FAQ 日本
EUサイバーレジリエンス法(CRA)— 日本のメーカー向けよくある質問
産業機器、コンシューマーエレクトロニクス、自動車部品。 CRAが既存の認証にどう積み重なるか、そして対応すべきギャップとは。
無料30分スコーピングコールを予約する適用範囲
日本に本社がある場合でも、EUサイバーレジリエンス法(CRA)は自社に適用されますか?
はい。デジタル要素を含む製品をEU市場に投入する場合、本社所在地にかかわらずCRAが適用されます。「市場への投入」とは、EU市場で初めて製品を提供することを意味し、EU内で活動する販売代理店、オンラインストア、再販業者を通じた場合も含まれます。
EU域外起源への免除規定はありません。規制は製品に従うものであり、メーカーの所在地には従いません。
どの製品が対象になりますか?「デジタル要素を含む製品」かどうかはどのように判断しますか?
CRAは、ソフトウェアまたはファームウェアを含み、直接または間接的にネットワークや他のデバイスに接続できるあらゆる製品を対象としています。日本のメーカーの場合、以下が含まれます。
- 産業用コントローラ、PLC、SCADAインターフェース
- IoTセンサー・ゲートウェイ(工場自動化、ビルシステム)
- 接続機能付きコンシューマーエレクトロニクス(テレビ、カメラ、ウェアラブル)
- ネットワーク機器(スイッチ、ルーター)
- 物理製品に組み込まれたソフトウェア
除外対象:同等の要件を持つ分野別規制に適用される製品(一部の医療機器、航空部品、自動車)。
ハードウェアまたはソフトウェアをEUに輸出しており、何らかのネットワーク機能がある場合、特段の証明がない限り対象と判断してください。
EU販売代理店がCEマーキングを担当しています。CRAコンプライアンスの責任は代理店にあるのでしょうか?
いいえ。これはEU域外メーカーの間で最もよくある誤解です。
CRAのもとでは、流通やCEマーキングの手続きを誰が行うかにかかわらず、メーカーがサイバーセキュリティ要件に対して主たる責任を負います。EU販売代理店は限定的な義務(デューデリジェンスの確認であり、技術的なコンプライアンスではない)を負うにすぎず、第13条から第15条に定めるメーカーの義務に代わることはできません。
製品が非適合の場合、市場監視当局はメーカーを追及します。代理店はメーカーの特定に協力することを求められます。
日本市場とEU市場の両方向けに異なる規格で製品を製造しています。2つの別々のコンプライアンス体制を維持する必要がありますか?
いいえ。CRAに準拠したプロセス(SBOM生成、脆弱性管理、セキュアな開発ライフサイクル)は、IEC 62443やISMSのもとでも競争力を高めます。最も高い基準(CRA)に合わせて設計することで、両市場が恩恵を受けます。
重複を避けた支援体制を構築します。IEC 62443-4-1はCRA附属書I第II部(セキュアなSDL)に直接マッピングされます。一方の規格のために行った作業はもう一方にも活用できます。2つのコンプライアンスプログラムを構築するのではなく、両方を満たす1つのプログラムを構築します。
期限とリスク
CRAの主要な期限はいつですか?
- 2026年9月:脆弱性報告義務が発効。ENISAへの24時間以内の報告が必要になります
- 2027年12月:CRAの完全施行。EU市場に投入されるすべての製品が準拠している必要があります
2027年12月以前に市場に投入された製品には経過措置があります。2027年12月以降に初めて市場に投入される製品は初日から準拠が必要です。
2つの期限の間にある15か月の差は重要です。技術文書や適合性評価が完成する前に、セキュリティプロセスが稼働していなければなりません。
製品が非適合だった場合、どうなりますか?EU当局は販売禁止や回収を命じることができますか?
