CRAコンプライアンス用語集
EUサイバーレジリエンス法、ソフトウェアサプライチェーンセキュリティ標準、およびコンプライアンス要件を理解するための基本用語。
一致する用語が見つかりません。
附属書VII
CRA附属書VIIは、デジタル要素を含む製品について製造業者が作成すべきEU適合性宣言の最低記載事項を規定する。製品の識別情報、製造業者の詳細、適用標準、および認定代理人の署名が含まれる。
第13条 - 製造業者の義務
CRA第13条は、製造業者の主要義務を規定する:セキュリティバイデザイン、SBOMの維持管理、脆弱性対応、製品ライフサイクル全体にわたるセキュリティアップデートの提供、技術文書の10年以上の保管。
第14条 - 報告義務
CRA第14条は、製造業者に対し、積極的に悪用されている脆弱性を24時間以内(早期警告)、72時間以内(詳細報告)、14日以内(最終報告)にENISAへ報告することを義務付ける。深刻なインシデントも同様のパターンに従うが、最終報告の期限は30日となる。
Authorised representative - 第18条
Under Article 18(1) of Regulation (EU) 2024/2847 (the EU Cyber Resilience Act), a manufacturer may, by written mandate, appoint an EU-established legal or natural person as authorised representative. Appointment is optional under the CRA, unlike MDR Article 11 or RED Article 5 which require an authorised representative for non-EU manufacturers. Under Article 18(3), the authorised representative holds the EU Declaration of Conformity and the technical documentation at the disposal of market surveillance authorities for at least 10 years (or the support period, whichever is longer), provides information on reasoned request, and cooperates on actions taken to eliminate risks. Article 18(2) excludes the substantive Article 13 cybersecurity obligations from the mandate. Distinct from the Article 19 importer role. See the Article 18 explainer at /cra-authorised-representative.
CEマーキング
EU法令への適合を示す欧州適合マーク。CRAの下、デジタル要素を含む製品はEU市場で合法的に販売するためにCEマーキングを付けなければならない。適合性評価の完了とEU適合性宣言が必要。
適合性評価
Process verifying that a product meets CRA essential cybersecurity requirements. Default products self-assess (Module A). Important Class I can also self-assess where harmonised standards, common specifications, or a cybersecurity certification scheme are fully applied, and otherwise uses third-party assessment. Class II and Critical products use third-party assessment (Module B+C or Module H) or a European cybersecurity certification scheme.
CRA - Cyber Resilience Act(サイバーレジリエンス法)
欧州連合で販売されるデジタル要素を含む製品(PDE)に対して強制的なサイバーセキュリティ要件を定めるEU規則2024/2847。2024年12月10日に発効。主要義務は2027年12月11日から適用。ネットワーク接続を持つハードウェアおよびソフトウェア製品を対象とする。
重要製品 - CRA附属書IV
他の製品、ネットワーク、またはサービスのために本質的なサイバーセキュリティ機能を担うデジタル要素を含む製品。CRA附属書IVに列挙されており、ハードウェアセキュリティモジュール(HSM)、スマートカードリーダー、セキュアエレメント、セキュリティボックスを持つハードウェアデバイスが含まれる。重要製品は、適用可能なスキームの下での欧州サイバーセキュリティ認証、またはスキームが存在しない場合は認定機関による第三者適合性評価が必要。
CSAF - 共通セキュリティアドバイザリフレームワーク
機械可読なセキュリティアドバイザリのOASIS標準。脆弱性開示の自動処理を可能にする。CRA要件に基づく協調的脆弱性開示(CVD)およびENISA報告に使用される。
CSIRT - コンピュータセキュリティインシデント対応チーム
Designated cybersecurity bodies that manufacturers must notify of actively exploited vulnerabilities and severe incidents under CRA Article 14, and that coordinate with ENISA on EU-level vulnerability response.
