日本の半導体製造装置向けCRA実務ガイド:SBOMと遠隔保守

EU向け半導体製造装置・検査装置・テスターはCRAでデジタル要素を含む製品になり得ます。装置ソフトウェア、遠隔保守、SBOM、CVD、支援期間の整備ポイントを解説します。

CRA Evidence Team 公開 2026年5月22日 更新 2026年5月27日
濃い紫の背景にEUの星環、半導体製造装置の線画、日本語の半導体製造装置CRA実務ガイドのタイトルを配置したブログ画像
この記事の内容

半導体製造装置は、サイバーレジリエンス法(CRA)の典型的な「見落とされやすいB2B製品」です。露光・成膜・洗浄・検査・計測・テストの各装置は、装置制御ソフトウェア、組込みLinux、レシピ管理、遠隔保守、ログ収集、ファームウェア更新を含みます。

Tokyo Electron EuropeSCREEN SPE GermanyAdvantest Europeのように、日本の半導体装置メーカーは欧州法人や現地サービス網を通じてEU顧客と接点を持っています。CRA対応は、EUの一般消費者向けIoTだけの問題ではありません。

産業用ロボット、PLC、HMI、一般的なFA機器については、既存の日本の産業用ロボット・FAメーカーのためのCRA実戦ガイドを参照してください。24時間報告の詳細な運用は、第14条の脆弱性報告義務に関する日本メーカー向け解説で扱っています。

本稿では、半導体製造装置・検査装置・テスターに固有の論点に絞ります。装置ソフトウェア、遠隔保守、フィールドサービス更新、SBOM、供給元ファームウェア、EU顧客への証拠提示が中心です。

要約

  • 半導体製造装置は、EU市場に供給されるソフトウェア・ハードウェア製品であり、ネットワークや装置へ直接または間接に接続する場合、CRA対象になり得ます。
  • 露光装置、洗浄装置、検査装置、ATE、ハンドラは、製品名だけで重要製品になるわけではありません。まずは一般製品として評価し、附属書IIIの列挙項目に製品機能が対応するかを確認します。
  • 装置内の産業用PC、OS、ネットワークインターフェース、VPN、ファイアウォール、DPU、セキュリティ関連チップは、別売り製品または中核機能として提供される場合に分類論点になります。
  • EU顧客が求める証拠は、CEマーキングだけではありません。SBOM、CVDポリシー、遠隔保守のアクセス制御、ファームウェア署名、支援期間、通報手順が問われます。
  • 2026年9月11日から、積極的に悪用されている脆弱性と深刻なインシデントの報告義務が先行適用されます。2027年12月11日からCRA全体が適用されます。
  • 半導体装置メーカーにとって最初の作業は、装置本体、制御PC、ファームウェア、サービスツール、供給元ソフトウェアを分けて棚卸しすることです。

対象となる読者

本稿は、次の企業・部門を想定しています。

  • EU顧客へ半導体製造装置、検査装置、計測装置、テスターを供給する日本メーカー
  • 装置制御ソフトウェア、組込みLinux、Windowsベースの制御PCを持つ製品チーム
  • プローバ、ハンドラ、ATE、電源・温度制御ユニット、搬送モジュールのサプライヤー
  • 遠隔保守、フィールドサービス、ソフトウェア更新を担当するサービス部門
  • EU顧客のサイバーセキュリティ質問票、調達条件、監査要求に対応する法務・品質保証・製品セキュリティ部門

半導体装置はFA機器と重なる部分があります。ただし、CRA対応で問題になる証拠の形は少し違います。半導体装置では、レシピ管理、プロセスデータ、装置ログ、遠隔保守、現地サービス更新、サプライヤー製ファームウェアの境界が特に重要になります。

CRA対象になる理由

CRAの適用範囲は、消費者向けIoTに限定されません。EU市場に供給されるソフトウェアまたはハードウェア製品で、直接または間接に装置・ネットワークへ接続するものは、デジタル要素を含む製品として扱われます。

半導体製造装置には、多くの場合、次の要素があります。

  • 装置制御ソフトウェア
  • 組込みLinuxまたはWindowsベースの制御PC
  • PLC、モーションコントローラ、I/Oモジュール
  • カメラ、センサー、レーザー、電源、温度制御ユニットのファームウェア
  • レシピ管理、ログ収集、異常検知、予防保全の機能
  • VPN、リモートデスクトップ、サービスゲートウェイなどの遠隔保守機能
  • 顧客ファブ内のMES、SCADA、APC、FDCシステムとの連携

