産業用ロボットおよびコボットはCRAの「重要製品」に該当するか

要約

本ガイドは、架空のコボットリリースを一例として、分類、製品境界、リスクアセスメント、SBOM、リリース承認、脆弱性報告、経済主体間の引き渡しまでを追います。同じ構成は、6軸アーム、協働セル、または視覚オプションおよびフリートクラウドサービスとともに販売されるロボットコントローラーにも転用できます。

  • 計画上の前提は標準ルートです。 産業用ロボットおよびコボットは、現時点でCRAの重要製品または重要度の高い製品のリストに名指しされていません。ファイアウォール、ネットワーク管理、改ざん耐性コントローラーの機能が主たる販売要素となる場合は、別途分類判断を行ってください。
  • 境界メモから始めます。 正確なバリアントを明示します。アームハードウェア、コントローラーキャビネット、ペンダント、フィールドバスオプション、プログラミングランタイム、フリートまたはクラウドコネクタ、用途、供給されるデジタル要素、サポート期間、ルート選定の根拠を記載します。
  • サイバーとセーフティは2027年から交差します。 ISO 10218-1:2025は、ロボットの安全に影響する範囲でサイバーセキュリティ要求事項を追加し、機械規則は2027年1月20日から適用されます。CRAファイルと安全ケースは、これらの接点で証拠を共有します。
  • サポートには現実的な終了日が必要です。 サポート期間は、想定使用期間がより短い場合を除き、少なくとも5年です。工場ではロボットがそれよりはるかに長く稼働することが多いため、ファイルにはメーカーが履行可能なサポート期間を記載し、購入前にその終了日を開示する必要があります。
  • 脆弱性ハンドリングは運用モデルです。 リリースファイルには、脆弱性警告を受領する担当者、メンテナンスウィンドウの承認者、アップデートをロールバックできる担当者、未解決のアドバイザリーをどのように可視化し続けるかを明記します。
  • 引き渡しも証拠です。 メーカーは製品ファイルを保持し、セルが統合者の名義で出荷される場合は統合者が完成セルファイルを保持し、運用者がセルを稼働させます。各引き渡しは口頭でなく文書化されます。

産業用ロボットまたはコボットの分類ルート

アームハードウェアではなく、販売形態から始めます。システム統合者向けに販売される6軸アームと、小規模工房向けに完成コボットセルとして販売される同じアームは、CRA上は異なる製品です。ルートは、買い手が何の対価を支払っているか、どのコントローラーとペンダントが付属するか、メーカーがフリートクラウド、安全設定、OTAアップデート経路も供給するかどうかによって決まります。

産業用ロボットまたはコボットの分類ルート判定を示すイラスト図。「買い手は何の対価を支払うのか」という上部の問いから3つの図解された経路に分岐します。経路A:システム統合者向けに販売される6軸アームは、コンポーネントファイルとして標準ルートに従います。経路B(強調):力制限アーム、安全設定、視覚オプション、フリートクラウド、署名付きアップデートを備えた中小企業向けの完成コボットセルは、メーカー側のフルファイルで標準ルートに従います。経路C:統合者のCEマーキングのもとで販売される完成機械に組み込まれたロボットアームは、統合者主導のリリースで2つのファイルを使用します。フッターには、標準ルートが計画上の前提であり、リスト掲載のサブ製品機能が販売主体となった場合にのみ重要製品ルートに移行することが補足されます。
最初に決めるのは販売形態です。コンポーネントとしてのアーム、完成したcobotセル、または統合者主導の機械内ロボットを切り分けます。

上図はルート選択を示します。下のマトリクスは境界メモを示します。バリアントが定まれば、メーカーがそのバリアントについて埋められるべき証拠行はこれらです。

境界メモ向けバリアント別証拠行 各バリアントについて、ファイル境界、リスクアセスメントの重点、メーカーが1行で記載できるべき引き渡しメモを示します。
バリアント メーカーファイル境界 リスクアセスメント重点 引き渡しメモ
システム統合者向け6軸ロボットアーム

コンポーネント販売。統合者がセルを構築します。

アーム、コントローラー、ペンダント、プログラミングランタイム、フィールドバスオプション、署名付きアップデート、脆弱性ハンドリングプロセス、統合者向けマニュアル。

エンジニアリングステーションの書き込み権限、リカバリースロット、フィールドバススタックの露出、サプライヤーコンポーネントのアドバイザリー監視、廃棄時の認証情報ローテーション。

コンポーネントデューデリジェンス記録は統合者に引き継がれます。セルレベルの安全設定とセルのCEは統合者が所有します。
中小企業向け完成セルとして販売されるコボット

力制限の協働アーム、即稼働可能な安全設定、視覚オプション、フリートクラウド。

アーム、コントローラー、ペンダント、安全設定、視覚センサー、プログラミングランタイム、フリートクラウドコネクタ、OTAサービス。

協働運転モード(速度・分離監視または力・速度制限)、共有作業空間でのオペレーター権限、フリートクラウド権限、ペンダントアカウント、署名付き安全ファームウェア経路。

メーカーはサポート期間中の全責任を負います。オペレーターロールバインディング、フリートクラウド解除、廃棄チェックリストがセルとともに移動します。
完成機械に組み込まれたロボットアーム

包装ライン内、または処理機械内で、統合者のCEマーキングのもと再販されます。

ロボットメーカーは、アーム、コントローラー、ペンダント、出荷ソフトウェアを自社のファイルに保持します。完成機械は、統合者のCEマーキングのもと独自のファイルを持ちます。

コンポーネントサプライヤーのアドバイザリー(RT OS、フィールドバススタック、視覚モジュール)、サプライヤー適合性主張の整合、統合時のサービス露出、機械メーカーとのサポート期間の整合。

統合者は完成機械の機械製造業者となり、独自の脅威リスト、脆弱性ハンドリングプロセス、EU適合宣言書を運用します。ロボットメーカーはアームのコンポーネント製造業者にとどまります。
各ロボットバリアントでは、メーカーのファイルに境界、リスク重点、引き渡しメモを明確に残します。

ルーティング補助は境界メモを書く前に使うものであり、メモの代替ではありません。メモには引き続き、正確なアームモデル、可搬質量およびリーチ、コントローラーキャビネット、ペンダント、プログラミング環境、安全設定の範囲、フリートクラウド、OTAサービス、用途を記載する必要があります。完成コボットセルについては、買い手が依拠する協働運転モード(速度・分離監視、力・速度制限、ハンドガイディング、または安全定格モニタード停止)を明示します。

次に、別のリスト掲載機能が実質を担っていないかを確認します。CRAは、製品の中核機能がリスト掲載カテゴリーに該当する場合に、その製品を重要製品として扱います。コントローラーが組み込まれているという事実のみでロボットが重要カテゴリーに移ることはありません。販売の主体が、ファイアウォールゲートウェイ、VPNアプライアンス、ネットワーク管理システム、SIEMコネクタ、または改ざん耐性チップを中心に構築された堅牢化コントローラーである場合は、まずその中核機能を分類し、アームを周辺機器として扱います。

コンポーネント販売の場合、完成セルカテゴリーに無理に当てはめないでください。システム統合者向けに販売される6軸ロボットアームも、なおデジタル要素を含む製品であり、セキュア・バイ・デザインの証拠、アップデート経路、脆弱性ハンドリングプロセス、サポート期間の表明、統合者向け文書を必要とします。ルートは標準のままで、責任は統合者と分担されます。

分類メモは次の4つの問いに答える必要があります。

  1. このリリースはロボットアーム、完成コボットセル、または他の機械に組み込まれたロボットのいずれとして販売されるか。
  2. ロボット動作がこの製品の中核機能か、それとも他のリスト掲載機能(ファイアウォール、VPN、ネットワーク管理、セキュリティ関連マイクロコントローラー)が実質を担っているか。
  3. 想定機能のために供給されるデジタル要素は何か。アームファームウェア、安全設定、ペンダント、プログラミング環境、OTAサービス、フリートクラウド、脆弱性ハンドリングプロセス。
  4. メーカーの提供範囲外となるシステムはどれか。顧客のセルロジック、顧客の安全PLC、工場ネットワーク、サードパーティーの視覚ソフトウェア、顧客のMESまたはSCADA。

ロボット製品境界の範囲

ロボットメーカーにとって、コンプライアンス境界はアーム単体であることはほとんどありません。境界は、上市された製品と、想定される動作および安全機能に必要なデジタル要素に沿って引かれるべきです。

通常、ロボットメーカーの境界に含まれるもの:アームファームウェア、関節コントローラーファームウェア、コントローラーキャビネットのオペレーティング環境、安全コントローラーファームウェア、ペンダント、プログラミング環境、OTAサービス、脆弱性ハンドリングプロセス。

メーカーが提供の一部として販売しない限り、通常、境界外となるもの:顧客のセルロジック、顧客が記述した安全設定、工場ネットワーク、サードパーティーのエンドエフェクター、サードパーティーの視覚ソフトウェア、顧客のMESまたはSCADA、顧客の安全PLC。

CRAの下での産業用ロボットまたはコボット 出荷されるロボット、供給ソフトウェア、サポート期間中の義務を、顧客のセル、工場ネットワーク、オペレーターのワークフローから分離します。
統合度がより高い
顧客のセル 統合者およびオペレーターがロボットの周囲に構築するもの
セルロジック 顧客の安全PLC 工場ネットワーク MESまたはSCADA コンベヤーおよび治具
証拠

