EUで成立したサイバーレジリエンス法は、IoT機器やソフトウェアのセキュリティ対策を強化するために制定され、日本企業にも大きな影響を与える可能性があります。 本記事では、サイバーレジリエンス法の概要、対象範囲、日本企業への影響、対応策などを具体的に解説し、企業が取るべき行動を明確に示します。
EU サイバーレジリエンス法とは?
EUのサイバーレジリエンス法とは、EU内で流通する製品のサイバーセキュリティを底上げするために制定された法律です。ここでは、サイバーレジリエンス法が制定された背景から概要、制定の目的まで詳しく解説します。
サイバーレジリエンス法制定の背景
IoT機器やスマートデバイスの急速な普及により、私たちの生活や産業活動はますます便利になっています。
しかし同時に、これらの機器はインターネットに常時接続されているため、サイバー攻撃の標的にもなりやすいという課題を抱えているのも事実です。特に欧州では、過去にスマートデバイスを経由した大規模なサイバー攻撃や情報漏洩事件が社会問題化しており、消費者保護と産業競争力の維持を両立させる観点から、新たな規制の必要性が高まっていました。
こうした背景を受け、EUは包括的なサイバーセキュリティ規制である「サイバーレジリエンス法(Cyber Resilience Act)」を策定し、製品開発段階からセキュリティを組み込むことを義務化しようとしています。
サイバーレジリエンス法の概要
サイバーレジリエンス法は、EU域内で流通するデジタル製品全般に適用される法律です。
対象となるのは、ネットワーク接続機能を有する製品やソフトウェアで、たとえばスマート家電やウェアラブルデバイス、業務用システムに至るまで、幅広い製品が含まれます。法律の主なポイントは「設計段階からのセキュリティ組み込み(セキュリティ・バイ・デザイン)」「販売後のアップデートを含む継続的な脆弱性管理」「インシデント発生時の迅速な報告義務」などです。
EUの法制度に準拠していない製品は販売禁止や制裁対象となるため、グローバル企業にとっては対応が必須の規制だといえるでしょう。

欧州サイバーレジリエンス法:製造業者向けに解説
サイバーレジリエンス法(CRA)は製造業者と小売業者の双方にサイバーセキュリティ要件を義務付けていますが、本記事では製造業者に特化し、2024年11月20日に発行された版を中心に解説します。
サイバーレジリエンス法の目的
サイバーレジリエンス法は、EU域内におけるデジタル製品のセキュリティ水準を底上げし、サイバー攻撃によるリスクを未然に防ぐことを目的に制定されました。
具体的には、製品が市場に出回る前の段階でリスク評価を行い、必要なセキュリティ機能を実装することを求めることで、消費者と企業の双方を守ろうとしています。また、製品ライフサイクル全体を通じたセキュリティ管理を義務付けることで、アップデートの放置や脆弱性の見逃しといった従来の問題にも対処しています。
サイバーレジリエンス法を制定し、実際に運用することにより、EUは世界に先駆けたサイバーセキュリティのスタンダードを確立しようとしています。
サイバーレジリエンス法の対象範囲
サイバーレジリエンス法は、IoT機器やソフトウェアだけでなく、それらに関連するサービスやサプライチェーン全体にも適用されます。どのような製品やサービスが対象となるのか、また、それによってどのような事業者が影響を受けるのかを具体的にみていきましょう。
製品
サイバーレジリエンス法の対象となる製品は多岐にわたりますが、特に注目されているのがIoT機器と自動車関連のITシステムです。
IoT機器はインターネットに常時接続されており、家庭用スマート家電から産業用制御装置まで、その利用範囲は広がっています。自動車においても、コネクテッドカーや自動運転車の普及に伴い、車載ソフトウェアや通信機能のセキュリティ対策が不可欠です。
製品が脆弱であれば、ユーザーの安全だけでなく社会全体に影響を及ぼす可能性があるため、厳格な規制が求められています。
サービス
ハードウェアに連携して提供されるソフトウェアサービス、特にSaaS(Software as a Service)もサイバーレジリエンス法の対象です。
たとえば、IoT機器と連動して動作するクラウドベースの制御プラットフォームや、データ分析ツールなどが該当します。SaaS提供者は利用者にとって不可欠なサービスを提供しているため、サービス停止やセキュリティ侵害が発生すれば重大な影響が出るでしょう。
