【第3回】欧州サイバーレジリエンス法(CRA)の適合性評価 ~クラス分類に応じた適合性評価~
<シリーズ> 欧州サイバーレジリエンス法(Cyber Resilience Act:CRA)~最新動向と日本企業に求められる対応~
2024年12月10日に発効された欧州サイバーレジリエンス法(Cyber Resilience Act:CRA)は、EUで事業を行う多くの日本企業において対応が求められるEU法令です。本ブログでは、最新動向を踏まえて、CRAの解説と、日本企業が対応するうえでのポイントを紹介します。
はじめに
CRAでは、デジタル製品をEU市場に投入する前に適合性評価を実施することを製造者に求めています。本ブログの第3回では、製造者の対応におけるポイント②「適合性評価の実施」について、デジタル製品のクラス分類に関する最新の法令動向も踏まえつつ、解説いたします。
図表1:本ブログ第3回の説明スコープ
CRAの適合性評価(概要)
CRAにおいて製造者は、デジタル製品をEU市場に投入する前に適合性評価を実施し、当該製品および製造者が実施しているプロセスがAnnexⅠ「必須のサイバーセキュリティ要件」に適合していることを証明する必要があります。PL法(EUにおいては製造物責任指令)は製造物の欠陥による被害が発生した際の結果責任であるのに対し、CRAはセキュリティ要件に適合できていない状態でEU市場に流通させた時点でCRA違反を問われる点が大きな違いと言えます。
そうしたCRAにおける適合性評価の形式は、自己適合宣言と第三者適合性評価に大別されます。ポイントは、CRAの適用対象製品のクラス分類に応じて、選択できる適合性評価形式が異なる点です。以降では、CRAの適合性評価形式とクラス分類について解説いたします。
デジタル製品のクラス分類に応じたCRAの適合性評価形式
CRAの適用対象製品は、「クリティカルなデジタル製品」、「重要なデジタル製品(クラスⅠ:低リスク)・(クラスⅡ:高リスク)」、「通常のデジタル製品」の3つに分類されています。
それらのクラス分類に応じて、選択できる適合性評価形式が規定されています。
- 「クリティカルなデジタル製品」 ➡ 第三者適合性評価
- 「重要なデジタル製品(クラスⅠ:低リスク)・(クラスⅡ:高リスク)」➡ 第三者適合性評価
※重要なデジタル製品(クラスⅠ:低リスク)で、欧州サイバーセキュリティ認証スキーム/整合規格を使う場合のみ自己適合宣言を選択可能 - 「通常のデジタル製品」➡ 自己適合宣言、第三者適合性評価いずれも選択可能
図表2:デジタル製品のクラス分類によって選択可能な適合性評価形式の違い
第三者適合性評価の実施が必要な場合、自己適合宣言よりも、適合性評価に関連して多くの工数・費用が対応にかかる可能性が高いため、自社のCRA適用対象製品のクラス分類を早急に見極めることが重要です。
デジタル製品のクラス分類の判断
デジタル製品のクラス分類
CRAでは、「クリティカルなデジタル製品」と「重要なデジタル製品(クラスⅠ:低リスク)・(クラスⅡ:高リスク)」に該当する製品カテゴリをAnnexⅢ・Ⅳに規定しています。それらに該当しないCRA適用対象製品が「通常のデジタル製品」となります。
図表3:「クリティカルなデジタル製品」の製品カテゴリ
|
クリティカルなデジタル製品(Annex Ⅳ) |
|
l セキュリティボックスを備えたハードウェアデバイス l Directive (EU) 2019/944の第2条(23)に定義されたスマートメータシステム内のスマートメータゲートウェイ、および安全な暗号処理を含む高度なセキュリティ目的のその他デバイス l セキュアエレメントを含むスマートカードまたは類似のデバイス |
図表4:「重要なデジタル製品」の製品カテゴリ
|
重要なデジタル製品(Annex Ⅲ) |
|
|
クラスⅠ:低リスク |
クラスⅡ:高リスク |
|