これらの要素が統合者またはエンドユーザーに由来する場合、メーカー側に証拠は不要です。ロボットメーカーがセルコントローラー、安全PLC、またはMESコネクタを提供の一部として販売する場合、それぞれが独自の境界ファイルを持つ別の製品となり得ます。

メーカー供給の境界
出荷製品 出荷するロボット本体
アームおよび関節 エンドエフェクターフランジ コントローラーキャビネット 安全コントローラー ペンダント フィールドバスオプション
証拠

製品ファイル · EU適合宣言書 · CEマーキング · サポート期間の表明 · ユーザー説明書 · 適合性評価記録

ロボットメーカーは、ロボットが上市されてから10年間、またはサポート期間のいずれか長い方の期間、これを保持します。機能安全の証拠(ISO 10218-1:2025およびISO 10218-2、ISO 13849、IEC 61508)は同じファイルに保管し、安全ケースとサイバーレジリエンスケースを併せて検証できるようにします。

オンデバイスソフトウェア ロボット上で稼働するソフトウェア
モーションファームウェア セーフティファームウェア リアルタイムOS フィールドバススタック OPC UAサーバー プログラミングランタイム アップデートエージェント
証拠

サイバーレジリエンス設計ファイル · コンポーネント目録 · 脆弱性ハンドリングプロセス · 開示ポリシー · セキュアアップデート機構

公開された単一窓口、セキュアデフォルトのテスト証拠、署名付きアップデートの検証、ダウングレード拒否の結果、サポート期間設定の根拠を含めます。

チップ層 関節およびキャビネット内部
サーボMCU FPGAまたはSoC EtherCATスレーブ セーフティMCU アブソリュートエンコーダー ゲートドライバー モーションCPU
証拠

コンポーネントデューデリジェンス記録 · サプライヤー適合性主張 · ベンダーセキュリティアドバイザリー

ロボットメーカーは、関節駆動チップの選定について引き続き責任を負います。コントローラーチップ、セーフティマイクロコントローラー、またはセキュアエレメントがそれ自体デジタル要素を含む製品である場合、サプライヤーの適合性主張およびアドバイザリーは、メーカーのデューデリジェンスを置き換えるのではなく、それを支えます。

ロボット出荷後
稼働する製品 出荷後も継続するもの
コンポーネント監視 脆弱性ハンドリング 無償セキュリティアップデート 報告体制 統合者への通知 是正措置
証拠

コンポーネント目録は新規脆弱性に対して監視され、脆弱性プロセスが見つかった事項をトリアージし、無償セキュリティアップデートが修正を配信します。アップデートは、工場がマシンタイミングや安全ケースを壊さずにメンテナンスウィンドウ内で検証できるかたちでパッケージ化します。

積極的に悪用されている脆弱性については、24時間以内の早期警告、72時間以内の脆弱性通知、是正措置または緩和措置が利用可能になってから14日以内の最終報告に備える必要があります。重大なセキュリティインシデントも同様に24時間および72時間の枠組みに従い、最終インシデント報告は1か月以内となります。第14条の報告義務は、2027年12月11日の一般適用日に先立ち、2026年9月11日から適用されます(第71条第2項)。

いずれかを認識した後、影響を受ける統合者およびエンドユーザー、必要に応じてすべてのユーザーに脆弱性またはインシデントを通知します。必要な場合には、ユーザーが展開可能な緩和措置または是正措置を含め、どの手順にメンテナンスウィンドウが必要かを明示します。

ロボットメーカーは、出荷されるアーム、コントローラー、安全コントローラー、オンデバイスソフトウェア、コンポーネントデューデリジェンス、サポート期間中の作業を所有します。顧客のセルロジック、顧客の安全PLC、工場ネットワーク、MESまたはSCADAは、同じメーカーが提供の一部として販売しない限り境界外にとどまります。

適用される適合性評価ルート

01 デフォルト製品:標準ルートの手続きが利用可能

産業用ロボットおよびコボットは、現時点でCRAの重要製品または重要度の高い製品のリストに名指しされていないため、標準ルートが計画上の前提となります。製造業者は、内部管理、EU型式試験と生産適合性、完全品質保証、または該当する欧州サイバーセキュリティ認証スキームから選択できます。選択は無条件であり、デフォルト製品には整合規格の前提条件はありません。

02 クラスI条件付き経路はCRAリストが変更された場合のみ作動する

「規格を完全適用」の条件は、重要製品のフォールバックに属し、デフォルトルートには属しません。将来の更新でロボットまたはコボットのサブ製品がそのリストに追加され、利用可能な規格またはスキームが該当する必須要件をカバーしない場合、製造業者は不足部分について第三者評価ルートを必要とします。リストには現在ロボットが含まれていないため、このフォールバックは計画上のルートではなく、コンティンジェンシープランです。

03 規制間レビューに備える

機械規則 2023/1230は2027年1月20日から適用され、サイバー証拠と重なる安全要件、特に破損に対する保護および制御システムの信頼性を含みます。サイバーレジリエンスファイルと機械安全ファイルは、別個のコンプライアンスプロジェクトではなく、同じ製品フォルダーの2つの糸として扱ってください。機械のCEマーキングは両方の規則を参照します。

ロボットファイルのアーキテクチャチェックポイント

ロボットリリースファイルは、汎用のOTチェックリストではなく、実機に沿って構成すべきです。統合者向けに販売される単体アーム、中小企業向けに販売される力制限コボットセル、包装ラインに組み込まれたロボット、視覚機能を備えたクリーンルームロボットは、クラス論議は共有できても、必要な工学的記録は異なります。

  1. 動作権限経路。 動作、パラメーター、または安全設定を変更し得るすべての経路を特定します。ペンダント、エンジニアリングステーション、ベンダークラウド、ベンダーサービストンネル、USB転送、セルコントローラーからのフィールドバス、任意のリモートアシストチャネル。
  2. ローカル露出。 試運転後および各アップデート後、コントローラーで到達可能なサービスをスキャンします。リリースファイルには、到達可能なサービス、認証を要するサービス、デフォルトで無効なサービスを示すべきです。
  3. 顧客システム。 顧客のセルロジック、顧客の安全PLC、工場ネットワーク、サードパーティーの視覚ソフトウェア、MESまたはSCADAは、メーカーがその層を販売しない限り、ロボットメーカーの製品の範囲外として扱います。
  4. アップデート権限。 アップデート権限を双方向のやりとりとして扱います。コントローラーがアップデートメタデータを確認または受信し、アップデートサービスがその正確なコントローラーバリアントおよび安全ファームウェアリビジョン向けの署名済みファームウェアバンドルを返します。署名付きアップデート、ダウングレード拒否、機械への影響、リカバリー、ロールバックの記録をリリースに紐付けて保管します。
  5. サプライヤー入力。 サーボMCU、エンコーダー、セーフティMCU、フィールドバススタック、視覚モジュール、RTオペレーティングシステム、プログラミングランタイムのそれぞれに、明示された担当者、バージョン、アドバイザリー監視、リリース判断を付与します。
  6. サポートアクセス。 サービストンネル、診断、リモートアシストセッションを第2の動作権限経路にしないようにします。トンネル無効化、レダクション、監査サンプルの記録を保持します。
  7. 市販後ループ。 脆弱性報告、重大インシデント、サプライヤーアドバイザリー、フィールド故障は、脅威リスト、残留リスク記録、リリースファイル、次回リリースゲートを更新します。

下のセルダイアグラムは、ワークドエグザンプルよりも意図的に広範に描かれています。ファイルを正確な出荷バリアントに絞り込む前の、製品ファミリー境界チェックとして使用してください。6軸アーム、コボット、クリーンルームバリアント、パレタイジングバリアント、エンドエフェクターと一緒に販売されるロボットは、それぞれ異なる証拠セットを必要とします。

産業用ロボットセルのリファレンスアーキテクチャ図。左側の破線矩形はメーカーの製品ファイル境界を示し、関節とエンドエフェクターを備えた6軸アーム、モーションCPU、安全コントローラー、AおよびBファームウェアスロット、フィールドバスとサービスメディアを備えたコントローラーキャビネット、ティーチペンダント、フリートクラウドコネクタを含みます。右側の顧客サイトには、エンジニアリングステーション、セルPLC・MES・OPC UAを備えた工場LAN、メーカー提供のフリートクラウド、統合者引き渡し時に文書化される顧客所有パネルがあります。矢印はF1モーション、F2センシング、F3ペンダント、F4プログラムロード(ペンダントの上を経由)、F5プラント、F6クラウドを示し、F7サービスはキャビネット内のサービスメディアとして示します。凡例は内部フローと境界をまたぐフローを区別し、どの記録がメーカーの製品ファイルに属するかを説明します。
アーキテクチャ図は、動作、センシング、ペンダント権限、プログラムロード、プラント通信、クラウド更新、サービスメディアを出荷製品境界に対応付けます。