そのため、単体でセキュリティ要件を満たすだけでなく、接続されるハードウェアとの一貫したセキュリティ確保が求められています。
サプライチェーン
サイバーレジリエンス法は、製品を最終的に市場に出す企業だけでなく、その背後にあるサプライチェーン全体にも影響を及ぼします。
たとえば、製品に組み込まれる部品やソフトウェアの一部が外部ベンダーから提供されている場合、それらが規制に準拠していないと最終製品も適合と見なされません。そのため、各企業は自社のみならず、取引先のセキュリティレベルも把握・管理する必要があります。
製造業だけでなく、ITサービス業、物流業などにも波及するため、多層的な対策が求められます。
サイバーレジリエンス法で求められること
サイバーレジリエンス法では、製品やサービスの設計・開発・運用において、どのようなセキュリティ対応が必要とされるのかを詳細に定めています。ここでは、製品の安全性確保のために企業が取るべき具体的な取り組みについて解説します。
セキュリティ要件への適合
サイバーレジリエンス法では、製品が販売される前に、国際規格に基づくセキュリティ対策を講じていることが求められます。
たとえば、産業制御システムのセキュリティ基準であるIEC62443などが準拠先として挙げられます。企業は、開発段階でリスクアセスメントを実施し、サイバー攻撃のリスクを分析したうえで、適切な対策を製品に組み込まなければなりません。
また、セキュリティ要件の証明として技術文書を作成し、必要に応じて第三者認証を受けることも求められます。

重要インフラを守る!IEC 62443でICS/OTセキュリティ対策を強化
IEC 62443は、産業制御システム(ICS)やOT環境におけるセキュリティを確保するための「国際標準規格」です。 本記事では、IEC 62443の概要、構成、準拠のメリット、対応方法に加え、導入事例も交えて解説します。
脆弱性情報の開示
サイバーレジリエンス法では、製品に脆弱性が発見された場合には、関係当局への報告義務があります。
基本的には発見後24時間以内に初報を行い、15日以内には修正計画を提出しなければなりません。さらに、重大な脆弱性については、製品ユーザーへの迅速な通知も義務付けられており、透明性のある対応が求められます。
脆弱性情報の開示により、情報の隠蔽を防ぎ、被害の最小化を図れます。
インシデント報告
サイバーレジリエンス法では、インシデントが発生した場合の対応体制も重要な要件です。
企業は、サイバー攻撃やセキュリティ侵害が発生した際に備えて、事前に報告手順や体制を整備しておかなければなりません。報告期限は原則として24時間以内とされ、遅延や虚偽の報告があった場合は罰則の対象になる可能性もあります。
インシデントの内容や影響範囲、初動対応の内容を明確に記録・報告することが求められます。さらに、担当部署や責任者の明確化も不可欠です。
サプライチェーンにおける情報共有
サイバーレジリエンス法では、製品開発に関与するすべての企業が協力して情報を共有し合う体制も求められます。
とくに、脆弱性情報やアップデート情報を迅速に共有することで、リスクの拡大を防げます。脆弱性情報やアップデート情報を迅速に共有するには、情報共有のための契約・ポリシー整備、サプライヤーとの連携会議、共通プラットフォームの活用などが有効です。
また、情報共有の透明性を確保することで、取引先や消費者からの信頼を得ることにもつながります。
サイバーレジリエンス法が日本企業に与える影響
EU域内での販売を行う企業に限らず、サプライチェーンを通じて関与するすべての事業者に対し、サイバーレジリエンス法は影響を及ぼします。ここでは、日本の製造業やIT企業が直面するリスクと対応の必要性について解説します。
EU域外への適用範囲
EUサイバーレジリエンス法は、EU域内で流通・使用される製品すべてに適用されます。
日本企業がEUに直接製品を輸出していなくても、現地企業を通じて製品が販売されているケースではサイバーレジリエンス法の対象です。つまり、たとえ日本国内だけで製造している企業でも、その製品がEU市場に流通していればサイバーレジリエンス法への準拠が必要です。
地理的な枠を超えて影響を及ぼすため、グローバル展開している企業では、国内法とは異なる次元での対応をしなければなりません。
サプライチェーンを通じた影響
日本企業が提供する部品やソフトウェアが、EU域内の製品に組み込まれるケースも多く見られます。この場合、最終製品がEUで販売されることになれば、間接的に日本企業も規制対応を求められることになります。