CVD - 協調的脆弱性開示
公開前にセキュリティ脆弱性をベンダーに責任を持って開示するプロセス。CRA第13条第8項は、製造業者にセキュリティ連絡先情報を含むCVDポリシーの策定と公開を義務付ける。
CVE - 共通脆弱性識別子
公知のサイバーセキュリティ脆弱性の標準化された識別子(例:CVE-2024-12345)。MITRE社が管理。脆弱性の追跡、開示、および修正調整のために世界的に使用される。
CVSS - 共通脆弱性評価システム
脆弱性の深刻度を0〜10のスケールで評価する業界標準。CVSS 4.0が最新版。基本、時間的、環境的メトリクスを提供。緊急(9.0〜10.0)、重要(7.0〜8.9)、警告(4.0〜6.9)、注意(0.1〜3.9)。
CycloneDX
ソフトウェア部品表(SBOM)および関連成果物を作成するためのOWASP標準。SBOM、VEX、HBOM、SaaSBOMなどをサポート。バージョン1.5以上を推奨。BSI TR-03183でCRA準拠の推奨形式として参照される。
標準製品カテゴリー
CRA附属書IIIおよびIVで定義された重要またはクリティカルなカテゴリに該当しないデジタル要素を含む製品。標準製品は、CRA附属書VIIIに基づく製造業者による内部管理(自己評価)を通じて適合性評価を受けることができ、第三者の関与は不要。消費者向けおよび商業用のソフトウェアとハードウェアの大部分がこれに該当する。
流通業者
製造業者または輸入業者以外で、デジタル要素を含む製品をEU市場で入手可能にするサプライチェーン内の事業者。販売業者は製品をEU市場で流通させる前にCEマーキングが付いていてEU適合性宣言が添付されていることを確認しなければならない。販売業者が製品を改変した場合、CRAの下で製造業者となる。
ENISA - EUサイバーセキュリティ機関
EU agency responsible for cybersecurity policy and incident coordination. Under CRA Article 14, manufacturers report actively exploited vulnerabilities and severe incidents to ENISA and the coordinating CSIRT via a single reporting platform, with an early-warning notification within 24 hours and a follow-up notification within 72 hours. The reporting obligation starts 11 September 2026.
EPSS - 悪用予測スコアリングシステム
脆弱性が今後30日以内に実際に悪用される確率(0〜100%)を推定するFIRST.orgのモデル。CVSSと併用したリスクベースの脆弱性優先順位付けに使用される。EPSSが高いほど修正の優先度が高い。
EU適合性宣言
製品がCRAを含む適用EU法に準拠していることを表明する正式文書。製造業者または認定代理人が署名しなければならない。CEマーキングに必要。適用される調和標準を参照しなければならない。
EU機械規則 - 規則 (EU) 2023/1230
機械指令 2006/42/EC に代わる EU 規則で、2027年1月20日から適用される。デジタル要素を含む機械について、技術文書にサイバーセキュリティの証拠(附属書III §1.1.9 — 不正操作からの保護)を含めることを要求する。デジタル要素を含む製品は、この規則とCRAの両方に同時に準拠する必要がある。
調和標準
認められた標準化機関(CEN、CENELEC、ETSI)が採択し、EU官報で参照される欧州標準。調和標準に適合する製品は、対応するCRAの本質的要件への適合性の推定の恩恵を受け、適合性評価が簡素化される。
HBOM - ハードウェア部品表
プロセッサ、メモリ、集積回路、ファームウェアを含む製品内ハードウェアコンポーネントの機械可読インベントリ。完全な製品透明性のためにSBOMを補完する。CycloneDXはHBOM形式をサポートする。
重要製品(クラスI) - CRA附属書III第I部
サイバーセキュリティ関連機能を担うか、高いリスクを持つデジタル要素を含む製品。クラスIには、ID管理システム、VPN、ネットワーク管理ツール、SIEMシステム、ブートマネージャー、CRA附属書III第I部に列挙されたその他のカテゴリが含まれる。製造業者は、すべての本質的要件をカバーする調和標準を適用(自己評価が可能)するか、認定機関による第三者適合性評価を受けなければならない。
重要製品(クラスII) - CRA附属書III第II部
重要なサイバーセキュリティ機能を担い、重大なリスクを持つデジタル要素を含む製品。クラスIIには、オペレーティングシステム、ハイパーバイザー、ファイアウォール、侵入検知システム、マイクロコントローラー、産業用自動化システム、CRA附属書III第II部に列挙されたその他のカテゴリが含まれる。調和標準の有無に関わらず、常に認定機関による第三者適合性評価が必要。
輸入業者
EU外の製造業者からのデジタル要素を含む製品を欧州市場に流通させるEU設立の事業者。輸入業者は、製造業者が適合性評価を実施し、CEマーキングが適用され、技術文書が入手可能であることを確認しなければならない。不適合製品については連帯責任を負う。
KEV - 既知の悪用済み脆弱性
実際に悪用されている脆弱性のCISAによる権威あるカタログ。確認された実世界の脅威を表すため、修正において最高優先度となる。連邦機関は指定された期間内にKEV脆弱性を修正しなければならない。
製造業者
デジタル要素を含む製品を開発または製造し、自社名またはブランドでEU市場に投入する事業者。製造業者はCRAの主要義務を負う:リスク評価の実施、SBOMの維持管理、脆弱性対応、少なくとも5年間のセキュリティアップデートの提供、悪用された脆弱性のENISAへの報告。
認定機関