このレイアウトに該当する実在のOEMコントローラーには、ABB OmniCore、KUKA KR C5 (KSS)、iiQKA.OSを実行するKUKAコントローラー、FANUC R-30iB Plus、安川 YRC1000、ユニバーサルロボット PolyScope Xなどがあります。上記のパーティションはこれらすべてに共通します。メーカー製品ファイルがアーム、コントローラー、オンデバイスソフトウェアの境界を保持し、顧客のセルロジック、工場LAN、顧客所有ツールは、メーカーがその層も販売しない限り境界外にとどまります。

ロボットのリスクアセスメント構成

この例は、リリースファイルにそのまま貼り付けるためのテキストではなく、想定される深さを理解するために用います。ロボットメーカーは自社のアーム、関節駆動、コントローラー、安全コントローラー、ペンダント、プログラミングランタイム、フリートクラウド、サプライヤー、販売主張、サポート期間、リリースプロセスに対してアセスメントを実施する必要があります。

評価対象の製品は何か

例示用の架空製品、実在の機器ではありません:ExampleCo CR-12、可搬質量12 kg、リーチ1300 mmの6軸多関節産業用ロボットアーム、力制限の協働モードをオプションで備えます。アーム、コントローラーキャビネット、ティーチペンダント、オプションの2D視覚センサー、プログラミング環境、署名付きOTAアップデート、メーカーフリートクラウドコネクタとともに出荷されます。中小製造業者には完成セルとして、システム統合者にはより大規模な機械のコンポーネントとして販売されます。

この例の製品境界には、アーム、関節駆動、コントローラーキャビネット、安全コントローラー、ペンダント、プログラミングランタイム、OTAサービス、ベンダークラウドコネクタ、脆弱性報告窓口、サポート終了の開示が含まれます。顧客のセルロジック、顧客の安全PLC、工場ネットワーク、サードパーティーのMESまたはSCADA、サードパーティーのエンドエフェクター、フェンスとライトカーテンの設置、AGVまたはAMRベースは含まれません。

この製品は、訓練を受けたオペレーターおよび統合者による屋内産業用途を意図しています。医療または外科ロボット、サービスロボット、教育ロボット、または消費者向け用途は意図していません。

脅威表を書く前に、ロボットのリスクアセスメントを通常駆動する3つの経路、すなわちプログラムロードとペンダント権限、安全とサイバーの境界、統合者引き渡しをテストします。これらの図は、ワークドエグザンプルを汎用の脅威リストではなく工学的問いへと変換します。

工場プロビジョニングから統合者の試運転、所有者の生産、再フラッシュまたは新プログラム、廃棄までの産業用ロボットのライフサイクルを示すイラスト。各ステージは、アクターが変更する内容と、誤ったアクターが動作権限を変更できないことを証明するテストを示します。下部のストリップには、引き渡し時に合格すべき5つのネガティブケースがリストされています。
製品ファイル記録:5つのステージ記録とN1〜N5のネガティブテスト結果は、メーカーの権限変更タイムラインを構成します。レビュアーが各遷移時点で誰が動作または安全権限を保持していたかを確認できるよう、製品ファイルに保管します。
ライフサイクルの各段階では、誰が動作権限を持ち、どのテストが不安全な書き込みを止めるかを示します。

オーナーシップはプログラムロードとは別個のチェックです。署名付きアップデートを備えたコントローラーであっても、メンテナンス後にサービストンネルが開いたままになっていたり、顧客への移管後も古いエンジニアリングステーションが書き込みを続けていたりすれば失敗します。

フェンス付き産業用ロボットの攻撃面はコボットとどう異なるか

このページでは、両者を同じCRAカテゴリーで扱います。両者ともサイバーレジリエンス層における産業用ロボットであり、スマートホーム製品ではないためです。ただしリスクプロファイルは異なるため、脅威リストはそれを反映すべきです。

攻撃面 フェンス付き産業用ロボット 力制限コボット
人間との近接 ライトカーテン、フェンス、スキャナー、インターロックにより除外 連続的。力制限動作、速度・分離監視、ハンドガイディング、安全定格モニタード停止が安全ケース
ペンダントアクセス セルアクセスはロックされており、ペンダントはフェンス内のメンテナンス担当者が使用 共有作業空間。ペンダントはロボットの隣のオペレーターが使用し、通常はオペレーター単位のロールと迅速なログアウトポリシーを伴う
視覚入力 多くはオプションで検査用途。単一の点 多くは安全のために必須(分離監視)。複数のカメラと、安全ケースが依存するキャリブレーションデータ
エンジニアリングステーション経路 試運転およびまれなメンテナンス時にOTレーン内の工場エンジニアリングステーション エンジニアリングステーションはオペレーターのオフィスや、コーポレート管理のラップトップに置かれることもある。経路はより頻繁に使用される
遠隔テレオペレーション レガシーフェンス付きセルではまれ。リモートアシストセッションは時間制限されたメンテナンス 一部のコボット製品系列では増加傾向(リモートオペレーター支援、オフサイトプログラミング)。権限経路はより広い
最も可能性の高い脅威アクター メンテナンスウィンドウ中に物理アクセスを持つエンジニアまたはサービスのインサイダー 侵害されたリモートエンジニアリングステーションと組み合わさったオペレーターの誤用。視覚入力のなりすましはコボット特有の信頼できる経路
誤用時のリセット 通常はキー付きモードスイッチとガードされたリセット 多くはペンダント上のソフトウェアロール変更。ロール変更が実際に権限を解放することをサイバーレビューで確認する必要

ワークドエグザンプルのExampleCo CR-12について、フェンス付き構成では、エンジニアリングステーション権限、リカバリースロットの完全性、廃棄時の認証情報ローテーションを強調します。コボット構成では、視覚入力の認証、キャリブレーションデータの完全性、分離監視の改ざんテスト、オペレーター単位のペンダントロールストアを第一級の関心事として追加します。

保護すべきアセットは何か

ロボットの脅威はすべて同じ事柄に関するわけではないため、リスクアセスメントはアセットから始めます。動作完全性の喪失、安全設定の侵害、エンジニアリングチャネルの乗っ取りは、それぞれ異なる管理策と異なるリリース記録を必要とします。

アセット 重要な理由 所在
モーションプログラムおよびパラメーター 完全性の失敗は軌道、速度、可搬質量制限、ワークスペース境界を変更し得る コントローラープログラムストア、エンジニアリングプロジェクト、バックアップ
安全設定 ワークスペース制限、速度制限、力制限、停止カテゴリーを設定する。改ざんは危険な状況を生む 安全コントローラーメモリ、署名付き設定バンドル
ファームウェアおよびブートチェーン アップデートの侵害は15年稼働するコントローラー上で持続し得る ブートローダー、AおよびBファームウェアスロット、署名サービス
エンジニアリング認証情報 プログラムロードおよびファームウェア書き込み権限を付与する エンジニアリングステーション、コントローラーユーザーストア、ペンダントアカウント
キャリブレーションおよびフレームデータ 値が誤っているとツール中心点が静かにずれ、生産部品も変化する コントローラーストレージ、統合者バックアップ
フリートクラウド認証情報 キャビネットをメーカーのアップデートサービスおよびリモートアシストに接続する キャビネットキーストア、クラウドコネクタ
診断およびサービスバンドル プログラム名、ネットワーク名、証明書、クラッシュトレースを露出させる コントローラーログ、サポートポータル、社内サービスツール
ユーザー説明書およびサポート期日 安全な試運転、アップデートの期待値、サポート終了時の取扱いを決定づける マニュアル、ウェブマニュアル、サポートリスト

主な信頼境界はどこか

この例では、メーカーは少なくとも5つの環境をモデル化します。要点は配線をすべて描くことではなく、攻撃者の機会が変わる場所、すなわちキャビネット内、ペンダントリンク上、工場ネットワーク上、メーカーバックエンド、エンジニアリングステーションを分離することです。

環境 想定される保護 可能性が変わる理由
キャビネット内 物理アクセスはメンテナンスに限定されるが、サービスメディア、デバッグパッド、リカバリースロットが存在する リモートからの可能性は低いが、鍵が抽出可能であれば影響は大きい
ペンダントリンク キャビネットに有線接続されているが、ペンダントは全オペレーターが扱う 通常作業中のローカルアクセスはあり得る。デフォルト認証情報はよくあるギャップ
工場ネットワーク セルコントローラー、MES、OPC UAコンシューマー、エンジニアリングステーションと共有 侵害されたピアがディスカバリー、OPC UA、リモートアシストチャネルを攻撃し得る
メーカーバックエンド インターネットに面し、設置済みフリート全体で共有される バックエンドの誤りは1工場から多工場へとスケールする
エンジニアリングステーション オフラインプログラミングソフトウェアを備えたWindowsまたはLinuxラップトップで、試運転時にOTレーンに接続される 多くはコーポレート管理。公開研究で最も一般的な侵入経路の1つ

安全スタックとサイバースタックは同じプロジェクトではありません。両者は特定の点で証拠を共有しますが、どの条項を誰が所有するかをファイルに明確化する必要があります。

