CRA対策の実務的アプローチ - 製造業者が直面する義務と具体的なアクション

By Trellix Professional Services · January 19, 2026

執筆：Trellix プロフェッショナルサービス

はじめに

第1回の記事では、サイバーレジリエンス法（CRA）が製品のライフサイクル全体にわたるセキュリティを義務付ける、影響範囲の広い規制であることを解説しました。CRAへの準拠は、もはや単なるコンプライアンス対応ではなく、事業継続性の根幹をなす要素となりつつあります。

第2回となる本稿では、CRAの条文、特に附属書I（Annex I）で定められている「必須サイバーセキュリティ要求事項（Essential Cybersecurity Requirements）」に焦点を当て、製造業者（manufacturer）が具体的に何をすべきかを、実務的なステップに沿って詳細に解説します。CRAの条文（Article）が製造業者の義務や罰則といった法律全体のルールを定めているのに対し、「附属書I」には、製品が満たすべき具体的なセキュリティ要求事項が詳細な「チェックリスト」として記載されています。

CRAが課す二つの柱：製品要件とプロセス要件

CRAが製造業者に求める義務は、大きく分けて二つの柱で構成されています。一つは製品自体のセキュリティ特性（プロパティ）に関する要件、もう一つは脆弱性を管理するためのプロセスに関する要件です。これらは表裏一体の関係にあり、両方を満たして初めてCRAへの準拠が達成されます。

ステップ1：サイバーセキュリティリスクアセスメントの実施（Article 13）

すべての対策の出発点となるのが、サイバーセキュリティリスクアセスメントの実施です。CRA第13条(Article 13)は、製造業者が製品に関連するサイバーセキュリティリスクを評価し、結果を製品の計画、設計、開発、生産、納品、保守の各フェーズに反映させることを義務付けています。CRA自体は特定のリスクアセスメント手法を定めていませんが、一般的にはISO/IEC 27005（情報セキュリティリスクマネジメント）や、特に産業用制御システム（ICS）の分野ではISA/IEC 62443-3-2（システム設計のためのセキュリティリスクアセスメント）といった国際規格のフレームワークが、CRAが要求するリスクアセスメントを実施する上で非常に有効な指針となります。

リスクアセスメントでは、少なくとも以下の点を考慮する必要があります。

• 意図された用途（intended purpose）と合理的に予見可能な使用（reasonably foreseeable use）: 製品がどのような環境で、どのように使われるかを想定し、リスクを洗い出します。
• 保護すべき資産: 製品が取り扱うデータの機密性、完全性、可用性など、保護対象を明確にします。
• 製品の期待使用期間: CRAでは、製品が市場に投入されてから最低でも5年間のサポート期間を設けることが義務付けられています。

アセスメントの結果は、各必須要求事項が自社製品に適用されるかを判断し、実装方法を決定するための基礎情報となります。アセスメントの結果は、後述する技術文書（Technical Documentation）にすべて記録し、継続的に更新しなければなりません。

ステップ2：製品プロパティに関する必須要求事項への適合（Annex I, Part I）

リスクアセスメントの結果に基づき、製品自体にセキュリティ機能を実装します。Annex I, Part Iには13項目の要求事項がリストアップされていますが、特に重要な項目は以下の通りです。

• 既知の悪用可能な脆弱性がない状態で市場に投入すること（Annex I, Part I, 2a）:
  出荷時点でのセキュリティ品質を保証する、基本的ながらも重要な要求です。開発プロセスの最終段階で脆弱性スキャンを実施し、脆弱性が存在しないことを確認する体制が不可欠です。
• セキュア・バイ・デフォルト構成での提供（Annex I, Part I, 2b）:
  ユーザーが特別な設定を行わなくても、初期状態で最も安全な構成で動作することが求められます。不要なポートやサービスはデフォルトで無効化し、パスワードは初期設定からの変更を強制するなどの措置が必要です。製品開発のライフサイクル全体でセキュリティを考慮するISA/IEC 62443-4-1（セキュア製品開発ライフサイクル要件）とも合致しており、製品出荷時の設定が最も安全な状態であることを保証するものです。
• 不正アクセスからの保護（Annex I, Part I, 2d）:
  認証、ID管理、アクセス制御システムなど、適切な制御メカニズムを実装し、不正アクセスを防止・検知する能力が求められます。具体的な管理策としては、ETSI EN 303 645（消費者向けIoTのサイバーセキュリティ）で定められているような、推測しやすいデフォルトパスワードの禁止や、認証試行回数の制限といったものが挙げられます。
• データの機密性、完全性、可用性の保護（Annex I, Part I, 2e, 2f, 2h）:
  保存データや通信データを最先端のメカニズム（state of the art mechanisms）、例えばISO/IEC 18033シリーズで標準化されているアルゴリズムで暗号化すること、データが不正に改ざんされていないことを保証すること、そしてDoS攻撃などを受けても基本的な機能の可用性を維持することが義務付けられます。

