【第2回】欧州サイバーレジリエンス法(CRA)のセキュリティ要件と整合規格の作成状況
<シリーズ> 欧州サイバーレジリエンス法(Cyber Resilience Act:CRA)~最新動向と日本企業に求められる対応~
2024年12月10日に発効された欧州サイバーレジリエンス法(Cyber Resilience Act:CRA)は、EUで事業を行う多くの日本企業において対応が求められるEU法令です。本ブログでは、最新動向を踏まえて、CRAの解説と、日本企業が対応するうえでのポイントを紹介します。
はじめに
CRAは、第13条「製造者の義務」として、製品ライフサイクル全体を通じたセキュリティ要件への適合を製造者に義務付けています。本ブログの第2回では、製造者の対応におけるポイント①「セキュリティ要件への適合」について、整合規格の最新の作成状況も踏まえつつ、解説いたします。
図表1:本ブログ第2回の説明スコープ
CRAのセキュリティ要件への適合
第13条「製造者の義務」の概要
製造者は、デジタル製品をEU市場に投入して流通させるためには、CRA第13条「製造者の義務」を中心としたセキュリティ要件に適合する必要があります。第13条「製造者の義務」では、製品ライフサイクル全体(設計、開発、製造、販売・サービス運用)を通じて、デジタル製品のセキュリティを確保するために製造者が実施すべき義務が規定されています。
第13条「製造者の義務」の主な要件(概要)は、以下の通りです。
- サイバーセキュリティ上のリスクアセスメントの実施、CRA要件の適用状況も含めたリスクアセスメント結果の文書化
- デジタル製品の設計・開発・製造時における「製品特性に係るサイバーセキュリティ要件(AnnexⅠ PartⅠ)」の遵守
- 第三者から供給されたコンポーネントを使用する場合、当該コンポーネントによりデジタル製品のサイバーセキュリティが損なわれないようにデューデリジェンスを実施
- 協調的な脆弱性開示ポリシーや脆弱性対応プロセスの構築・運用なども含めて、デジタル製品のサポート期間終了まで「脆弱性処理要件(AnnexⅠ PartⅡ)」に基づく脆弱性対応を実施
- CRAにおける「技術文書」の作成・保管、およびAnnexⅡで規定された「ユーザに対する情報および指示(ユーザ文書)」の作成・提供・保管
- 適合性評価を実施した上で、EU適合宣言書の作成・保管、CEマークの貼付
- デジタル製品のサポート期間中に、「必須のサイバーセキュリティ要件(AnnexⅠ)」に適合しない状態になった場合の是正措置の実施、製品の撤去またはリコール
また、第13条「製造者の義務」に紐づく形で、製品に関する具体的なセキュリティ要件がAnnexⅠ「必須のサイバーセキュリティ要件」に規定されています。その中で、AnnexⅠ PartⅠには「製品特性に係るサイバーセキュリティ要件」、PartⅡには「脆弱性処理要件」が規定されています。
図表2:CRA AnnexⅠ「必須のサイバーセキュリティ要件」の全体像
CRAのセキュリティ要件への適合においては、サイバーセキュリティ上のリスクアセスメント結果を踏まえて、AnnexⅠ PartⅠ「製品特性に係るサイバーセキュリティ要件」、PartⅡ「脆弱性処理要件」に対応することが重要になるため、それぞれの要件の概要とポイントを以下にて説明します。
製品特性に係るサイバーセキュリティ要件(AnnexⅠ PartⅠ)への対応
製品特性に係るサイバーセキュリティ要件(AnnexⅠ PartⅠ)では、(1)に製品セキュリティに関するプロセス要件、(2)に(a)-(m)までの13個の機能要件が規定されています。
図表3:製品特性に係るサイバーセキュリティ要件(AnnexⅠ PartⅠ)の概要
(1)リスクに基づいて適切なレベルのサイバーセキュリティを確保するよう設計・開発・製造されていること |
(2)該当する場合は、サイバーセキュリティリスクアセスメントに基づき、以下を満たすこと (a)既知の悪用可能な脆弱性が含まれない状態での製品供給 (b)工場出荷時設定へのリセット含む、デフォルト設定でのセキュアな構成 (c)セキュリティアップデートによる脆弱性への対応 (d)適切な制御メカニズムによる、不正アクセスからの保護 (e)強力な暗号化技術などによる、データの機密性の保護 (f)不正な操作・変更からの、データ・プログラムなどの完全性の保護 (g)必要最小限のデータに限定した処理の実施 (データの最小化) (h)DoS攻撃からの回復・緩和など、重要な機能の可用性の保護 (i)他の機器やネットワークが提供するサービスの可用性への悪影響を最小化 (j)サイバー攻撃を受ける可能性のある領域を制限した設計・開発・製造 (k)インシデントの影響を緩和する設計・開発・製造 (l)製品に関連する内部活動の記録・監視によるセキュリティ情報の提供 (m)ユーザが全てのデータ・設定をセキュアに削除・転送できることを保証 |
