CRA(Cyber Resilience Act)とは、簡潔に言えば「EU市場で販売される、通信機能を伴うデジタル製品に対し、ライフサイクル全体でのセキュリティ担保を義務付ける法律」です。
これまでの品質保証は「出荷するまで」の安全性を担保すれば足りました。しかしCRAが施行されれば、製品を市場に投入(上市)した後であっても、脆弱性が見つかればスマートフォンのOSアップデートのように随時修正パッチを適用し、ユーザーや当局へ情報を開示していく責任が課せられます。
⚠️ 巨額の罰則リスクに注意 本法案に違反した場合、最高で27億円(またはグローバル売上高の一定割合)の罰金が科されるリスクがあります。欧州域内の企業だけでなく、欧州に製品を輸出・展開する日本国内の製造業も一様に適用対象となります。
原則として、デジタル要素を備え、ネットワークまたは別のデバイスへ接続する製品はすべて対象です。
CRAの施行には、段階的に設けられた2つの重要なデッドラインが存在します。準備期間は決して長くありません。
| 施行時期 | 義務化される内容と影響 |
|
2026年9月11日〜 (第1段階) |
重大な脆弱性・インシデントの報告義務化 検知から24時間以内という極めてタイトな時間内に、 欧州当局(ENISA等)への一次報告を行う体制構築が求められます。 |
|
2027年12月11日〜 (第2段階) |
全面施行(完全適用) セキュアな開発プロセスの運用、SBOMの提出、ライフサイクル全体にわたる常時監視および脆弱性へのパッチ当ての仕組みが完全義務化されます。 |
CRAへ適合し、欧州でのビジネスを守るために、企業は以下の3つの柱を早急に社内に構築しなければなりません。
社内システムの防御を担当するCSIRTとは異なり、自社が販売する製品に特化したインシデント対応組織です。平常時の脆弱性情報の収集・分析に加え、非常時には24時間・365日体制で当局への報告と再発防止策を主導する体制が求められます。
ソフトウェアの構成要素(どのようなOSSやライブラリが含まれているか)の原材料リストです。中身がブラックボックスのままでは脆弱性を検知できないため、リスト化した上で、日々の新種の脆弱性を専用の「SBOM管理ツール」などで自動的に常時ウォッチする仕組み作りが必要です。
設計・開発の初期段階からセキュリティを考慮する「セキュア・バイ・デザイン」を社内の運用規定として定め、それに則って製造されている必要があります。リスク評価結果や製造プロセスの技術文書を上市前に揃えておくことは、CRAにおける厳格な義務の1つです。
A. いいえ、不十分です。既存製品も対応が必要です。
2027年12月の全面施行以降は、CEマーキング取得・維持のための必須要件の中に「CRAへの準拠」が追加されます。つまり、CRAに対応できなければ既存製品であってもCEマークを失い、欧州での販売継続ができなくなります。
A. 最終的な製品(ユニット)全体としての安全性を保証する責任があります。
購入した他社製部品の中にCRA未対応のものが含まれていたとしても、責任は最終製品を販売する企業に帰属します。ただし、個々の部品すべてが完璧でなくとも、「最終製品という1つのユニットとして、脆弱性が可視化されているか、あるいは仮に脆弱性があっても外部に影響を及ぼさない仕組み(隔離や境界防御など)が担保されていること」を証明できれば、CRAをクリアすることが可能です。
CRA対応は、単なる開発部門の仕事にとどまらず、品質保証部門、IT・DX部門、さらには経営陣を巻き込んだ組織横断的な全社プロジェクトとなります。また、2030年以降を見据えると、耐量子計算機暗号(PQC)への対応など、さらなる高度な技術要件との連動も議論され始めています。
迫り来る2026年9月の脆弱性報告義務を前に、まずは「自社製品にどのようなデジタル要素が含まれているか」、そして「現在の開発フローとのギャップはどこにあるか」の現状把握からスタートしてみてはいかがでしょうか。