ISO 10218-1:2025 証拠マップ:安全とサイバーが重なる5つのカテゴリーISO 10218-1:2025適合のロボットについて、メーカーが作成できるべき5つの証拠カテゴリー。条項番号はライセンス済み規格を確認するまで保留です。
証拠カテゴリー
安全側スレッド
サイバー側スレッド
共有重複記録
安全設定の承認
機能安全エンジニアが安全設定バンドルおよびPLまたはSIL計算を承認
製品セキュリティエンジニアがバンドル読み込みに使われる権限経路(認証、帯域外確認、署名鍵保管)をレビュー
共同レビュー議事録と読み込みバンドルのハッシュをリリース記録に保管
安全ファームウェアアップデートレビュー
新ファームウェアに対して安全ケースを再実行し、タイミング、フォルトハンドリング、PLまたはSILの目標が維持されることを確認
バンドルの署名、ダウングレード拒否、モノトニックバージョンカウンター、リカバリースロットの挙動を検証
OTAチャネル投入前のリリースチケットに共同承認署名
モード変更検証(手動、協働、高速)
各モードを安全ケースに対して検証:ワークスペース制限、速度制限、力制限、協働監視
攻撃者がペンダント、エンジニアリングステーション、フリートクラウド、フィールドバスを通じて、文書化された権限なしにモードを遷移できないことをテスト
各遷移について権限経路と安全判定を列挙したモード遷移テストマトリクス
停止機能のサイバーレビュー(カテゴリー0、1、2)
各停止カテゴリーがPLまたはSIL目標を満たし、代表的なフォールト下で停止チェーンが動作することを確認
サイバー改ざん(未署名ファームウェア、パラメーター書き込み、デバッグポートアクセス、不正フィールドバスフレーム)が停止を遅延またはマスクできないことを確認
代表的なサイバー改ざん試行下でも停止チェーンが動作することを示すフォールト注入記録
分離監視の認証(コボット固有)
速度・分離監視ゾーン、視覚カメラ配置、モニタード停止境界、力制限目標を検証
すべての視覚入力を認証し、カメラストリーム完全性を検証、キャリブレーションデータを保護し、接続喪失または再生ストリーム時にセーフフェイル
なりすましカメラ、ドロップされた視覚フレーム、再生されたキャリブレーションを含むコボットテストパック。安全判定をケースごとに記録
境界ゲート:リリース承認は、安全側スレッドとサイバー側スレッドが同じ変更をレビューしたことを示す必要があります。安全ケースが新ファームウェアを未検証であれば、署名付きアップデート記録のみでは不十分です。条項番号はライセンス済みISO 10218-1:2025の本文を確認した時点で追加します。それまではカテゴリーは安定しており、記録形式が成果物となります。
共通証拠カテゴリは、安全ケースとCRAサイバーレジリエンスファイルが同じロボット変更を確認する接点を示します。

どの脅威を最初に評価すべきか

この例では、製品固有の脅威14件から始めます。要点は網羅性ではなく、メーカーが守るべきトレーサビリティのレベルを示すことです。

ID 脅威シナリオ 危険にさらされるアセット 侵入点
R1 エンジニアリングステーションが、オペレーターを認証せずにプログラムを投入する モーションプログラム エンジニアリングポート
R2 リカバリースロットが古いまたは未署名のファームウェアバンドルを受け入れる ファームウェア完全性 リカバリーモード
R3 ペンダントが弱いまたはデフォルトのパスワードを受け入れ、オペレーター交代を越えてログイン状態が継続する エンジニアリング認証情報 ペンダント
R4 デフォルトのOPC UAエンドポイントが工場LAN上で匿名応答する キャリブレーションおよびフレームデータ 工場ネットワーク
R5 安全設定が署名付きバンドルまたは帯域外確認なしにロードできる 安全設定 安全コントローラー
R6 メーカークラウドからのサービストンネルがメンテナンスセッション後も開いたまま残る フリートクラウド認証情報 リモートアシスト
R7 キャリブレーションデータがストレージ上で改変され、ツール中心点が静かにずれる キャリブレーション コントローラーストレージ
R8 細工されたEtherCATまたはフィールドバスフレームがモーションCPUの障害またはサイクル時間超過を引き起こす モーション可用性 フィールドバス
R9 USBバックアップまたはリカバリーイメージがオペレーター監査なしに適用できる ファームウェア完全性 サービスメディア
R10 診断バンドルがプログラム名、証明書、ネットワーク識別子を書き出す サービスデータ サポートポータル
R11 RTオペレーティングシステム、フィールドバススタック、視覚モジュールの脆弱性がサポート期間中に検出されない ファームウェアコンポーネント サプライヤーアドバイザリーギャップ
R12 顧客移管後にオペレーターロールバインディングが残り、古いエンジニアリングステーションがコントローラーへの書き込みを継続する エンジニアリング認証情報 廃棄ギャップ
R13 プログラミングランタイムのパーサーが不正なプロジェクトファイルからクラッシュまたは安全でないコンテンツを実行する ツール完全性 プロジェクトインポート
R14 統合者が、適合性主張が欠落または陳腐化したサードパーティーの安全PLCとアームを組み合わせる サプライヤー適合性 セル引き渡し

次に、統合者引き渡しを別途検討します。誰が結果として生じるセルの製造業者として扱われるか、そしてどの記録がそれとともに移動する必要があるか。

CRAの下でのロボット、システムインテグレータ、エンドユーザー各ロールには独自の証拠境界があります。システムインテグレータは、組み合わされた新製品の製造業者となり得ます。
ロボットメーカーコンポーネント製造業者

アーム、コントローラー、安全コントローラー、ペンダント、プログラミングランタイム、署名付きアップデート、フリートクラウドを所有します。証拠:出荷製品ファイルおよび脆弱性ハンドリングプロセス。

システムインテグレータ機械製造業者

アームを安全、視覚、治具、セルロジックと組み合わせます。セルが統合者の名義で出荷される場合、統合者がセル製造業者となります。証拠:セルレベルの境界メモおよびコンポーネントデューデリジェンス。

エンドユーザー運用者および受領者

セルを稼働させ、メンテナンスウィンドウでアップデートを適用し、問題を報告します。製造業者ではありません。証拠:適用済みアドバイザリーログおよび廃棄記録。

輸入業者、販売業者、その他の再販業者新たな製造業者となり得る

ロボットを自社ブランドで販売する、または実質的な改変を行う輸入業者または販売業者は、その提供について製造業者の義務を負います。その他の再販業者は、変更が実質的な場合、すなわちアップデートチャネル、ファームウェアアイデンティティ、フリートクラウド、用途を置き換える場合にのみその線を越えます。トリガーと、改変版リリースとともに移動する製品ファイルの部分を記録します。

引き渡しゲート:メーカーと統合者は、どのサポート義務を誰が履行するか、どの成果物がセルとともに移動するかを書面で合意すべきです。
統合者が完成セルを構築する場合、誰が製造業者となり、どの証拠がセルとともに移るかをファイルに示します。

初期リスクをどう順位付けすべきか

すべてのリスクが同じ判断を受けないよう、リリースゲートのはしごを使用します:

ゲート判定 例示リスク登録での意味
リリース停止 管理策が実装・テストされるまで製品を出荷しない。
文書化なしには停止 補完管理策、制約、バリアント固有の根拠が書面化・承認された場合に限りリリース可。
監視付き出荷 残留リスクは残してよいが、ファイルに監視シグナルと担当者を明記。
ガイダンスへ移転 顧客セルに依存する条件のため、メーカーは統合者またはオペレーターへの指示を保持。
受容 この例では残留リスクが十分に低く、ファイルに根拠を保管。
ID 発生可能性 影響 ゲート判定 理由
R1 リリース停止 エンジニアリング書き込みはロボット制御の中核
R2 重大 リリース停止 アップデートバイパスは将来のあらゆるファームウェア修正を無効化する
R3 リリース停止 共有ペンダントは最も一般的なオペレーター面
R4 リリース停止 OPC UAの誤設定は実セルで広く報告されている
R5 重大 リリース停止 安全設定はコントローラー上で最も厳格な書き込み権限
R6 文書化なしには停止 サービストンネルは有用だが、明示的な時間制限と無効化が必要
R7 リリース停止 ツール中心点の静かなずれはスクラップ以上の事態を生じ得る
R8 文書化なしには停止 リアルタイムバスストレスはテストすべき。一部の障害は本番でのみ顕在化
R9 文書化なしには停止 USB転送は通常作業。変わるのは監査記録
R10 監視付き出荷 サポートバンドルは必要。レダクションと同意が管理策
R11 監視付き出荷 長期サポート期間中、サプライヤー脆弱性は想定される
R12 リリース停止 産業機器では移管または再販経路は予見可能
R13 文書化なしには停止 プロジェクトファイルパーサーは信頼できないコンテンツを処理する
R14 ガイダンスへ移転 統合者がセルレベル適合性主張を所有し、メーカーはコンポーネント証拠を提供

どの設計管理策がリスク状況を変えるか

管理策テーブルはR-IDに遡及可能であるべきですが、汎用のセキュア開発チェックリストのように読まれてはなりません。各管理策について、メーカーはこの正確なリリースに対して管理策が存在することを証明するテスト、設計ノート、または運用記録を示せる必要があります。