装置がインターネットへ直接接続しない場合でも、CRA対象外とは限りません。ファブ内ネットワーク、保守用ネットワーク、サービスPC、USBメディア、上位システムとの接続は、間接的な接続として評価されます。

純粋なクラウドサービスは通常、CRAの中心対象ではありません。ただし、装置機能がメーカー責任の遠隔データ処理に依存している場合、その遠隔処理は製品の一部として扱われる可能性があります。装置の稼働、保守、診断、更新に必要なクラウド機能は、対象範囲から外してよいとは限りません。

製品分類の考え方

半導体製造装置は、自動的に重要製品になるわけではありません。分類は、EU市場に投下される「製品」単位で行います。

装置全体として販売される露光装置、洗浄装置、成膜装置、検査装置、テスター、ハンドラは、まず一般製品として評価するのが自然です。その上で、製品の機能がCRA附属書IIIの列挙項目に対応するかを確認します。

製品・機能 分類の見方
成膜・洗浄・検査・計測装置本体 一般製品が出発点。ネットワーク機器やOS等の機能が中核でないかを確認します。
ATE、プローバ、ハンドラ 一般製品が出発点。制御PC、サービスツール、更新機能は証拠範囲に入ります。
装置制御OSまたは専用OS 分けて提供される場合、重要製品Class IのOS論点があります。
ネットワークインターフェース、DPU、SmartNIC 分けて販売される場合、重要製品Class Iの論点があります。
VPN、ルータ、スイッチ、保守ゲートウェイ 製品として提供される場合、重要製品Class Iの可能性があります。
ファイアウォール、IDS/IPS 製品として提供される場合、Class IIの可能性があります。
セキュリティ関連マイコン、耐タンパーチップ チップ自体を製品として販売する場合、Class IまたはClass IIの検討が必要です。

重要なのは、装置内にネットワークカードやOSが入っているという事実だけで、装置全体をClass Iにしないことです。内蔵部品はリスク評価、SBOM、脆弱性対応の対象です。一方、装置メーカーが保守ゲートウェイ、サービスVPN装置、専用ネットワーク機器を別製品としてEU顧客へ供給する場合、その製品は別に分類します。

分類の4段階と自己評価・第三者評価の分岐は、CRA製品分類ガイドで詳しく整理しています。

典型的な証拠範囲

半導体装置メーカーがEU顧客から問われるのは、単なる法令適用の有無ではありません。実際には、次のような証拠が求められます。

証拠 半導体装置での焦点
製品分類メモ 装置本体、制御PC、サービスゲートウェイ、別売りソフトウェアの分類理由
SBOM 装置制御ソフトウェア、組込みLinux、Windowsアプリ、ファームウェア、更新ツール
CVDポリシー 脆弱性受付窓口、顧客通知、供給元への連絡、公開タイミング
遠隔保守手順 VPN、認証、特権管理、作業ログ、保守アカウント、緊急アクセス
更新管理 署名、改ざん検知、ロールバック、現地適用、サービスノート
支援期間 装置本体、制御PC、OSイメージ、ファームウェア分岐の終了年月
技術文書 リスク評価、設計判断、試験記録、EU適合宣言書、CEマーキング根拠

装置メーカーがすでに品質保証文書や安全規格文書を持っていても、CRAではソフトウェア構成と脆弱性処理の証拠が別途必要になります。品質保証の文書だけでは、どのOpenSSL、どのカーネル、どのWebサーバ、どのリモートアクセスツールが入っているかを示せません。

半導体製造装置のCRA証拠境界。装置本体、制御PC、遠隔保守、現地サービス更新、供給元ファームウェアを、分類メモ、SBOM、CVDポリシー、更新履歴、支援期間、通報担当に結び付ける図。
装置メーカーの証拠範囲は、装置本体だけでなく、保守経路、制御PC、供給元ファームウェアまで含めて整理します。

SBOMの作り方

半導体装置のSBOMは、装置全体を1枚の表にまとめるだけでは足りません。現実には、複数のソフトウェア層を分けて管理します。

SBOMに含める対象
装置制御アプリ GUI、レシピ管理、ログ収集、アラーム処理、通信モジュール
OSイメージ 組込みLinux、Windows構成、パッケージ、ドライバ、設定差分
ファームウェア モーション、電源、温度制御、カメラ、レーザー、I/O、搬送モジュール
サービスツール リモート診断、現地更新ツール、保守用スクリプト、証明書管理
サプライヤー部品 サードパーティSDK、制御ボード、カメラ、センサー、ネットワーク機器