はい。EU市場監視当局は広範な執行権限を持っています。
- 製品の市場投入禁止
- EU市場からの強制撤退
- エンドユーザーからの強制リコール
- 最大1,500万ユーロまたは全世界年間売上高の2.5%(いずれか高い方)の制裁金
執行はEUレベルで調整されており、ある加盟国での決定は27か国すべてに適用されます。
すでにEU市場で販売している製品があります。それらを準拠させる義務がありますか?
2027年12月以前にEU市場に投入された製品には経過措置があります。ただし:
- 2027年12月以降も同じ製品を継続販売する場合は、準拠が必要です
- 重要なソフトウェアアップデートをリリースした場合、完全なコンプライアンス義務が発生する可能性があります
- 脆弱性報告義務(2026年9月)はすでに使用中の製品にも適用されます
EU市場での販売量が最も多い製品について、今すぐコンプライアンス評価を開始することをお勧めします。
技術要件
SBOMとは何ですか?なぜCRAで義務付けられているのですか?
SBOM(ソフトウェア部品表)とは、製品内のすべてのソフトウェアコンポーネント、ライブラリ、依存関係の完全なインベントリです。オープンソースコンポーネント、サードパーティライブラリ、それらのバージョン情報が含まれます。
CRAはメーカーに以下を義務付けています。
- 製品ごとのSBOMの生成・維持管理
- 各コンポーネントの既知の脆弱性の追跡
- 規制当局の要請に応じたSBOMの開示
- 脆弱性管理の運用基盤としての活用
SBOMは一度だけ作成する文書ではなく、リリースごとに更新する必要があります。多くのハードウェアメーカーはソフトウェアコンポーネントを体系的に追跡したことがありません。ファームウェアにはインベントリのないオープンソースライブラリが数十個含まれていることがよくあります。すべての支援はSBOM監査から始めます。
IEC 62443とISMS認証を取得しています。CRAコンプライアンスはどの程度完了していますか?
有効に活用できるもの:
- IEC 62443-4-1 → CRA附属書I第II部(セキュアな開発ライフサイクル)。CRAへの認証マッピングの中で最も直接的です。62443-4-1の認証取得済みであれば、SDL作業は大幅に流用できます。
- IEC 62443-2-1 → 組織的なセキュリティ管理をカバーし、CRAのガバナンス要件にマッピングされます
- ISMS(ISO 27001 / JIPDEC) → 強固なガバナンス基盤を提供しますが、製品レベルの要件はスコープ外です
- IPA セキュア開発ガイドライン → CRAのセキュア開発要件と部分的に重複しています
- JCMVP(暗号モジュール試験及び認証制度)→ 暗号コンポーネントを持つ製品に関連しますが、CRAとのカバレッジは限定的です
- コモンクライテリア(CC) → 特定時点での製品セキュリティを評価しますが、CRAの継続的な運用義務とはスコープが異なります
これらの認証がカバーしていないCRAの要件:
- 製品リリースごとのSBOMの生成・維持管理
- ENISAへの脆弱性報告(24時間/72時間/14日のタイムライン)
- CRAに基づくEU適合宣言書
- EU権限代理人の選任
既存の認証済み作業を繰り返さないよう、体系的なギャップ分析から支援を開始します。
既存の開発パイプラインにCRA要件をどのように統合すればよいですか?
CRAコンプライアンスは一度きりの監査ではなく、開発ワークフローに組み込まれた継続的なプロセスが必要です。
- SBOM生成:ビルド時の自動生成(CycloneDXまたはSPDX形式)、CI/CDへの統合
- 依存関係の脆弱性スキャン:NVD/GHSA/ENISA EUVDを対象とした継続的な監視
- 脆弱性トリアージと対応:タイムラインが定義され、SBOMと連携した文書化されたプロセス
- CIにおけるセキュリティテスト:パイプラインゲートとしてのSAST、依存関係監査、コンテナスキャン
- リリースドキュメント:CVEの修正記録と連携した自動チェンジログ
これらのワークフローを直接設計・実装します。GitHub Actions、GitLab CI、Jenkins、または類似のシステムをご利用の場合、一緒にパイプラインを構築します。チェックリストをお渡しするだけでは終わりません。
脆弱性報告義務と期限はどのようなものですか?