脅威 設計管理策 メーカーが保持すべき証拠
R1, R3 認証されたエンジニアリングセッション、オペレーター単位ペンダントアカウント、共有デフォルト認証情報の排除、時間制限の自動ログアウト 認証テスト、ペンダントアクセスマトリクス、未認証書き込みのネガティブテスト
R2, R9 セキュアブート、署名付きファームウェア、モノトニックバージョンカウンター、ダウングレード拒否、USB監査 ブートチェーン証拠、アップデート検証ログ、USBインポート監査サンプル
R4 OPC UAセキュリティプロファイルのデフォルト適用、認証されたエンドポイント、証明書信頼リスト、試運転後のサービス目録 試運転後サービススキャン、OPC UA設定テスト
R5 署名付き安全設定、サイバー関連の変更ごとに安全エンジニアと共同レビュー、安全ファームウェアアップデートの帯域外確認 安全設定承認、安全ファームウェアダウングレード拒否テスト
R6 時間制限されたサービストンネル、ペンダントでの明示的有効化、可視のトンネル状態、認証情報ローテーション トンネル無効化テスト、リモートアシスト監査ログ
R7 キャリブレーションデータの完全性チェック、統合者ベースラインとの定期比較、無許可変更時のアラーム キャリブレーション完全性テスト、ドリフトアラームサンプル
R8 フィールドバスのファジングテスト、ウォッチドッグ復旧、不正フレームのロギング フィールドバスファジングレポート、ウォッチドッグ復旧テスト
R10 診断バンドルの最小化、レダクション、アップロード前のオペレーター同意、保持制限 診断スキーマ、レダクションテスト、サポートワークフロー記録
R11 RTオペレーティングシステム、フィールドバススタック、視覚モジュール、モーションCPUの担当者を明記したコンポーネント目録、アドバイザリー監視とトリアージ コンポーネントレジスター、アドバイザリー記録、トリアージ判断
R12 廃棄時のワイプ、フリートクラウド解除、移管時の認証情報ローテーション、再生コントローラーチェックリスト 廃棄チェックリスト、クラウド解除監査、ワイプ検証
R13 プロジェクトファイルパーサーの堅牢化、不正プロジェクトテストコーパス、プログラミングランタイムのサンドボックス化 パーサーファジングレポート、インポート回帰テスト
R14 サプライヤー証拠マップを含む統合者向けマニュアル、引き渡し時の共同デューデリジェンス記録、統合者へのアドバイザリールーティング 引き渡しメモ、統合者アドバイザリー記録

管理策後にどの残留リスクが残るか

管理策実装後、メーカーは脅威を完了と記すのではなく、アセスメントを再実行すべきです。この例では、サプライヤー脆弱性経路、統合者引き渡し、長期製品寿命が、サポート期間中も能動的に管理され続けます。残留リスクは、監視、トリアージ、署名付きアップデート配信、統合者通知、是正措置のプロセスが実際に運用されていることをメーカーが示せる場合に限り受容可能です。

残留領域 残る理由 運用上の証拠
長期製品寿命 ロボットは15年以上稼働し得る。サプライヤーコンポーネントはその間に脆弱性を受ける コンポーネントアドバイザリー監視、サポート期間表明、サポート終了開示
顧客セルロジック メーカーは統合者が書いた動作プログラムやセル安全設定を所有しない 境界メモ、セキュアプログラミングガイダンス、統合者向けマニュアル
パッチタイミング 工場はメンテナンスウィンドウと検証を必要とする。一部の修正は即座に適用できない 機械影響注記付きセキュリティアドバイザリー、緩和ガイダンス、ロールバック経路
物理サービスアクセス キャビネット、ペンダント、エンジニアリングステーションはメンテナンス中に物理的にアクセス可能 サービスモードの制約、監査サンプル、デバッグロック証拠

フリートクラウドアドバイザリーのルーティング

上記のリスクアセスメントは1つのロボットキャビネットで実行されます。アドバイザリールーティングは数百台にわたります。メーカーフリートクラウドが複数の統合者および複数のオペレーターサイトに対応する場合、問いは「クラウドは安全か」ではなく、「24時間の脆弱性警告が発火したとき、チェーン内で誰が聞き、誰が各サイトのアップデートウィンドウを承認するか」です。

フリートトポロジー メーカーとエンドユーザーの間に位置する者 メーカーリリースファイルで変わるもの
単一サイトオペレーター、メーカーから直接 メーカー → オペレーター メーカーアドバイザリーはオペレーターのメンテナンスチームに直接ルーティングされ、ユーザー通知義務は1チャネルで満たされる
多サイトオペレーター、中央プラントエンジニアリング メーカー → オペレーター本部 → サイトエンジニアリングチーム メーカーアドバイザリーはオペレーター本部窓口にルーティングされる。オペレーターがどのサイトでどのメンテナンスウィンドウにアップデートを受け入れるかを決定する。リリースファイルにオペレーター本部窓口を記録し、アドバイザリーが単一サイトの郵便箱で止まらないようにする
OEMが多数のオペレーターに対してフリート管理 メーカー → ロボットOEM運用 → エンドオペレーター メーカーはOEMフリート運用チームにアドバイザリーをプッシュする。OEMは続いてサイト固有の機械影響注記を付してオペレーター基盤に再配信する。メーカーは依然として影響を受けるユーザーへの経路を必要とする。OEMは下流チャネルであり、代替ではない
統合者管理フリート(システム統合者が中小企業顧客基盤向けにフリートクラウドを運用) メーカー → 統合者 → 中小企業エンドユーザー メーカーアドバイザリーは、このコントローラー上でフリートを運用する各統合者にルーティングされる。自社ブランドで出荷する統合者は統合セルについて製造業者義務を引き受け、メーカーアドバイザリーは統合者自身の脆弱性ハンドリングプロセスに入力される
フリートのフリート(メーカークラウドがOEMおよび統合者のクラウドとフェデレーション) メーカーフリート ↔ OEMフリート ↔ 統合者フリート ↔ エンドオペレーター どのアドバイザリーチェーンが契約上のものか、どれがCRA義務上のものかを書面で定義する。CRA経路は規制報告とユーザー通知をカバーし、契約経路は機械影響注記、メンテナンスウィンドウ調整、ロールバック調整を加える。リリースファイルに両方を記載すること

リリース記録。 コネクタ一覧上の各統合者およびオペレーターについて、24時間脆弱性警告の窓口、メンテナンスウィンドウ所有者、ロールバック権限者、未解決の残留アドバイザリーを記載したフリートクラウドルーティングマップ。このマップなしでは、期限は不在の受信者を相手に進行します。

リリース前の検証ゲート

汎用の「セキュリティレビュー済み」ゲートは避けてください。ロボット出荷を停止し得る各判断について、障害モード、設計管理策、証拠アーティファクトを伴うリリースゲート目録を1つ使用します。

ロボットリリースゲートとクローズアウト記録 メーカーが承認前に閉じるべき6つの判断。それぞれに名前のついた証拠アーティファクトを伴います。
  1. G1初回使用の主張および引き渡しリリース停止
    • 障害

      統合者による試運転時に共有工場認証情報がローテーションされていない。

    • 管理策

      デバイス単位鍵、強制ローテーション、ペンダントアカウントバインディング。

    • 証拠

      試運転記録およびペンダントアクセスマトリクス。

  2. G2試運転後の露出サービスリリース停止
    • 障害

      匿名OPC UA、FTP、VNC、ウェブ管理が工場LAN上で到達可能。

    • 管理策

      サービス最小化と、デフォルトでの認証されたOPC UA。

    • 証拠

      試運転後のサービススキャン。

  3. G3モーションと安全の権限リリース停止
    • 障害

      ペンダント、エンジニアリングステーション、サービストンネルが監査なしに安全設定を変更する。

    • 管理策

      認証されたセッション、署名付き安全設定、帯域外確認。

    • 証拠

      権限経路マトリクスおよび安全設定承認。

  4. G4アップデートおよびリカバリー経路リリース停止
    • 障害

      リカバリースロットが未署名または古いバンドルを受け入れ、アップデートがマルウェア経路となる。

    • 管理策

      セキュアブート、署名付きアップデート、モノトニックカウンター、ダウングレード拒否。

    • 証拠

      ダウングレード失敗テスト結果。

  5. G5サプライヤースタック監視付き出荷
    • 障害

      RT OS、EtherCATスタック、視覚モジュールの脆弱性がサポートウィンドウ中に発生。

    • 管理策

      担当者を明記したコンポーネント目録、アドバイザリー監視、バックポート体制。

    • 証拠

      影響コンポーネントのトリアージ判断。

  6. G6廃棄と再販文書化なしには停止
    • 障害

      移管されたコントローラーが古いロールバインディング、クラウドアカウント、保存プログラムを保持。

    • 管理策

      ワイプ、フリートクラウド解除、認証情報ローテーション、再生コントローラーチェックリスト。

    • 証拠

      ワイプおよびクラウド解除の検証。

リリース停止文書化なしには停止監視付き出荷
ロボット固有のリリースゲートは、出荷を止める条件と各ゲートを閉じる記録を示します。

コンセプトからサポートまでの開発所有権

ロボットが製品定義からライブサポートへと進む中で、主たる所有者は移行します。この導線を使い、製品が変化する各ステージに、主たる担当者、維持される記録、レビューゲートを各1つ割り当てます。