ステップ3：脆弱性ハンドリングに関する必須要求事項への適合（Annex I, Part II）

製品を市場に投入した後の対応も、CRAでは極めて重視されます。Annex I, Part IIは、継続的な脆弱性管理プロセスについて定めています。

• 脆弱性とコンポーネントの特定と文書化（Annex I, Part II, 1）:
  製品に含まれるすべてのソフトウェアコンポーネントを特定し、その依存関係を文書化することが求められます。これを実現するのがソフトウェア部品表（SBOM: Software Bill of Materials）です。CRAではSBOMに「一般的に使用され、機械可読なフォーマット」を求めていますが、これは事実上、業界標準であるSPDX (Software Package Data Exchange)やCycloneDXといったフォーマットを指しています。サードパーティ製コンポーネントに脆弱性が発見された際に、迅速な影響範囲の特定が可能になります。
• 脆弱性への対処と修正（Annex I, Part II, 2）:
  脆弱性を遅滞なく（without delay）修正し、セキュリティアップデートを提供することが義務付けられます。注目すべきは、「技術的に可能な場合、新しいセキュリティアップデートは機能アップデートとは別に提供されるべきである」という一文です。ユーザーがセキュリティ修正のためだけに、不要な機能変更を受け入れる必要がなくなるよう配慮が求められています。
• 協調的な脆弱性開示ポリシーの策定と施行（Annex I, Part II, 5）:
  セキュリティ研究者やユーザーが製品の脆弱性を発見した際に、安全に報告できる窓口を設け、その報告を受け付けてから修正、公表に至るまでの一連のプロセスを定義したポリシーを策定し、遵守しなければなりません。
• セキュリティアップデートの安全な配布メカニズム（Annex I, Part II, 7）:
  アップデートファイルが改ざんされたり、不正なアップデートが配布されたりすることのないよう、電子署名を用いるなど、安全な配布メカニズムを確保する必要があります。一連の脆弱性ハンドリングプロセスを構築・運用する上では、ISO/IEC 29147（脆弱性開示）やISO/IEC 30111（脆弱性ハンドリングプロセス）が国際的なベストプラクティスとして参考になります。

ステップ4：適合性評価とCEマーキング（Article 32, 30）

上記すべての要求事項を満たしていることを証明するため、製造業者は適合性評価（Conformity Assessment）を実施し、EU適合宣言書（EU Declaration of Conformity）を作成した上で、製品にCEマーキングを貼付する義務を負います。

適合性評価の手順は、製品のリスクレベルによって異なります。

• 一般の製品: （デフォルトリスク）附属書IIIにリストアップされていない、ほとんどの製品がここに分類されます。製造業者の自己評価（内部統制、Module A）が可能です。
  （例） ワードプロセッサ等のデスクトップ・モバイルアプリ、スマートスピーカー、インターネット接続の玩具、デジタルカメラなど。
• 重要製品（Important Products / Annex III）:
  
  • クラスI: 整合規格（Harmonised Standards）に完全に準拠している場合は、自己評価（Module A）が可能です。整合規格を適用しない、あるいは部分的にしか適用しない場合は、第三者機関（Notified Body）による評価（Module B+C または Module H）が必須となります。
    （例） ID管理システム、ブラウザ、パスワードマネージャー、VPN、ウイルス対策ソフト、SIEMシステムなど。
  • クラスII: 最もリスクが高いと見なされる製品群で、常に第三者機関による評価が必須となります。
    （例） オペレーティングシステム（OS）、ファイアウォール、産業用ルーター、産業用スイッチ、公開鍵基盤（PKI）、スマートメーターのゲートウェイなど。

なお、CRAは広範な製品を対象としますが、既に同等のセキュリティ義務を課すEUのセクター別法規が存在する製品は適用除外となり、規制の二重適用が避けられています。主な適用除外対象は以下の通りです。

• 医療機器：医療機器規則（Regulation (EU) 2017/745）を適用
• 体外診断用医療機器：体外診断用医療機器規則（Regulation (EU) 2017/746）を適用
• 自動車：型式認証に関する規則（Regulation (EU) 2019/2144）を適用
• 民間航空分野の製品：民間航空安全規則（Regulation (EU) 2018/1139）を適用

自社製品がこれらの適用除外リストに含まれていないかを確認することも、CRA対応の第一歩となります。

まとめ：プロセスと体制の再構築が急務

CRA対策は、単一のツール導入や一時的な検査で終わるものではありません。リスクアセスメントを起点とし、設計、開発、テスト、運用、廃棄に至る製品ライフサイクル全体にセキュリティを組み込む、全社的なプロセスと体制の再構築が求められます。

【今回のポイント】

• 出発点: すべての活動は、製品の用途やリスクを分析するリスクアセスメントから始まる。
• 製品要件: セキュア・バイ・デフォルトやデータ保護など、製品自体に堅牢なセキュリティを組み込む必要がある。
• プロセス要件: SBOM管理、迅速なパッチ提供、脆弱性開示ポリシーなど、市場投入後の継続的な脆弱性管理体制が不可欠。
• 証明: 適合性評価を経てCEマーキングを貼付することが、EU市場へのパスポートとなる。

最終回では、CRAがビジネス環境に与える長期的インパクトと、規制対応を企業の競争力へと転換するための戦略的視点について論じます。