SBOMの根拠は附属書I第2部第1号にあり、機械可読形式と更新が求められます。形式は今後の実施細則でさらに具体化される可能性がありますが、実務上はCycloneDXまたはSPDXを顧客が指定することが多くなります。

装置メーカーは、顧客へ全SBOMをそのまま渡すとは限りません。機密性の高い部品情報が含まれるため、閲覧範囲、提供形式、更新頻度、当局請求時の対応を契約で決める設計が現実的です。ただし、社内では脆弱性影響範囲を即時に判定できる粒度が必要です。

遠隔保守のCRA論点

半導体装置のCRA対応で、最も早く顧客から問われるのは遠隔保守です。ファブの停止時間は高額であり、装置メーカーは迅速な診断と保守を求められます。一方、遠隔保守は攻撃面でもあります。

確認すべき論点は、次のとおりです。

  • 保守接続は常時開いているのか、顧客承認時だけ開くのか
  • VPN、リモートデスクトップ、踏み台サーバ、サービスPCの責任分界
  • 多要素認証、特権管理、セッション記録、作業ログの有無
  • 保守用アカウントの発行・停止・棚卸し
  • 緊急修正時の承認者と作業証跡
  • 顧客ファブ内ネットワークからメーカー環境への逆方向リスク

CRAの観点では、遠隔保守機能は単なる運用機能ではありません。製品の意図された利用、合理的に予見される利用、脆弱性処理、ユーザー通知の設計に関わります。保守経路が製品機能に不可欠であれば、技術文書に含めるべきです。

フィールドサービス更新

半導体装置では、出荷後に現地サービス担当者がソフトウェアやファームウェアを更新する場面が多くあります。CRAでは、この更新経路も管理対象になります。

特に注意すべき場面は次のとおりです。

  • USBメディアやサービスPCによる現地更新
  • 顧客専用パッチやプロセスレシピ関連の修正
  • 装置停止を避けるための一時的な回避策
  • サプライヤー製ファームウェアの差し替え
  • 旧OSイメージを維持したままの長期サポート

安全更新は、機能更新と分けて提供できる設計が望まれます。署名検証、バージョン管理、ロールバック方針、適用履歴、顧客通知をそろえておくと、EU顧客監査で説明しやすくなります。

支援期間の設計

半導体製造装置は、長期に稼働します。CRAの支援期間は「常に5年で足りる」という意味ではありません。製品の想定利用期間、利用者の合理的期待、製品の性質、主要部品の支援期間を踏まえて決めます。5年未満にできるのは、製品の想定利用期間が5年未満の場合です。

半導体装置では、次の単位で支援期間を分けて管理します。

  • 装置本体の販売モデル
  • 制御PCとOSイメージ
  • 装置制御アプリのメジャーバージョン
  • ファームウェア分岐
  • サプライヤー製ボード、カメラ、センサー、電源、モーション制御部品
  • 遠隔保守ツールと証明書基盤

EU顧客には、安全更新の終了年月を購入時に理解できる形で示す必要があります。半導体装置の場合、仕様書、保守契約、ソフトウェアリリースノート、顧客ポータルのいずれで示すかを決めておくと運用が安定します。

通報体制の最低ライン

第14条の詳細は既存記事で扱っていますが、半導体装置メーカーには固有の準備があります。

2026年9月11日以降、積極的に悪用されている脆弱性は、認識から24時間以内に早期警告が必要です。72時間以内に詳細通知を行い、修正または緩和策が利用可能になった後14日以内に最終報告を提出します。深刻なインシデントは、24時間以内の早期警告、72時間以内の詳細通知、通知後1カ月以内の最終報告で扱います。

半導体装置メーカーでは、次の情報を24時間以内に取り出せる状態にします。

  • 対象装置の型番、シリアル範囲、ソフトウェアバージョン
  • 影響を受けるEU顧客と設置国
  • 該当するファームウェア、OS、サービスツール、供給元部品
  • 暫定回避策と顧客への通知文案
  • 欧州サイバーセキュリティー庁(ENISA)およびコーディネーターCSIRTへ通報する担当者
  • EU認定代理人、輸入業者、販売業者の連絡先

