第1回では、欧州のサイバーレジリエンス法、いわゆる『CRA』と『EU AI法』が、日本の製造業にも関係し得ることを確認しました
2回では、『CRA』に焦点を当て、製造業が実務上どのような対応を求められるのかを整理します。
『CRA』は、EU市場で提供されるハードウェアやソフトウェアなどの「デジタル要素を含む製品」に対して、サイバーセキュリティ要求を課すEU規則です。 欧州委員会は、『CRA』について、EU市場に提供されるハードウェア・ソフトウェア製品に適用され、最終製品だけでなく、単独で市場投入される部品も含まれると説明しています。
ここで重要なのは、『CRA』が単なる「出荷前のセキュリティ試験」ではないという点です。 規則本文では、デジタル要素を含む製品の設計・開発・製造に関する必須サイバーセキュリティ要求に加え、製品が使用される期間中の脆弱性取扱いプロセスについても定められています。
つまり『CRA』対応は、製品を市場に出す前だけでなく、出荷後の保守、アップデート、脆弱性対応まで含む「製品ライフサイクル全体」の課題なのです。
1. CRAが求める「セキュア・バイ・デザイン」とは
『CRA』対応の基本になる考え方は、セキュア・バイ・デザインです。
これは、製品が完成した後にセキュリティ機能を後付けするのではなく、企画・設計の段階からサイバー攻撃や誤用を想定し、安全な構造を組み込む考え方です。
たとえば、ネットワーク接続機能を持つ産業用制御装置であれば、次のような点を設計段階で検討する必要があります。
第三者認証機関の視点では、単に「セキュリティ機能があるか」だけでは不十分です。 なぜその機能を採用したのか、どの脅威に対応するためなのか、残ったリスクをどのように評価したのかを、技術文書で説明できることが重要です。
2. 設計・開発段階で行うべきリスクアセスメント
『CRA』対応では、まず製品ごとのサイバーセキュリティリスクを評価する必要があります。
リスクアセスメントとは、製品に対してどのような攻撃や脆弱性が想定されるかを洗い出し、その影響度と発生可能性を評価し、必要な対策を決める作業です。 製造業であれば、従来から機械安全や品質管理のリスク評価を行っている企業も多いはずです。 『CRA』では、そこにサイバーセキュリティの観点を組み込むことが求められます。
たとえば、工場向けIoTゲートウェイを例にすると、次のようなリスクが考えられます。
このようなリスクに対し、認証、アクセス制御、暗号化、署名付きアップデート、ログ管理、脆弱性スキャン、セキュリティテストなどの対策を検討します。
重要なのは、製品の用途や使用環境に応じてリスクを評価することです。一般家庭で使用されるスマート家電と、重要な生産ラインに接続される制御機器では、求められるセキュリティ水準が同じとは限りません。
3. 脆弱性管理は出荷後対応の中心になる
『CRA』で特に注意すべきなのが、出荷後の脆弱性管理です。
欧州委員会は、『CRA』について、機器やソフトウェアが設計、更新、保守され、利用者をサイバー脅威から守ることを求めるルールだと説明しています。 また、製造者は、表示したサポート期間中、脆弱性を取り扱い、積極的に悪用された脆弱性や製品のセキュリティに影響する重大インシデントを報告する必要があるとされています。
脆弱性管理とは、製品に含まれるソフトウェアや部品に問題が見つかった場合に、それを把握し、影響を評価し、修正し、必要に応じて利用者へ通知する一連の仕組みです。
日本の製造業で課題になりやすいのは、次のような点です。
1つ目は、製品に含まれるソフトウェア部品を正確に把握していないことです。外部委託先が開発したソフトウェア、OSS、通信モジュールのファームウェア、クラウド連携用ライブラリなど、製品には多くのソフトウェア要素が含まれています。これらを把握していなければ、脆弱性情報が公表されても、自社製品への影響を判断できません。
2つ目は、サポート期間が曖昧なことです。CRAでは、製品が使用される期間中のセキュリティ確保が問題になります。製品を何年間サポートするのか、その期間中にどのようなセキュリティアップデートを提供するのかを、製品仕様、契約、ユーザー向け情報として整理しておく必要があります。
3つ目は、緊急時の意思決定体制です。重大な脆弱性が見つかった場合、品質保証、開発、法務、営業、経営層、欧州の輸入者や販売者が連携しなければなりません。誰が影響評価を行い、誰が顧客へ通知し、誰が当局報告を判断するのかを、事前に決めておくことが重要です。