(1)のプロセス要件への対応は、IEC 62443 4-1など、国際的な標準において製品ライフサイクル全体にわたって求められる製品セキュリティのプロセス要件を参考に対応することが望ましいと考えられます。(2)の機能要件への対応は、IEC 62443 4-2、EN 18031シリーズ、EN 303 645など、国際的な標準において製品に求められるセキュリティ機能要件を参考に対応することが望ましいと考えられます。
脆弱性処理要件(AnnexⅠ PartⅡ)への対応
脆弱性処理要件(AnnexⅠ PartⅡ)では、脆弱性対応に係る8個の要件が規定されています。
脆弱性処理要件も製品ライフサイクル全体を通じた対応が必要になります。
図表4:脆弱性処理要件(AnnexⅠ PartⅡ)の概要
デジタル製品の製造者は、以下を実施しなければならない。 (1)製品に含まれる脆弱性とコンポーネントの特定・文書化(一般的に使用される機械処理可能な形式のソフトウェア部品表(SBOM)の作成を含む) (2) セキュリティアップデートの提供など、遅滞なく脆弱性の対処・緩和を実施 (3) 効果的かつ定期的なテスト・レビュー (4) 修正された脆弱性に関する情報の共有・公開 (5) 協調的な脆弱性開示ポリシーの策定・実施 (6) 製品やサードパーティコンポーネントの潜在的な脆弱性に関する情報の共有(連絡先の提供を含む) (7) 悪用可能な脆弱性が適時に修正・緩和されるように、セキュリティアップデートをセキュアに配布する機能の提供 (8) セキュリティアップデートの遅滞ない提供、ユーザへの助言メッセージの添付 |
脆弱性処理要件の対応は、ISO/IEC 29147やISO/IEC 30111など、国際的な標準において脆弱性対応で求められるセキュリティ要件を参考に対応することが望ましいと考えられます。
また、自社における既存の脆弱性対応プロセスを整理した上で、現時点で対応できていないCRA要件を既存のプロセスに組み込んでいくことが効率的な対応のためには重要です。
整合規格の作成状況と現時点において求められる対応
整合規格の作成状況
現在、CRAにおいては、AnnexⅠ「必須のサイバーセキュリティ要件」を対象として、整合規格の作成が進められています。
※整合規格とは、EU法令の必須要求事項を満たすための技術的な統一規格です。活用は任意ですが、整合規格に準拠することで当該EU法令の必須要求事項に適合したとみなされるため、EU法令への対応を効率的に進めることができます。
CRAでは、デジタル製品の種別にかかわらず適用される水平規格と、クリティカル/重要なデジタル製品を対象に製品の特性に合わせて適用される垂直規格がセットで整備される予定です。水平規格、垂直規格いずれも作成が本格化しており、2025年12月時点においては、一部の水平規格・垂直規格のDraftが公開され、パブリックコメントが募集されている状況です。
図表5:CRAの水平規格の作成状況(2025年12月時点)
現時点において求められる対応
CRAの整合規格について、一部の水平規格・垂直規格のDraftが公開された状況ではありますが、EU法令の適用期限間近に整合規格の作成は完了することが多いため、作成完了を待っているとCRAの適用期限までに対応が間に合わない可能性が高いです。そのため、CRAの適用開始に向けた現時点においては、整合規格の作成状況を継続的に情報収集しつつも、CRAの整合規格作成に関連する既存の国際的な標準を参照して対応を開始・推進することが望まれます。(整合規格Draftが公開された場合は、それらも併せて参照し、これまでの対応の方向性・今後の対応の方向性を微調整する形が望ましいと考えます。)
整合規格の作成状況やその他の法令動向も含め、企業のCRA対応を支援するための情報を今後も本ブログにて適宜公開する予定ですので、ぜひご活用ください。
本ブログの第3回では、製造者の対応におけるポイント②適合性評価の実施について、詳細を解説いたします。
執筆者
萬代 大輔/Daisuke Mandai
デロイト トーマツ サイバー合同会社 マネジャー
※所属などの情報は執筆当時のものです。
岩本 高明/Takaaki Iwamoto