CRA第14条。期限は交渉の余地がなく、積極的な悪用の事実を認識した時点から適用されます。
- 24時間以内:製品に存在する積極的に悪用されている脆弱性をENISAに通知する
- 72時間以内:予備的評価を含む脆弱性の初期報告を提出する
- 14日以内:詳細な技術報告書を提出する
EU域外のメーカーの多くは、脆弱性開示プロセスをまったく持っていません。これが最もリスクの高いギャップです。2026年9月の施行は、2027年12月のCRA完全施行よりも前に到来します。
CVD(協調的脆弱性開示)ポリシーの設計、社内トリアージプロセスの構築、これらのタイムライン内で対応できるようなチーム体制づくりを支援します。
ご支援内容
専任のサイバーセキュリティ・コンプライアンスチームがいません。ゼロから始める企業にはどのように支援していただけますか?
典型的な支援は4段階で行われます。
- アセスメント:現在の製品、開発プロセス、既存の認証(IEC 62443、ISMS)を監査し、CRA要件と照合して、優先順位付きの書面によるギャップ分析を作成します。
- ワークフロー統合:SBOM生成、脆弱性追跡、CI/CDパイプラインの変更を設計・実装し、CRAを文書化の演習ではなく運用ワークフローに変換します。
- 文書化と法務:CRAが要求する技術文書の準備、法務チームとの連携(または連携する弁護士のご紹介)、EU市場要件に向けた技術文書の翻訳対応を行います。
- 継続的なサポート:脆弱性モニタリング、年次レビュー、新製品リリースのサポート、市場監視機関からの問い合わせへの対応支援を行います。
リモートで対応します。日本のお客様に適した時間帯でのスケジュール調整が可能です。
法務面や文書翻訳においてどのような支援が受けられますか?
CRAコンプライアンスには技術面と法務面があります。多くの企業では両方が必要です。
製品安全法とCEマーキングを専門とするEU有資格弁護士と連携して支援します。技術的な翻訳(エンジニアリングの実態を弁護士が必要とする文書に変換すること)を担当し、双方の調整を行うため、2つの別々の窓口を管理する必要はありません。
CRAの技術文書は、製品が販売されるEU加盟国の公用語で利用可能である必要があります。以下の翻訳に対応します。
- 技術文書(セキュリティリスクアセスメント、試験報告書、脆弱性管理記録)
- 適合宣言書
- ユーザー向けセキュリティ情報
EU域内に拠点を持たない場合のEU権限代理人の選任も支援します。これはEU域外のすべてのメーカーに求められるCRAの要件です。
CRAはCEマーキング、無線機器指令(RED)、または機械規則とどのような関係がありますか?
CRAは既存のCEマーキング要件に代わるものではなく、その上に義務的なサイバーセキュリティ要件を追加するものです。
- 無線機器指令(RED):2025年8月発効の第3条3項(d)(e)(f)に基づくサイバーセキュリティ要件。無線製品についてはREDとCRAが大幅に重複しており、一つの技術評価で双方を満たすことができます。
- 機械規則:2027年1月発効の新規則で、安全関連の制御機能にサイバーセキュリティ要件が含まれ、IEC 62443が参照されています。CRAはソフトウェアコンポーネントに対して個別に適用されます。
- 医療機器規則(MDR):医療機器はCRAの適用範囲から大部分が除外されますが、同一メーカーの一般向けウェルネスや非医療製品に含まれるソフトウェアは除外されません。
複数のEU規制の対象となる製品がある場合、支援開始時に重複箇所をマッピングし、コンプライアンス作業の重複を防ぎます。