4. SBOMとOSS管理は避けて通れない
『CRA』対応では、SBOMやOSS管理も重要なテーマになります。
SBOMとは、Software Bill of Materialsの略で、『ソフトウェア部品表』と訳されます。 製品に含まれるソフトウェアコンポーネント、OSSライブラリ、バージョン情報などを一覧化したものです。
たとえば、製品にLinux、通信ライブラリ、暗号ライブラリ、Webサーバー機能、データベース、画像処理ライブラリなどが含まれている場合、それぞれの名称、バージョン、供給元、ライセンス、既知の脆弱性の有無を管理する必要があります。
SBOMが整備されていないと、脆弱性情報が公開されたときに、自社製品への影響調査に時間がかかります。 結果として、顧客への説明やアップデート提供が遅れ、『CRA』上の要求に対応できないリスクが高まります。
製造業では、ソフトウェア開発を外部委託しているケースも多くあります。 その場合、委託先任せにするのではなく、契約や開発プロセスの中で、SBOMの提出、OSS利用ルール、脆弱性対応、アップデート提供、開発終了後の保守責任を明確にしておく必要があります。
第三者認証機関が確認する場合も、単に「SBOMがあります」というだけでは不十分です。 SBOMが最新か、製品バージョンと対応しているか、脆弱性情報と照合する仕組みがあるか、修正判断の記録が残っているかが重要になります。
5. 適合性評価と技術文書の準備
『CRA』では、製品をEU市場に提供する際、要求事項への適合を示すための手続きが必要になります。 製品の種類や重要度によって、製造者自身による適合性評価で足りる場合もあれば、第三者機関が関与する適合性評価が必要になる場合もあります。
その際に中心となるのが、技術文書です。
技術文書には、製品の概要、設計情報、リスクアセスメント、適用した規格、セキュリティ対策、試験結果、脆弱性管理プロセス、アップデート方針、サポート期間、使用上の注意などを整理します。
日本企業でよく見られる課題は、実際には多くの対策を行っていても、それを外部に説明できる形で文書化していないことです。 設計者の経験や部門内の暗黙知に依存している場合、審査や顧客監査で十分な証拠として提示できないことがあります。
『CRA』対応では、「やっていること」と「説明できること」の両方が必要です。
特に、EUの輸入者や販売者は、自らの責任を果たすために、日本の製造者へ技術情報や適合性に関する証拠を求める可能性があります。 顧客から問い合わせを受けてから準備するのではなく、製品ごとに必要文書をあらかじめ整備しておくことが望まれます。
6. スケジュール面での注意点
『CRA』はすでに成立しており、段階的に適用が進みます。 欧州委員会は、CRAの主要義務は2027年12月11日から適用され、報告義務は2026年9月11日から適用されると説明しています。
製造業の実務では、製品設計、部品選定、ソフトウェア開発、量産準備、認証、顧客承認には長いリードタイムが必要です。 特に産業機械や組込み機器では、発売後も長期間使用されるため、サポート期間や更新方法を後から変更することは容易ではありません。
そのため、2027年の適用開始を待つのではなく、現在開発中のEU向け製品から『CRA』要求を組み込むことが現実的です。 既存製品についても、次期モデルチェンジやソフトウェア更新のタイミングで、リスクアセスメント、SBOM、脆弱性管理、技術文書を整備していくべきです。
まとめ:CRA対応は「製品セキュリティの品質保証」である
『CRA』対応は、情報システム部門だけで完結するものではありません。 対象になるのは、製品そのもののサイバーセキュリティです。 そのため、製品企画、設計、ソフトウェア開発、品質保証、購買、法務、営業、保守サービスが連携する必要があります。
日本の製造業がまず取り組むべきことは、次の5点です。
『CRA』は、単なる規制対応ではなく、製品の信頼性を高めるための品質保証活動と捉えるべきです。 EU市場で選ばれる製品であり続けるためには、性能、価格、納期だけでなく、サイバーセキュリティを含む製品ライフサイクル管理が競争力になります。
次回は、「AI法への対応 ― 製造業で問題になりやすい高リスクAIと品質管理」として、AI法のリスク分類、高リスクAI、製造業におけるAI利用時の注意点を解説します。
『CRA』や『EU AI法』への対応に関するお問い合わせは、Nemko Japan製品認証部 (japan@nemko.com)までお気軽にお問合せください。