l ID管理システムや特権アクセス管理用ソフトウェア・ハードウェア(認証およびアクセス制御リーダ、生体認証リーダを含む) l スタンドアロンブラウザ/組込みブラウザ l パスワードマネージャ l マルウェア対策ソフトウェア(検知・削除・検疫) l VPN機能を有する製品 l ネットワーク管理システム l セキュリティ情報及びイベント管理(SIEM)システム l ブートマネージャ l 公開鍵認証基盤と電子証明書発行ソフトウェア l 物理及び仮想ネットワークインターフェース l オペレーティングシステム(OS) l ルーター、インターネット接続用のモデム、及びスイッチ l セキュリティ関連機能を備えたマイクロプロセッサ l セキュリティ関連機能を備えたマイクロコントローラ l セキュリティ関連機能を有する特定用途向け集積回路(ASIC)及びフィールドプログラマブルゲートアレイ(FPGA) l スマートホーム向け汎用バーチャルアシスタント l セキュリティ機能を備えたスマートホーム製品(スマートドアロック、セキュリティカメラ、ベビーモニタリングシステム、アラームシステムなど) l Directive2009/48/ECの対象となるインターネット接続玩具で、社会的対話機能(例:会話や撮影)/位置追跡機能を有するもの l 健康モニタリングを目的として、かつRegulation (EU) 2017/745または (EU) 2017/746が適用されない、人体に装着/設置される個人用ウェアラブル製品、または小児による・小児のための使用を意図した個人用ウェアラブル製品 |
l OSや類似の環境の仮想実行をサポートするハイパーバイザやコンテナランタイムシステム l ファイアウォール、侵入検知・防止システム l 耐タンパマイクロプロセッサ l 耐タンパマイクロコントローラ |
クラス分類の判断の考え方
適合性評価の実施に向けた準備として、自社のCRA適用対象製品が「クリティカルなデジタル製品」、「重要なデジタル製品」に該当するか否かをCRA対応の初期段階から判断することが重要です。
クラス分類の判断にあたっては、クラス分類の各製品カテゴリの技術的説明を規定した実施法(Commission Implementing Regulation (EU) 2025/2392)が2025年11月28日に採択され、施行されました。当該実施法では、クラス分類の基本的な判断の考え方が示されるとともに、「クリティカルなデジタル製品」と「重要なデジタル製品」に該当する各製品カテゴリの技術的説明が規定されています。
図表5:クラス分類の各製品カテゴリの技術的説明(例として、一つのカテゴリを抜粋)
|
製品カテゴリ |
技術的説明 |
|
VPN機能を有する製品 |
物理ネットワークや仮想ネットワークのシステムリソースから構築される、暗号化された論理トンネルを確立するデジタル製品。 このカテゴリには、VPNクライアント、VPNサーバー、VPNゲートウェイなどが含まれるが、これらに限定されるものではない。 |
当該実施法の内容を踏まえると、クラス分類の判断は、自社のCRA適用対象製品のコア機能が「クリティカルなデジタル製品」/「重要なデジタル製品」の各カテゴリの技術的説明に該当するか否かによって判断する必要があります。自社のCRA適用対象製品のコア機能が「クリティカルなデジタル製品」/「重要なデジタル製品」のカテゴリの技術的説明に該当する場合、その製品は該当するクラス分類として適合性評価の形式を選択・実施する必要があります。
適合性評価の実施に向けた準備は、クラス分類の判断のみならず、一定の時間を要するため、適用期限から逆算して計画的に対応を進めることが重要です。
最新の法令動向を踏まえて、企業のCRA対応を支援するための情報を今後も本ブログにて適宜公開する予定ですので、ぜひご活用ください。
本ブログの第4回では、製造者の対応におけるポイント③当局への報告体制の整備について、詳細を解説いたします。
執筆者
萬代 大輔/Daisuke Mandai
デロイト トーマツ サイバー合同会社 マネジャー
※所属などの情報は執筆当時のものです。
岩本 高明/Takaaki Iwamoto