サプライヤーとしての信頼性を保つためには、あらかじめ自社の製品・サービスがEU法規制に適合していることを示さなければなりません。単なる品質管理にとどまらず、企業の競争力に直結する要素となります。
訴訟リスク
サイバーレジリエンス法には、違反に対する厳格な罰則が規定されています。
違反企業に対しては、最大で年間売上高の2.5%または1,500万ユーロの罰金が科される可能性があります。これは、EUの個人保護法であるGDPRと同等のレベルの制裁です。
つまり、サイバーセキュリティに対する取り組みが不十分な企業に対しては、重大な経済的打撃が加えられることになります。
対応を怠ったことによる罰金だけでなく、訴訟リスクや取引停止といった二次的影響も考慮しなければなりません。
ブランド毀損リスク
セキュリティインシデントが発生し、それが報告義務によって公表された場合、企業のブランドイメージが大きく毀損される可能性があります。
特にBtoBビジネスにおいては、信頼性が取引の根幹を成すため、一度の事故が長期的な信頼喪失に直結します。
さらに、報道やSNSによって情報が拡散される現代においては、対応の遅れや不誠実な説明が企業イメージに深刻なダメージを与えるリスクも無視できません。
日本企業が取るべき対応策
サイバーレジリエンス法に対応するためには、法令の理解とともに、社内体制やサプライチェーン全体の見直しが求められます。ここでは、特に日本企業が実施すべき具体的な取り組みや優先順位について紹介します。
法規制情報の収集と分析
EUの法制度は頻繁にアップデートされるため、常に最新情報をウォッチし、内容を正確に把握する体制が求められます。欧州委員会(EC)やENISA、JETRO、経済産業省などが提供する情報を定期的に確認しましょう。
また、社内で法務・技術部門が連携し、取得した情報を実務に落とし込むプロセスの整備も必要です。英語で発信される資料も多いため、専門家の協力も視野に入れるとよいでしょう。
社内体制の整備
法規制に対応するには、企業全体での体制構築が不可欠です。まず、規制対応を統括する責任者(セキュリティマネージャーやDPOなど)を任命し、部門横断的な連携体制を整えましょう。
また、従業員への教育や定期的な訓練、セキュリティインシデント対応マニュアルの整備なども有効です。必要に応じて、社外の専門家とのパートナーシップ構築も検討してください。
セキュリティ対策の強化
設計段階からセキュリティを考慮する「セキュリティ・バイ・デザイン」を実現するために、脆弱性スキャンやコードレビュー、外部によるペネトレーションテストの実施が求められます。
また、SBOM(Software Bill of Materials)を作成し、使用しているソフトウェアコンポーネントを把握・管理することも不可欠です。これにより、脆弱性発見時の対応速度や透明性を高められます。

「SBOM」を活用したサプライチェーンの脆弱性リスク管理の必要性
サプライチェーンへの攻撃の防御手段になるであろうと最近広く注目を集めているセキュリティツールの1つ、#SBOM(Software Bill of Materials)をご存じですか?
サプライチェーンマネジメントの見直し
取引先のセキュリティ水準を評価し、必要に応じて要求事項を明示することも必要です。
たとえば、契約書にセキュリティ要件を盛り込んだり、定期的な監査を実施したりすることで、リスクを最小化できます。また、共通の評価基準やチェックリストを用いることで、複数の取引先に一貫した評価が可能です。
グローバル調達を行っている場合は、現地法との整合性も考慮しつつ、全体最適を目指したマネジメント体制が求められます。
まとめ:早期対応が重要
EUサイバーレジリエンス法は、単なる法制度にとどまらず、製品の設計・製造・販売のすべての工程に影響を及ぼす包括的な規制です。対応を怠れば、市場参入の障壁となるだけでなく、経済的制裁やブランド毀損といった重大なリスクを招くおそれがあります。
一方で、早期に対応体制を整えることで、他社との差別化や市場信頼の獲得につながる可能性もあります。制度施行までの猶予期間を活用し、自社の体制や製品群を見直すことが、今後の競争力を維持する鍵となるでしょう。
TXOneにまずお気軽にご相談ください。
製造業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。