欧州サイバーレジリエンス法（CRA）の本質 - なぜ今、製品サイバーセキュリティが法制化されるのか

By Trellix Professional Services · January 12, 2026

執筆：Trellix プロフェッショナルサービス

序論：新たな国際標準の胎動

2018年に施行されたGDPR（一般データ保護規則）がデータプライバシーの世界標準を確立したように、サイバーセキュリティ分野においても、EU（欧州連合）発の新たな規則がグローバルなビジネス環境を大きく変えようとしています。「サイバーレジリエンス法（Cyber Resilience Act: CRA / REGULATION (EU) 2024/2847）」の登場です。

CRAは、EU市場で流通する「デジタル要素を持つ製品（products with digital elements）」に対して、そのライフサイクル全体を通じた水平的なサイバーセキュリティ要求事項を課す、初の包括的な法律です。EU域内でビジネスを展開する日本の製造業、ソフトウェア開発企業、IoT機器メーカーにとって、CRAへの準拠は避けては通れない経営課題となります。

本シリーズでは3回にわたり、TrellixのコンサルタントがCRAの本質を深掘りし、日本企業が取るべき戦略的アプローチを解説します。第1回は、CRAが成立するに至った背景と、法律が目指す核心的な目的、そして日本企業に及ぶ影響範囲について詳述します。

CRA成立の背景：脆弱性とサプライチェーンリスク

CRAが生まれた背景には、デジタル化の急激な進展がもたらした二つの深刻な問題が存在します。

第一に、市場における製品のサイバーセキュリティ水準に課題がある点です。スマート家電、コネクテッドカー、産業用センサーといったIoTデバイスの爆発的な普及は、利便性を飛躍的に向上させた一方で、セキュリティが不十分な製品を大量に市場へ拡散させる結果を招きました。CRAの前文(Recital 1)では、「広範囲にわたる脆弱性と、それに対処するための不十分かつ一貫性のないセキュリティアップデートの提供」が、ユーザーと社会にコストを強いる主要な問題であると明確に指摘しています。従来のセキュリティ対策は各メーカーの自主的な取り組みに依存しており、結果として、消費者に製品のセキュリティ水準を判断できる情報が提供されない状況が続いていました。

第二に、サプライチェーンの複雑化によるリスクの増大です。 現代のデジタル製品は、多数のサードパーティ製コンポーネント（特にオープンソースソフトウェア）を組み合わせて開発されます。CRAの前文(Recital 34)では、メーカーがサードパーティ製コンポーネントを統合する際のデューデリジェンスの重要性が強調されています。一つのコンポーネントに脆弱性が存在すれば、サプライチェーンを通じて多数の最終製品に影響が波及し、大規模なセキュリティインシデントを引き起こす可能性があります。

CRAは、個々の製品のセキュリティを確保するだけでなく、製品が連鎖するサプライチェーン全体、すなわちデジタルエコシステム全体のレジリエンスを向上させることを目指しています。

CRAの目的と対象範囲：ライフサイクル全体へのアプローチ

CRAの核心的な目的は、「デジタル要素を持つ製品が市場に投入される際の脆弱性を減らし、メーカーが製品のライフサイクル全体を通じてセキュリティに真剣に取り組むことを保証する」（Recital 2）ことにあります。

ここで言う「デジタル要素を持つ製品（product with digital elements）」とは、CRA第3条(Article 3)の定義によれば、「ソフトウェアまたはハードウェア製品、およびそれに関連するリモートデータ処理ソリューション」を指し、個別に市場で販売されるコンポーネントも含まれます。PCやスマートフォンといった従来のIT製品だけでなく、スマートウォッチ、産業用ロボット、ルーター、さらにはインターネットに接続する玩具まで、極めて広範な製品が対象となります。

CRAが画期的であるのは、製品が市場に出荷される瞬間（Point of Sale）だけでなく、その後の運用期間を含めたライフサイクル全体にわたって、メーカーに継続的な責任を課している点です。具体的には、以下の2つの側面から義務を定めています。

1. 製品のプロパティに関する要求事項（Annex I, Part I）:
   製品自体の設計、開発、生産段階におけるセキュリティ要件です。「セキュア・バイ・デフォルト」の構成、不正アクセスからの保護、データの機密性・完全性・可用性の確保、攻撃対象領域の限定などが求められます。
2. 脆弱性ハンドリングに関する要求事項（Annex I, Part II）:
   製品が市場に投入された後の、脆弱性への対応プロセスに関する要件です。脆弱性の特定と文書化、ソフトウェア部品表（SBOM）の作成、セキュリティアップデートの迅速な提供、協調的な脆弱性開示ポリシーの策定などが義務付けられます。

日本企業への影響：サプライチェーンの上流から下流まで

CRAの影響範囲は、EUに直接製品を輸出しているメーカーに留まりません。

• 直接的な対象企業:
  家電、自動車、産業機械、ソフトウェアパッケージ等の最終製品を製造し、EU市場で販売する企業は、CRAの義務を直接的に負う「製造業者（manufacturer）」と定義されます。
• 間接的な対象企業（サプライチェーン）：
  上記の製造業者に対して、特定の機能を担うハードウェア部品やソフトウェアコンポーネントを供給する企業も、間接的に影響を受けます。最終製品メーカーは、サプライチェーン全体でCRA準拠を確保する義務を負うため、取引先である部品メーカーやソフトウェアベンダーに対しても、CRAが要求するセキュリティ基準への準拠が要請されます。

つまり、EU市場との取引関係を持つ日本企業は、サプライチェーンのどの階層に位置していても、CRAが定める新たなセキュリティ基準と無関係ではいられません。

まとめ：CRAはサイバーセキュリティの新たな「CEマーキング」

第1回では、CRAがなぜ今必要とされ、何を目的とし、誰に影響を与えるのかという基本的な枠組みを解説しました。

【今回のポイント】

• 背景: 市場に流通する製品のセキュリティ水準の課題と、複雑なサプライチェーンがもたらすリスクがCRA制定の背景にある。
• 目的: 製品の企画・設計から廃棄までのライフサイクル全体を通じてセキュリティを確保し、デジタルエコシステム全体のレジリエンスを向上させること。
• 対象: EU市場で販売される、ソフトウェアやハードウェアを含む広範な「デジタル要素を持つ製品」とそのサプライチェーンに関わる全ての事業者。

CRAは、製品がEUのサイバーセキュリティ基準を満たしていることを示す「パスポート」の役割を果たします。準拠を証明できない製品は、巨大なEU市場へのアクセスを失うことになります。

では、企業はこの新たな規制に対して、具体的にどのような準備を進めるべきなのでしょうか？ 次回は、CRAが製造業者に課す具体的な義務と、今すぐ着手すべき対策について、さらに詳細に解説します。