産業用ロボットリリースの所有権導線を示すイラスト。1本の連続した開発レール上で、コンセプトからサポートまでの6ステージを示し、各ステージの主たる所有者、維持される記録、レビューゲートを記載します。ステージ間にはフリーズマーカー(境界フリーズ、設計フリーズ、候補フリーズ、判断フリーズ、稼働継続)が配置されます。サポートからコンセプトに戻る破線のフィードバックループが、脆弱性報告、サプライヤーアドバイザリー、インシデント結果が次の境界メモ、脅威リスト、コンポーネントレジスターを再開させることを示します。
所有権ルール:これはリードチェーンであり、フル責任マトリクスではありません。ロボットが変化する間、各リードが維持される記録を所有します。サポートでの発見事項は次バリアントの境界メモおよび脅威リストにループバックします。
所有権レールは、各構築ステップの記録責任者、完了ゲート、次回レビューの再開シグナルを割り当てます。

アーキテクチャ作業の前に境界をフリーズし、実装の前に設計意図をフリーズし、検証の前に候補をフリーズし、リリースの前に判断をフリーズし、サポート期間を通じてリリースを稼働させ続けます。受信レポート、サプライヤーアドバイザリー、インシデント結果、回帰結果は、次の境界メモ、脅威リスト、コンポーネントレジスターを再開させます。

ファイルに含める証拠記録

ファイルは、製品アイデンティティからセキュリティ管理策まで、レビュアーがロボットの判断を追跡できるよう構成すべきです。下記の各行は、ばらばらなスクリーンショットのフォルダーではなく、維持される記録を指すべきです。

証拠領域 産業用ロボットまたはコボットについて記録する内容
製品アイデンティティ アームモデル、可搬質量、リーチ、コントローラーキャビネット、ペンダント、ファームウェアブランチ、プログラミングランタイムのバージョン、フィールドバスオプション、ハードウェアリビジョン
用途 統合者向けコンポーネント販売、完成コボットセル、クリーンルームバリアント、パレタイジングバリアント、その他の産業用途
サイバーレジリエンス設計ファイル モーション権限経路、安全設定権限、フリートクラウド露出、工場LAN露出、脅威リスト、処置計画
コンポーネント目録 モーションCPU、RTオペレーティングシステム、EtherCATスレーブスタック、セーフティマイクロコントローラー、エンコーダープロトコル、ゲートドライバー、視覚モジュール、プログラミングランタイムライブラリ
セキュアデフォルト 共有デフォルト認証情報なし、署名付きアップデート、ダウングレード拒否、デフォルトのOPC UAセキュリティプロファイル、試運転後サービス目録
アップデート機構 署名付きファームウェア、リカバリースロット、機械影響注記、顧客メンテナンスウィンドウガイダンス、ロールバック判断
脆弱性ハンドリング 開示ポリシー、単一窓口、トリアージワークフロー、コンポーネントアドバイザリー監視、統合者通知ルーティング
ユーザー説明書 安全な試運転、ロールストアの設定、アップデート設定、廃棄、サポート終了の開示
トレーサビリティと連絡先 型式、バッチまたはシリアル情報、メーカー連絡先、サポート期間終了日、ボットだけではない単一の脆弱性報告窓口

ロボットSBOMの構成要素

CRAは、製品のコンポーネントを特定し少なくともトップレベル依存をカバーする機械可読のソフトウェア部品表 (SBOM) を要求しますが、現時点で1つの固定フォーマットを指定していません。委員会が詳細を定めるまで、ロボットメーカーは通常CycloneDXまたはSPDXを選択します。SBOMの仕組みに関するクロス製品の詳細は専用のSBOMガイドにあります。本セクションではロボット固有のツリーを扱います。

ロボットリリースは通常、1つのバイナリではなく、別々のアップデートサイクルを持つ複数のデジタル要素を出荷します。CRA最小要件を満たす2つの実装パターンがあります。要素別セクションを備えた1つの製品レベルSBOM(モーションCPU、安全コントローラー、RT OS、ペンダントの各ファームウェアバージョンをピン留め)、または各リリースで更新される出荷デジタル要素ごとの1つのSBOMです。SBOMが機械可読でトップレベル依存がカバーされていれば、いずれのパターンも許容されます。

1つのロボットリリースのソフトウェア部品表を、左から右へ展開した根付き木として示す図。左端のルートノードはロボットリリース全体です。8本の曲線分岐が右に広がり、ロボットに搭載される8つのトップレベルデジタル要素(モーションCPUファームウェア、安全コントローラーファームウェア、リアルタイムオペレーティングシステム、フィールドバススタック、視覚モジュールSDKおよびランタイム、プログラミングランタイムライブラリ、ペンダントファームウェア、フリートクラウドコネクタ)に接続します。各分岐では典型的なコンポーネントがリーフとして列挙され、右側のバッジは要素のバージョンを固定するために使用される識別子方式(PURL、CPE、サプライヤーID、署名、ビルドハッシュ)を示します。フッターのメモは、CRA最小要件を繰り返します。トップレベル依存を、CycloneDXまたはSPDXなど一般的に用いられる機械可読フォーマットで記載することです。
ロボットのコンポーネントインベントリは、各トップレベルデジタル要素、通常の内容、バージョン固定の証拠をカバーします。

SBOM記録: CycloneDXまたはSPDXによる、少なくともトップレベル依存をカバーする機械可読SBOM。推奨されるロボットメーカー向けパターン:要素別セクションを備えた1つの製品レベルSBOM、または各リリースで更新される出荷デジタル要素ごとの1つのSBOM。ビルドシステムが生成可能な範囲で、より深い推移的依存も推奨されます。SBOMはコンポーネントアドバイザリー監視記録(証拠マップ行「コンポーネント目録」)と組み合わせ、既知の脆弱性がどのライブラリに該当し、どのリリースで解消されるかをレビュアーが確認できるようにします。

リリース承認の確認項目

ロボットがEU市場向けにリリースされる前に、承認は下のSVGがQ1からQ4と名付ける4つの記録フォルダーを閉じるべきです。ファイル目録の全体は上記の証拠マップにあります。この表はリリースをブロックする4つの問いのみです。

フォルダー リリース時の問い ロボット固有の証拠ポインター
Q1 分類根拠メモ なぜこの製品はこのように分類されるか 用途、販売コンテキスト、供給デジタル要素、統合者向けかコンプリートセル向けかのルート、選択された標準ルート手続き
Q2 出荷要素目録 この製品は正確に何か アーム、コントローラー、ペンダント、安全コントローラー、プログラミングランタイム、OTAサービス、フリートクラウドコネクタ、除外される顧客セルシステム
Q3 セキュアデフォルトテストパック 何がデフォルトでセキュアにされており、どう安全にアップデートされるか 共有デフォルト認証情報なし、署名付きアップデート、ダウングレード拒否、OPC UAセキュリティプロファイル、試運転後サービス目録、ロックされたデバッグポート、リカバリースロット、機械影響注記、メンテナンスウィンドウの提案
Q4 脆弱性ハンドリングプロセス 出荷後の脆弱性および重大インシデントをどう扱うか 公開窓口、開示ポリシー、トリアージワークフロー、コンポーネントアドバイザリー監視、統合者アドバイザリールーティング、24時間および72時間通知体制、最終報告の証拠
リリース承認の場面を示すイラスト。レビューデスク上に4つの記録フォルダーが配置され、Q1からQ4のラベルが付いています。Q1は分類根拠メモ、Q2は出荷要素目録、Q3はセキュアデフォルトテストパック、Q4は脆弱性ハンドリングプロセスです。各フォルダーからの矢印がデスク右側のリリース承認シールに収束し、チェックマークが付されています。デスクの下のメモには、リリース前チェックが記載されています。ファームウェアブランチおよびサプライヤーベースラインにピン留めされたファイル、24時間および72時間通知体制を備えた指名担当者、デバイス単位認証情報およびOPC UAセキュリティプロファイルをカバーするセキュアデフォルトテストパックです。フッターバナーは承認ゲートを繰り返します。デスクから記録が欠けている場合、リリースは出荷されません。
承認ゲート:記録が欠けている場合、リリースは承認されません。
承認前に、メーカーは4つの記録を示せる必要があります。分類根拠、出荷要素インベントリ、セキュアデフォルト試験、脆弱性対応準備です。

リリース承認フォルダー Q1からQ4

  1. Q1 分類根拠メモ。 なぜこの製品はこのように分類されるか。用途、販売コンテキスト、供給デジタル要素、選択された標準ルート手続き。
  2. Q2 出荷要素目録。 この製品は正確に何か。アーム、コントローラー、ペンダント、安全コントローラー、プログラミングランタイム、OTAサービス、フリートクラウドコネクタ、除外される顧客セルシステム。
  3. Q3 セキュアデフォルトテストパック。 何がデフォルトでセキュアにされており、どうアップデートされるか。共有デフォルト認証情報なし、署名付きアップデート、ダウングレード拒否、OPC UAセキュリティプロファイル、試運転後サービス目録、メンテナンスウィンドウガイダンス。
  4. Q4 脆弱性ハンドリングプロセス。 脆弱性および重大インシデントをどう扱うか。公開窓口、開示ポリシー、トリアージワークフロー、コンポーネントアドバイザリー監視、警告・通知・最終報告の準備体制。

リリース前チェック(承認前にデスクに揃えるもの):