EU域内に主たる拠点がない日本メーカーでは、コーディネーターCSIRTの決め方も事前に整理します。EU認定代理人を選任している場合、その所在国が最初の基準になります。選任していない場合は、輸入業者、販売業者、利用者所在地の情報が重要になります。

供給元への要求

半導体装置メーカーは、装置全体の製造業者としてEU顧客に向き合います。供給元のボード、カメラ、センサー、モーション制御、電源、レーザー、ネットワーク機器に脆弱性があっても、顧客から見れば装置メーカーが説明責任を負います。

購買契約や品質契約に入れるべき項目は、次のとおりです。

  • 機械可読SBOMの提供
  • 脆弱性発見時の通知期限
  • 修正版ファームウェアの提供条件
  • サポート終了時の事前通知
  • セキュリティ更新と機能更新の区別
  • 当局またはEU顧客からの照会時の協力義務

ここで重要なのは、供給元に「CRA準拠」とだけ書かせないことです。装置メーカーが必要とするのは、影響判定に使える部品情報、修正の時期、顧客通知に使える説明、技術文書に入れられる証拠です。

よくある質問

半導体製造装置はCRA対象外ですか?

対象外とは限りません。EU市場に供給され、ソフトウェアやファームウェアを含み、装置またはネットワークに直接・間接に接続する場合、CRA対象になり得ます。

装置内にネットワークカードがあるとClass Iですか?

それだけではありません。分類はEU市場に投下される製品単位で行います。内蔵ネットワークカードはリスク評価とSBOMの対象ですが、装置全体を自動的にClass Iへ変えるわけではありません。分類の詳細はCRA製品分類ガイドを参照してください。

装置制御PCのWindowsやLinuxもSBOM対象ですか?

対象に含めるべきです。顧客が脆弱性影響範囲を確認するには、装置制御アプリだけでなく、OSイメージ、ドライバ、パッケージ、更新ツールの構成が必要です。

遠隔保守だけならCRAとは無関係ですか?

無関係ではありません。遠隔保守が装置の診断、更新、復旧に使われる場合、製品の攻撃面、利用条件、更新設計、ユーザー通知に関わります。技術文書と顧客契約の両方で扱うべきです。

EU認定代理人の扱いは?

CRAでは、非EUメーカーがEU認定代理人を選任できます。ただし、選任自体は任意です。選任する場合でも、設計、リスク評価、脆弱性処理、支援期間の責任は製造業者に残ります。詳細はEU認定代理人とCRA第18条を参照してください。

既存装置にも2026年9月の通報義務はかかりますか?

はい。2027年12月11日より前にEU市場へ投入済みの製品は、原則としてCRAの大部分の要求が猶予されます。ただし、第14条の脆弱性・インシデント報告義務は既存製品にも適用されます。

まず何から始めるべきですか?

1製品ラインを選び、装置本体、制御PC、ファームウェア、遠隔保守、サービスツール、供給元部品を棚卸しします。その上で、分類メモ、SBOM、CVDポリシー、支援期間、24時間通報フローを作ります。

半導体装置メーカーが先に固める4つの項目

  1. 対象製品ラインを1つ選ぶ。装置本体、制御PC、サービスゲートウェイ、保守ツール、供給元ファームウェアを同じ一覧に置きます。
  2. 分類メモとSBOM範囲を先に決める。装置全体、OS、ネットワーク機能、保守ゲートウェイ、セキュリティ関連チップを分けて評価します。
  3. 遠隔保守と24時間通報フローをつなぐ。VPN、特権管理、顧客承認、緊急アクセス、ENISA・コーディネーターCSIRTへの早期警告担当を一つの運用表にします。
  4. 供給元契約と技術文書を同じ証拠で埋める。SBOM提供、脆弱性通知、修正版ファームウェア、支援期間、EU適合宣言書の根拠を製品ライン単位でそろえます。

EU顧客からCRA質問票やSBOM要求を受け始めている場合は、まず対象製品ラインの棚卸しから始めるのが現実的です。外部レビューが必要な場合は、CRA Evidence が分類、SBOM範囲、通報フロー、技術文書の不足点を確認します。無料アセスメントを予約

CRA 半導体製造装置 組込みソフトウェア SBOM 遠隔保守 日本製造業
Share

関連記事

記事一覧に戻る

CRAはあなたの製品に適用されますか?

6つの質問に答えるだけで、あなたの製品がEUサイバーレジリエンス法の適用範囲に該当するかどうかがわかります。2分以内で結果を確認できます。

今すぐ確認