の修正済み脆弱性に関する情報の共有および公開が含まれます。

また、製造業者は、顧客や研究者が脆弱性を報告し、既知の問題に関する情報にアクセスできるようにする脆弱性開示およびセキュリティアドバイザリのポリシーを策定する必要もあります。製造業者が報告義務を遵守するためには、製品で実際に悪用された脆弱性や、製品のセキュリティに影響をおよぼす可能性のある重大なインシデントに関する情報に常にアクセスできるよう、積極的な措置を講じることを推奨します。

たとえば、関連する国内外のCERT組織に参加して最新情報を入手することを検討した方が良いでしょう。実際に悪用された脆弱性または重大なインシデントを認識した場合、製造業者は24時間以内に早期警告通知、72時間以内に脆弱性またはインシデント通知、そして実際に悪用された脆弱性の場合は14日以内、重大なインシデントの場合は1カ月以内に最終報告書を提出しなければなりません。製造業者は、実際に悪用された脆弱性または重大なインシデントごとに、これら3つのドキュメントすべてを提出することが義務付けられています。

したがって、企業のインシデント対応手順を事前に作成しておき、社内訓練を実施すべきでしょう。詳細なガイダンスと特定のコンテンツ要件については、CRAの第14条を参照してください。

特に、1カ月以内に提出される最終報告書には、最低限、インシデントの詳細な説明、脅威の種類または根本原因、および適用されたすべての軽減策と進行中の軽減策を記載しなければなりません。
しかし、ほとんどの製造業者のOT環境では、OTの可視性が欠けているため、短期間でインシデント全体と脅威の種類を包括的に把握することは困難です。

そこで技術的な対策として、当社ではOT環境にセキュリティ情報およびイベント管理（SIEM）システムを導入することを推奨しています。グローバル産業におけるサイバーフィジカルシステム（CPS）の必要性が高まるにつれて、OT環境は急速に変化するサイバー脅威の状況に対する防御を確保するために、ネットワーク中心から資産中心のセキュリティに移行することが求められています。ネットワーク防御、エンドポイント保護、およびセキュリティ検査ソリューションの統合を通じて、CPSの攻撃対象領域を効果的に管理して、検知と対応を実施できます。

明確で効果的な軽減策は、ファイアウォール、侵入防御/侵入検知システム（IPS/IDS）、およびエンドポイントのマルウェア対策の導入です。
しかし、OT環境では、ネットワークソリューションがOT固有のプロトコルに対応していること、およびエンドポイントソリューションがレガシーデバイスと互換性があること、という2つの重要な考慮事項に対処しなければなりません。

3.製品が満たしていない必須サイバーセキュリティ要件を特定し、正式な評価プロセスを策定する

前述の通り、製品は必須のサイバーセキュリティ要件を遵守しなければなりません。製造業者はCRAの付属書Iを参照して、自社製品が規定されている要件を満たしているかを確認できます。
その要件の1つに、自社製品のSBOMを作成することがあり、これは製品内の脆弱性やコンポーネントを特定し、文書化するのに役立ちます。必須サイバーセキュリティ要件の正式な評価プロセスを策定する際には、ENISAが公開しているサイバーレジリエンス法の要件標準マッピングが参照できます。
このマッピングは、一般的な既存の国際標準とCRAの必須サイバーセキュリティ要件との部分的な整合性を概説しており、適切な評価フレームワークを開発する際の起点となります。

まとめ

サイバーレジリエンス法（CRA）によって生じる主な義務は、2027年12月11日まで発効しません。
しかし、OTサイバーセキュリティのリーディングブランドとして、TXOne Networksは、すでにすべての製品について徹底的かつ積極的に確認を行ってきました。当社のネットワーク、エンドポイント、およびその他のサイバーセキュリティソリューションは、CRAの必須サイバーセキュリティ要件を完全に満たすように設計されています。
これは、当社の製品全体でより厳格なサイバーセキュリティ基準を適用し、脆弱性対応プロセスを責任を持って実施していることになります。

さらに、当社は複数の国際的なCERT組織に積極的に参加し、CVE採番機関（CNA）の義務を遵守することで、企業や製品に関するサイバー脅威インテリジェンスを可能な限り早期に取得できるようになっています。このような積極的なアプローチにより、実際に悪用された脆弱性や重大なセキュリティインシデントを絶えず認知しておくことができ、製造業者の報告義務を効果的に果たせるようになります。

製造業者側としては、2026年9月11日から適用されるCRAの報告義務を果たすための準備を早期に開始すべきと考えています。サイバーセキュリティインシデントが発生した場合、製造業者はインシデントの特性を特定して把握し、関与する脅威の種類を判断して、適切な軽減策を講じなければなりません。

TXOne Networksは、製造業者の皆様がこれらの目標を達成するための包括的なOTサイバーセキュリティソリューションを提供しています。OT環境向けに設計されたSIEMシステムにより、製造業者はOT環境の状況と脅威を明確に理解できるため、あらゆるインシデントを効果的に検知・対応できます。
さらに、OT固有のファイアウォール、侵入防御システム（IPS）、エンドポイント保護、およびその他のソリューションは、OT環境を標的とする広範囲の脅威に対する強力な軽減ツールとして機能します。

製造業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。

おすすめ記事

EUの機械規則2023/1230とは：機械指令との違いとCRAとの関係性

EUの機械規則2023/1230について解説します。機械指令2006/42/ECとの違いや、CRAとの関係性や、サイバーセキュリティ要件の主なポイントについて解説します。

NIS2指令を理解し準拠するためのサイバーセキュリティ対策とは

本レポートは、NIS 2指令に焦点を当てたEUサイバーセキュリティ法の簡易ガイドを提供し、企業がこれらの規制に対応するための実践的なアドバイスを提供します。