  • 各フォルダーがリリースの正確なファームウェアブランチおよびサプライヤーコンポーネントベースラインにピン留めされている。
  • 24時間および72時間の通知体制を備えた指名担当者が在席している。
  • セキュアデフォルトテストパックがデバイス単位認証情報およびOPC UAセキュリティプロファイルをカバーしている。

承認ゲート:記録が欠けている場合、リリースは承認されません。

宣言記録: テンプレートおよび必要項目については主要なEU適合宣言書ガイドを使用します。ロボットリリースについては、製品アイデンティティでアーム、コントローラーキャビネット、ペンダント、ファームウェアブランチ、供給オプション、サポート期間への参照を固定すべきです。同じ宣言が機械法令もカバーする場合、そのルートを宣言内に記し、ロボット技術文書と機械安全ファイルを整合させて保管します。

輸入業者、販売業者、統合者、運用者への引き渡し

リリースファイルは、ロボットメーカーから輸入業者、販売業者、製造業者としての統合者、エンドユーザーへの引き渡しを検証可能にすべきです。ロボットおよびコボットの弱点は通常CEマーキングそのものではなく、出荷物、マニュアル、フリートクラウド、OTAサービス、統合者引き渡しが、評価されたリリースと依然として一致しているかどうかです。

産業用ロボットリリースの経済主体引き渡しを示すイラスト。メーカーのリリースパックは、水平方向のフローレールに沿って、輸入業者の上市前受入れ、販売業者の可視のデューケア、セルの機械製造業者としての統合者、工場フロアのオペレーターを通過します。下の停止条件行は、出荷または掲載を一時停止するケースを示します。下部には2つのサイドチェックがあります。サイドチェックAは、認定代理人マンデートが任意であり、EU域内に主要拠点を持たない製造業者が認定代理人、輸入業者、販売業者、最大ユーザー基盤のカスケードを通じて報告エンドポイントを選定することを説明します。サイドチェックBは、自社ブランドの輸入業者または販売業者、および実質的改変者が、影響を受けるリリースの製造業者となり得ることを説明します。フッターには、隣接する規制(機械規則2023/1230、ISO 10218-1:2025、NIS2、AI法)が別個のアセスメントとして列挙されます。
引き渡しゲート:パック、トレーサビリティ、サポート表明、フリートクラウド、アップデートチャネル、ロールアイデンティティ、または既知の脆弱性が評価されたリリースと矛盾する場合、ロボットを出荷から掲載に移行させない。
引き渡し図は、各販売前チェックの責任者と、各ロールでロボットの前進を止める条件を示します。

経済主体引き渡し:ロール、サイドチェック、隣接規制

  1. 01 メーカー。 リリースパック(宣言、CE、ファイル目次、サポートウィンドウ、脆弱性窓口)を所有する。
  2. 02 輸入業者(上市前受入れ)。 パック、CE、ファイル目次、サポート期日、脆弱性窓口を検証する。パック、トレーサビリティ、ペンダント認証情報モデル、フリートクラウドアカウント、アップデートチャネルが疑わしい場合は出荷を一時停止する。
  3. 03 販売業者(可視のデューケア)。 掲載CE、供給文書、運用者トレーサビリティ、サポートおよびアップデート表明。サポートを誇張する、運用者を隠す、宣言と一致しない、既知の問題後も販売を続ける場合は掲載を一時停止する。
  4. 04 統合者(機械製造業者)。 アームを安全、視覚、セルロジックと組み合わせる。セルが統合者の名義で出荷される場合、統合者がセル製造業者となる。リリース前にセルレベル境界メモとコンポーネントデューデリジェンスが必要。
  5. 05 オペレーター(フロアのエンドユーザー)。 アドバイザリーを受領し、メンテナンスウィンドウでアップデートを適用し、問題を報告する。製造業者ではない。

サイドチェックA · 任意の認定代理人マンデートおよびEU域外報告。 認定代理人マンデートは任意であり、EU域外義務ではありません。代理人を持たないEU域外メーカーは、報告エンドポイントカスケードを使ってコーディネーターに指定されたCSIRTを選定します。

サイドチェックB · 新製造業者トリガー。 ロボットを自社の名称または商標で上市する輸入業者または販売業者、あるいは実質的改変を行う者は、その提供についての製造業者となります。それ以外の関係者は、変更が実質的である場合に限り、かつ製品全体のサイバーセキュリティが変わらない限り影響部分についてのみ、その線を越えます。

隣接規制(各々別個のアセスメント):2027年1月20日からの機械規則 2023/1230、ISO 10218-1:2025安全ケース、重要インフラ運用者向けNIS2、AI駆動アプリケーション向けAI法。

下の行は短縮版です。何を検証するか、いつ一時停止するか、ロボットが新たなロール分析を必要とするのはいつか。クロス製品のロールトリガーの詳細(製造業者、輸入業者、販売業者、認定代理人、オープンソースソフトウェアスチュワード)はCRAの遵守義務を負う者にあります。

輸入業者の受入れ

宣言、CE管理、ファイル目次、サポート期間表明、脆弱性窓口、輸入業者識別、仕向地言語マニュアルを検証します。パック、トレーサビリティ、ペンダント認証情報モデル、フリートクラウドアカウント、アップデートチャネルが疑わしい場合は一時停止します。

販売業者のデューケア

可視のCE、供給文書、運用者トレーサビリティ、掲載上のサポートおよびアップデート表明を確認します。提供が運用者を隠す、サポートを誇張する、宣言と一致しない、既知の問題後も販売を続ける場合は一時停止します。

機械製造業者としての統合者

アームを安全、視覚、セルロジックと組み合わせる統合者は、セルが統合者の名義で出荷されるとき機械製造業者となります。その後、統合者はコンポーネントデューデリジェンスを行います。ロボットメーカーはアーム、コントローラー、出荷ソフトウェアのコンポーネント製造業者にとどまります。

自社ブランドの輸入業者または販売業者

ロボットを自社の名称または商標でEU市場に上市する輸入業者または販売業者は、その提供についての製造業者となります。同じことは、輸入業者または販売業者がすでに上市されたロボットに実質的改変を行う場合にも適用されます。ブランド付きファームウェア、新しいペンダントアイデンティティ、新しいフリートクラウド、新しいアップデートチャネル、新しい安全設定、新しい用途などです。メーカーの製品ファイルは非公式の約束として継承されません。

実質的改変後のその他の再販業者

製造業者、輸入業者、販売業者のいずれでもない関係者は、ロボットを利用可能にする前に実質的に改変する場合に限り製造業者となります。このロールは影響を受ける部分に適用され、改変がサイバーセキュリティ全体に影響する場合は製品全体に適用されます。新しいアップデート経路、変更された用途、置き換えられたセキュリティ境界は、新たなロールチェックとして扱います。

認定代理人およびEU域外報告

製造業者は書面によるマンデートで認定代理人を任命できます。これは選択肢であり、EU域外義務ではありません。報告エンドポイントの選定は別の事実、すなわちEU域内に主要拠点がないことによってトリガーされます。その立場にある製造業者は、CRAのカスケード(認定代理人、輸入業者、販売業者、続いて最大ユーザー基盤)を使用します。代理人を任命しなかったEU域外メーカーは、輸入業者ステップから開始します。

隣接規制チェック

機械規則 2023/1230(2027年1月20日から)およびISO 10218-1:2025が安全ケースをカバーします。NIS2は運用者が重要インフラ事業者である場合に適用されます。AI法は視覚またはAIアプリケーションに適用されます。各規制は別個のアセスメントです。

よくある質問

産業用ロボットおよびコボットはCRAの下で重要製品または重要度の高い製品か

産業用ロボットおよびコボットは、CRAの重要製品リストにも重要度の高い製品リストにも名指しされていません。計画上の前提はデフォルトルートです。ルートが重要製品に移行するのは、リスト掲載機能が販売の主体である場合に限ります。例えば、主にファイアウォールゲートウェイ、ネットワーク管理システム、または改ざん耐性マイクロコントローラーを中心に構築された堅牢化コントローラーとして販売されるロボットなどです。重要ルートを自動的に強制するロボットカテゴリーは存在しません。

分類記録: 正確なアームおよびコントローラーバリアントについて、用途、供給デジタル要素、ルート選定の根拠を記載した1ページのメモ。

6軸ロボットアームに認証機関は必要か

デフォルト製品では不要です。ロボットおよびコボットは現時点で重要製品リストに含まれないため、適合性ルートはデフォルト手続きで運用され、製造業者は内部管理、EU型式試験とモジュールC、完全品質保証、または該当する欧州サイバーセキュリティ認証スキームから選択します。認証機関が関与するのは、メーカーが実際に選択したモジュールにおいてのみです。内部管理は完全に社内ですが、その他のモジュールは認証機関が関与します。「規格を完全適用」の前提条件はクラスIのフォールバックに属し、ロボットまたはコボットのサブ製品がリストに将来追加された場合にのみ適用されます。

適合性ルート記録: 選択された手続き、依拠する規格、ギャップ、根拠を記載した短いメモ。重要製品リストがロボットサブ製品を含むよう改正された場合は、不足部分についてクラスI条件付きフォールバックが適用されるかどうかをメモに記録します。

