TL;DR
この用語集は、EUサイバーレジリエンス法(CRA)の主要用語を網羅しています:SBOM(ソフトウェア部品表)、CycloneDX、SPDX、VEX(脆弱性悪用可能性交換)、VKB(脆弱性ナレッジベース)、CSAF、CVE、EPSS、KEV、TR-03183、ENISA報告、CEマーキング、調和標準、認定機関、リスク評価、技術ファイル要件、および適合性評価。2027年12月の期限前にCRAコンプライアンスの準備をする際にこのリファレンスをご活用ください。
CRAコンプライアンス用語集
EUサイバーレジリエンス法、ソフトウェアサプライチェーンセキュリティ標準、およびコンプライアンス要件を理解するための基本用語。
A
附属書VII
CRA附属書VIIは、デジタル要素を含む製品について製造業者が作成すべきEU適合性宣言の最低記載事項を規定する。製品の識別情報、製造業者の詳細、適用標準、および認定代理人の署名が含まれる。
第13条 - 製造業者の義務
CRA第13条は、製造業者の主要義務を規定する:セキュリティバイデザイン、SBOMの維持管理、脆弱性対応、製品ライフサイクル全体にわたるセキュリティアップデートの提供、技術文書の10年以上の保管。
第14条 - 報告義務
CRA第14条は、製造業者に対し、積極的に悪用されている脆弱性を24時間以内(早期警告)、72時間以内(詳細報告)、14日以内(最終報告)にENISAへ報告することを義務付ける。深刻なインシデントも同様のパターンに従うが、最終報告の期限は30日となる。
C
CEマーキング
EU法令への適合を示す欧州適合マーク。CRAの下、デジタル要素を含む製品はEU市場で合法的に販売するためにCEマーキングを付けなければならない。適合性評価の完了とEU適合性宣言が必要。
適合性評価
製品がCRAの本質的なサイバーセキュリティ要件を満たすことを検証するプロセス。標準製品は自己評価(モジュールA)を使用できるが、重要製品クラスI、クラスII、重要製品(クリティカル)は認定機関による第三者評価が必要。
CRA - Cyber Resilience Act(サイバーレジリエンス法)
欧州連合で販売されるデジタル要素を含む製品(PDE)に対して強制的なサイバーセキュリティ要件を定めるEU規則2024/2847。2024年12月10日に発効。主要義務は2027年12月11日から適用。ネットワーク接続を持つハードウェアおよびソフトウェア製品を対象とする。
CSAF - 共通セキュリティアドバイザリフレームワーク
機械可読なセキュリティアドバイザリのOASIS標準。脆弱性開示の自動処理を可能にする。CRA要件に基づく協調的脆弱性開示(CVD)およびENISA報告に使用される。
CSIRT - コンピュータセキュリティインシデント対応チーム
CRA第14条に基づき、製造業者が積極的に悪用されている脆弱性や重大インシデントを通知すべき指定サイバーセキュリティ機関。ENISAとEUレベルの脆弱性対応を調整する。
CVD - 協調的脆弱性開示
公開前にセキュリティ脆弱性をベンダーに責任を持って開示するプロセス。CRA第13条第8項は、製造業者にセキュリティ連絡先情報を含むCVDポリシーの策定と公開を義務付ける。
CVE - 共通脆弱性識別子
公知のサイバーセキュリティ脆弱性の標準化された識別子(例:CVE-2024-12345)。MITRE社が管理。脆弱性の追跡、開示、および修正調整のために世界的に使用される。
CVSS - 共通脆弱性評価システム
脆弱性の深刻度を0〜10のスケールで評価する業界標準。CVSS 4.0が最新版。基本、時間的、環境的メトリクスを提供。緊急(9.0〜10.0)、重要(7.0〜8.9)、警告(4.0〜6.9)、注意(0.1〜3.9)。
CycloneDX
ソフトウェア部品表(SBOM)および関連成果物を作成するためのOWASP標準。SBOM、VEX、HBOM、SaaSBOMなどをサポート。バージョン1.5以上を推奨。BSI TR-03183でCRA準拠の推奨形式として参照される。
重要製品 — CRA附属書IV
他の製品、ネットワーク、またはサービスのために本質的なサイバーセキュリティ機能を担うデジタル要素を含む製品。CRA附属書IVに列挙されており、ハードウェアセキュリティモジュール(HSM)、スマートカードリーダー、セキュアエレメント、セキュリティボックスを持つハードウェアデバイスが含まれる。重要製品は、適用可能なスキームの下での欧州サイバーセキュリティ認証、またはスキームが存在しない場合は認定機関による第三者適合性評価が必要。