機械規則はすでにサイバー面をカバーしているか

機械規則 2023/1230は2027年1月20日から適用され、機械の安全関連サイバーセキュリティ要件(破損に対する保護および安全制御の信頼性を含む)を有します。CRAはその上のサイバーレジリエンス層です。より広いセキュリティ態勢、脆弱性ハンドリングプロセス、サポート期間義務をカバーします。安全ファイルとサイバーファイルは、別個のコンプライアンスプロジェクトではなく、同じ製品フォルダーの2つの糸として扱ってください。

再チェックトリガー: 安全関連ファームウェア、安全設定モデル、アップデートチャネルの変更は両方の糸を再開させます。

統合者がセルを構築する場合、CRAの下で誰が製造業者か

ロボットメーカーは、アーム、コントローラー、安全コントローラー、出荷ソフトウェアの製造業者にとどまります。統合者は、結果として生じるセルについて機械規則の下で機械製造業者となります。セルが統合者の名義で製品として上市される場合、統合者は組み合わされた製品についてサイバーレジリエンス上の製造業者ともなり得、各統合コンポーネントについてデューデリジェンスを実施しなければなりません。両ロールは同じ出荷において共存し得ます。

境界記録: セルとともに移動する成果物と、ロボットメーカーに残る成果物を記載した書面引き渡しメモ。

中小企業ワークショップ向けコボットはフェンス付きロボットと同じカテゴリーに該当するか

カテゴリーは同じです。サイバーレジリエンス層における産業用ロボットであり、スマートホーム製品ではありません。リスクプロファイルは異なります。人間と協働する力制限コボットは、安全定格の力、速度、分離監視により強く依存するため、安全とサイバーの重なりがより緊密になります。リリースファイルはその重なりを反映すべきであり、カテゴリーを変えるものではありません。

リスクアセスメント記録: 協働運転モードと、それを無効化し得るサイバーイベントを記載するコボット固有のエントリー。

ロボットが視覚、AI、または遠隔テレオペレーションとともに出荷される場合は

バンドルされた視覚システムまたはAIモジュールは供給デジタル要素であり、製品境界の内側に留まります。メーカーが提供する遠隔テレオペレーションも境界内であり、明示的な権限、時間制限、監査が必要です。AIベースアプリケーションは別個の規制にも該当し得るため、これらのアセスメントを1つにまとめないでください。

境界記録: 各バンドル要素について、所有者、アップデート経路、除外される対応要素を記載します。

クラウドフリート管理は製品境界を変えるか

クラウドフリート管理がそれ自体でルートを変えることはありません。メーカーがフリートクラウドを提供し、コントローラーがそれなしには機能を実行できない場合、そのクラウドを境界、証拠、リスクアセスメントの一部として扱います。分類は依然としてコントローラーの中核機能に従います。

境界記録: ロボットとともに供給されるフリートサービス、それなしには動作しない機能、処理するデータ、メーカーの提供範囲外のシステムを示すクラウド依存マップ。

ロボットのCRAリスクアセスメントには何を含めるべきか

法的ラベルではなく製品境界から始めます。完成コボットについては、アーム、コントローラーキャビネット、ペンダント、安全コントローラー、プログラミングランタイム、フリートクラウドコネクタ、OTAサービス、脆弱性窓口、廃棄経路を含めます。次に、アセット、信頼境界、脅威、可能性、影響、初期判断、管理策、証拠、残留リスクをリストします。

リスクアセスメント記録: アセット目録、信頼境界マップ、脅威リスト、初期判断、処置計画、残留リスク根拠、各市販後シグナルの指名担当者。

ロボットの脅威モデルはどの程度具体的であるべきか

エンジニアがテストできる程度に具体的に。「無許可動作」は曖昧すぎます。有用なエントリーは「ログイン状態のままのペンダントが、オペレーターによって安全設定が定めるワークスペース境界を超えるプログラムをロードすることを許す」に近いものです。これはアセット、侵入点、攻撃者の機会、管理策、テスト証拠を指し示します。

テストアーティファクト: エントリーごとに1つの脅威チケットを作成し、ペンダント、フリートクラウド、アップデート、フィールドバス、キャリブレーション、サポート書き出し、廃棄のいずれかのテストにリンクし、管理策が機能することを証明します。

どのロボットリスクを最初に評価すべきか

動作または安全設定を変更し得る経路から始めます。ペンダント権限、エンジニアリングステーション書き込み権限、署名付きアップデート、リカバリースロット、安全ファームウェア経路、OPC UA露出、サービストンネルです。これらはリリース前に設計を変更する可能性が最も高い経路です。

リリースチェック: 動作権限、安全設定権限、露出サービス、サプライヤーアドバイザリー監視、廃棄、統合者引き渡しをカバーするリリース前チェックリスト。

ロボットリスクエントリーの良い例は

例:「R2:リカバリースロットが未署名または古いファームウェアバンドルを受け入れる。」初期可能性は低いかもしれませんが、リカバリー経路の破損は多年にわたりフリートを侵害し得るため、影響は重大です。管理策はセキュアブート、署名付きリカバリーイメージ、モノトニックバージョンチェック、ロールバックポリシー、ダウングレード拒否テストです。証拠はブートチェーン設計、アップデート検証ログ、リリース記録に添付された失敗ダウングレードテストです。

テストアーティファクト: ブートチェーン設計ノート、署名付きアップデート検証ログ、拒否されたダウングレードテスト、正確なファームウェアビルドに対するリカバリースロットテスト結果。

リスクアセスメントはいつ更新すべきか

リリースされた状態が信頼に影響するかたちで変わる際は常に更新します。新しいペンダントアカウントモデル、新しいフィールドバスオプション、フリートクラウド変更、安全ファームウェア変更、プログラミングランタイム変更、新しい視覚モジュール、デバッグポート挙動の変更、新しい廃棄経路です。変更が権限経路を再開させるのであれば、リリースノートでは不十分です。早期の日付がここで重要となります。報告義務は2026年9月11日から適用され、CRAのその他は2027年12月11日まで完全には発効しません。アセスメント、開示ポリシー、指名された単一窓口は、報告期限が動き出す前に機能している必要があります。

再チェックトリガー: 権限、アップデート、露出サービス、サプライヤーコンポーネント、廃棄のいずれかの変更は境界およびリスクアセスメントを再開させます。

ロボットメーカーが最初に作成すべき証拠項目は何か

正確なバリアントについての短い分類および境界メモから始めます。アームモデル、可搬質量、リーチ、コントローラーキャビネット、ペンダント、フィールドバスオプション、プログラミングランタイム、フリートクラウドコネクタ、用途、除外される顧客システムを記載します。メモにはルート選定の根拠とサポートウィンドウを明示します。

分類記録: リスクアセスメント、適合性ルート選定、ファイル目次、輸入業者パック、サポート期間表明のすべてが参照できる1ページのメモ。

リリース後に脆弱性が見つかった場合は

CRAは、製品または支援プロセスが適合していない場合、製造業者が即座に是正措置を講じ、適切な場合は製品の回収またはリコールを行うことを求めます。運用上、ファイルは報告シーケンスへの体制を必要とします。積極的に悪用されている脆弱性に対する24時間以内の早期警告、72時間以内の脆弱性通知、是正措置または緩和措置が利用可能になり次第の最終報告、そしてユーザー通知です。ロボットの場合、是正措置は通常、機械影響注記とメンテナンスウィンドウの提案を伴う署名付きファームウェアアップデートです。リコールは、コントローラーが現場で安全にアップデートできないケースに限られます。

リコール記録: 影響を受けるシリアル、コントローラーファームウェアブランチ、統合者、販売業者、緩和手順、署名付きアップデート成果物、ユーザーアドバイザリー本文、CSIRT通知参照番号を記載した是正措置メモ。

次のステップ

ワークドエグザンプルを、正確なロボットまたはコボットバリアントに対する5つのリリースアクションに変換します。

  1. このリリースのルートを決定する。 提供が統合者向けコンポーネント販売、中小企業向け完成コボットセル、または別名で販売される完成機械に組み込まれたアームのいずれかを確認します。製品ハブを相互チェックとして使用し、ロボット固有メモの代替としては使用しないでください。
  2. 分類および境界メモを書く。 販売主張、用途、供給アームおよびコントローラー、ペンダント、プログラミングランタイム、フリートクラウド、アップデート経路、脆弱性ハンドリング経路、サポート期間、除外される顧客システムを明示します。
  3. サポート期間表明を公開する。 購入者向けのサポート期間日付を、マニュアル、アップデート計画、コンポーネントサポート前提、サポート終了開示、リリースファイルと整合させます。15年の機械寿命がそれ自体でCRAサポートウィンドウを延長するわけではありません。ファイルはメーカーが履行できる内容について誠実であるべきです。
  4. 出荷物を目録化する。 アームハードウェアリビジョン、コントローラーファームウェアブランチ、安全ファームウェアリビジョン、ペンダントファームウェア、プログラミングランタイムバージョン、フリートクラウドコネクタビルド、フィールドバスオプション、評価されたリリースに属するサプライヤー入力をピン留めします。
  5. 発表後もリリースファイルを生きたまま保つ。 脆弱性受付、サプライヤーアドバイザリー監視、セキュリティアップデート配信、統合者通知、残留リスクレビュー、分類または境界判断を再開し得る次の変更について、担当者を割り当てます。
← CRA製品別ガイド