D
標準製品カテゴリー
CRA附属書IIIおよびIVで定義された重要またはクリティカルなカテゴリに該当しないデジタル要素を含む製品。標準製品は、CRA附属書VIIIに基づく製造業者による内部管理(自己評価)を通じて適合性評価を受けることができ、第三者の関与は不要。消費者向けおよび商業用のソフトウェアとハードウェアの大部分がこれに該当する。
流通業者
製造業者または輸入業者以外で、デジタル要素を含む製品をEU市場で入手可能にするサプライチェーン内の事業者。販売業者は製品をEU市場で流通させる前にCEマーキングが付いていてEU適合性宣言が添付されていることを確認しなければならない。販売業者が製品を改変した場合、CRAの下で製造業者となる。
E
ENISA - EUサイバーセキュリティ機関
サイバーセキュリティ政策およびインシデント調整を担当するEU機関。CRAの下、製造業者は積極的に悪用されている脆弱性を24時間以内に、深刻なインシデントを72時間以内にENISAへ報告しなければならない。報告義務は2026年9月11日から開始する。
EPSS - 悪用予測スコアリングシステム
脆弱性が今後30日以内に実際に悪用される確率(0〜100%)を推定するFIRST.orgのモデル。CVSSと併用したリスクベースの脆弱性優先順位付けに使用される。EPSSが高いほど修正の優先度が高い。
EU適合性宣言
製品がCRAを含む適用EU法に準拠していることを表明する正式文書。製造業者または認定代理人が署名しなければならない。CEマーキングに必要。適用される調和標準を参照しなければならない。
H
HBOM - ハードウェア部品表
プロセッサ、メモリ、集積回路、ファームウェアを含む製品内ハードウェアコンポーネントの機械可読インベントリ。完全な製品透明性のためにSBOMを補完する。CycloneDXはHBOM形式をサポートする。
調和標準
認められた標準化機関(CEN、CENELEC、ETSI)が採択し、EU官報で参照される欧州標準。調和標準に適合する製品は、対応するCRAの本質的要件への適合性の推定の恩恵を受け、適合性評価が簡素化される。
I
輸入業者
EU外の製造業者からのデジタル要素を含む製品を欧州市場に流通させるEU設立の事業者。輸入業者は、製造業者が適合性評価を実施し、CEマーキングが適用され、技術文書が入手可能であることを確認しなければならない。不適合製品については連帯責任を負う。
重要製品(クラスI) — CRA附属書III第I部
サイバーセキュリティ関連機能を担うか、高いリスクを持つデジタル要素を含む製品。クラスIには、ID管理システム、VPN、ネットワーク管理ツール、SIEMシステム、ブートマネージャー、CRA附属書III第I部に列挙されたその他のカテゴリが含まれる。製造業者は、すべての本質的要件をカバーする調和標準を適用(自己評価が可能)するか、認定機関による第三者適合性評価を受けなければならない。
重要製品(クラスII) — CRA附属書III第II部
重要なサイバーセキュリティ機能を担い、重大なリスクを持つデジタル要素を含む製品。クラスIIには、オペレーティングシステム、ハイパーバイザー、ファイアウォール、侵入検知システム、マイクロコントローラー、産業用自動化システム、CRA附属書III第II部に列挙されたその他のカテゴリが含まれる。調和標準の有無に関わらず、常に認定機関による第三者適合性評価が必要。
K
KEV - 既知の悪用済み脆弱性
実際に悪用されている脆弱性のCISAによる権威あるカタログ。確認された実世界の脅威を表すため、修正において最高優先度となる。連邦機関は指定された期間内にKEV脆弱性を修正しなければならない。
M
製造業者
デジタル要素を含む製品を開発または製造し、自社名またはブランドでEU市場に投入する事業者。製造業者はCRAの主要義務を負う:リスク評価の実施、SBOMの維持管理、脆弱性対応、少なくとも5年間のセキュリティアップデートの提供、悪用された脆弱性のENISAへの報告。
N
NVD - 国家脆弱性データベース
NISTが維持管理する米国政府の脆弱性データリポジトリ。CVE識別子を基盤としている。CVSSスコア、CPE(影響製品)情報、CWE分類、および修正ガイダンスを提供する。
認定機関
製品が規制要件を満たすかどうかを評価するためにEU加盟国が指定した独立した適合性評価機関。CRA附属書IIIおよびIVの下での重要製品クラスI、クラスII、重要製品(クリティカル)の第三者適合性評価に必要。
O
OSV.dev - オープンソース脆弱性データベース
Googleが維持管理するオープンソース脆弱性データベース。GitHub(GHSA)、Go、Rust、PyPIなど15以上のエコシステムのセキュリティアドバイザリを単一の照会可能なAPIに集約する。CRA EvidenceはNVDと並行して二次的脆弱性ソースとしてOSV.devを使用し、CVE IDを受け取る前にエコシステム固有のデータベースが追跡するアドバイザリを捕捉する。
P
デジタル要素製品 - デジタル要素を含む製品
他のデバイスまたはネットワークへの接続(直接または間接)を持つあらゆるソフトウェアまたはハードウェア製品。CRA規制の主要対象範囲。IoTデバイス、産業機器、消費者向け電子機器、スタンドアロンソフトウェアが含まれる。
PURL - パッケージURL
エコシステム間でソフトウェアパッケージを識別するための標準化形式(例:pkg:npm/lodash@4.17.21)。SBOMでコンポーネントを一意に識別するために使用される。自動化された脆弱性マッチングとライセンスコンプライアンスを可能にする。
R
RDPS - リモートデータ処理ソリューション
デジタル要素を含む製品の一部としてリモートでデータを処理するクラウドまたはSaaS機能。3つの基準を満たす場合に製品のCRA適合性評価範囲に含まれる:データが「遠隔」で処理される、製品はそれなしでは核心的機能を失う、製造業者が設計または責任を負う。この基準を満たさない第三者SaaSは、第13条第5項のデューデリジェンスの下で引き続きコンポーネントとして扱わなければならない。
リスク評価
デジタル要素を含む製品に関連するサイバーセキュリティリスクを特定、分析、評価する体系的プロセス。CRA第13条第2項が要求し、技術ファイルに文書化しなければならない。製品ライフサイクル全体にわたる脅威、脆弱性、潜在的影響、リスク軽減措置をカバーする。
S
SBOM - ソフトウェア部品表
バージョン、ライセンス、関係を含むソフトウェアコンポーネントと依存関係の正式な機械可読インベントリ。脆弱性管理とサプライチェーンの透明性のためにCRA第13条第4項が要求する。CycloneDXまたはSPDX形式で作成できる。
SPDX - ソフトウェアパッケージデータ交換
ソフトウェア部品表情報を伝達するためのISO/IEC 5962:2021標準。Linux Foundationが開発。ライセンスコンプライアンスと脆弱性追跡に広く使用される。CRA準拠にはバージョン2.2.1以上を推奨。
T
技術ファイル
CRA準拠を証明する完全な文書パッケージ。リスク評価、SBOM、セキュリティ設計文書、脆弱性対応手順、テスト結果、EU適合性宣言が含まれる。10年または製品のライフタイム(いずれか長い方)の間保管しなければならない。
TR-03183
SBOMの作成と管理に関する詳細な要件を提供するドイツBSI(連邦情報セキュリティ局)の技術ガイドライン。CRA第13条準拠のベストプラクティスとして広く参照される。最低限のSBOMフィールド、形式、更新要件を規定する。
V
VKB - 脆弱性ナレッジベース
NVD/cvelistV5、OSV.dev、GitHub Advisories、CISA KEV、EPSSなどの複数のソースからのアドバイザリを単一の照会可能なナレッジベースに集約する継続的に更新される脆弱性データベース。単一ソースに対してオンデマンドで依存関係をスキャンする代わりに、VKBはすべての既知の脆弱性のローカルミラーを維持し、新しいCVEが公開されるたびにソフトウェアコンポーネントと照合する。これにより検出の遅延が数時間または数日から数分に短縮され、複数ソースのクロスリファレンスによって見落とされるアドバイザリのリスクが低下する。
VEX - 脆弱性悪用可能性交換
特定の製品における脆弱性の悪用可能性ステータスを伝える文書。CVEが製品に影響するかどうかを示す(影響あり、影響なし、修正済み、調査中)。下流のユーザーが誤検知によるアラート疲れを軽減するのに役立つ。