製品が規制要件を満たすかどうかを評価するためにEU加盟国が指定した独立した適合性評価機関。CRA附属書IIIおよびIVの下での重要製品(クラスI)、重要製品(クラスII)、重要製品(クリティカル)の第三者適合性評価に必要。
NVD - 国家脆弱性データベース
NISTが維持管理する米国政府の脆弱性データリポジトリ。CVE識別子を基盤としている。CVSSスコア、CPE(影響製品)情報、CWE分類、および修正ガイダンスを提供する。
OSV.dev - オープンソース脆弱性データベース
Googleが維持管理するオープンソース脆弱性データベース。GitHub(GHSA)、Go、Rust、PyPIなど15以上のエコシステムのセキュリティアドバイザリを単一の照会可能なAPIに集約する。CRA EvidenceはNVDと並行して二次的脆弱性ソースとしてOSV.devを使用し、CVE IDを受け取る前にエコシステム固有のデータベースが追跡するアドバイザリを捕捉する。
デジタル要素製品 - デジタル要素を含む製品
A product with digital elements is hardware or software placed on the EU market whose intended or reasonably foreseeable use involves a direct or indirect data connection to another device or network. The legal definition is in CRA Article 3(1). The CRA distinguishes four forms: software products (Article 3(4)), hardware products (Article 3(5)), components placed on the market separately (Article 3(6), including firmware and SDKs), and remote data processing solutions supplied by the manufacturer (Article 3(2), cloud or remote services necessary for the product to perform its functions). A pure cloud SaaS without an installable client is generally outside the CRA; a hybrid product where the manufacturer's cloud service is necessary for the product to function is in scope through Article 3(2). The decisive test is the data connection, and Article 3(8), (9), and (10) distinguish logical, physical, and indirect connections.
prEN 50742
機械の安全性に関する欧州規格のドラフトで、不正操作からの保護要件をカバーする。機械規則 (EU) 2023/1230 §1.1.9 を実装するための技術仕様を提供する。2つの適合パスを定義:独立したアプローチと、すでに当該産業サイバーセキュリティフレームワーク内で作業している製造業者向けの IEC 62443 との統合。整合規格として公開されると、適合性は機械規則のサイバーセキュリティ要件への適合推定を生み出す。2026年後半の公開が予定されている。
PURL - パッケージURL
エコシステム間でソフトウェアパッケージを識別するための標準化形式(例:pkg:npm/lodash@4.17.21)。SBOMでコンポーネントを一意に識別するために使用される。自動化された脆弱性マッチングとライセンスコンプライアンスを可能にする。
RDPS - リモートデータ処理ソリューション
デジタル要素を含む製品の一部としてリモートでデータを処理するクラウドまたはSaaS機能。3つの基準を満たす場合に製品のCRA適合性評価範囲に含まれる:データが「遠隔」で処理される、製品はそれなしでは核心的機能を失う、製造業者が設計または責任を負う。この基準を満たさない第三者SaaSは、第13条第5項のデューデリジェンスの下で引き続きコンポーネントとして扱わなければならない。
リスク評価
デジタル要素を含む製品に関連するサイバーセキュリティリスクを特定、分析、評価する体系的プロセス。CRA第13条第2項が要求し、技術ファイルに文書化しなければならない。製品ライフサイクル全体にわたる脅威、脆弱性、潜在的影響、リスク軽減措置をカバーする。
SBOM - ソフトウェア部品表
バージョン、ライセンス、関係を含むソフトウェアコンポーネントと依存関係の正式な機械可読インベントリ。脆弱性管理とサプライチェーンの透明性のためにCRA第13条第4項が要求する。CycloneDXまたはSPDX形式で作成できる。
SCA - ソフトウェア構成分析
ソフトウェア構成分析(SCA)は、ソフトウェア製品に含まれるオープンソースおよびサードパーティのコンポーネント、バージョン、ライセンス、既知の脆弱性を特定します。SBOMを生成し、リリースごとに最新状態を維持し、CRA第13条に基づく脆弱性監視に接続するために一般的に使われます。
SPDX - ソフトウェアパッケージデータ交換
ソフトウェア部品表情報を伝達するためのISO/IEC 5962:2021標準。Linux Foundationが開発。ライセンスコンプライアンスと脆弱性追跡に広く使用される。CRA準拠にはバージョン2.2.1以上を推奨。
技術ファイル
CRA準拠を証明する完全な文書パッケージ。リスク評価、SBOM、セキュリティ設計文書、脆弱性対応手順、テスト結果、EU適合性宣言が含まれる。10年または製品のライフタイム(いずれか長い方)の間保管しなければならない。
TR-03183
SBOMの作成と管理に関する詳細な要件を提供するドイツBSI(連邦情報セキュリティ局)の技術ガイドライン。CRA第13条準拠のベストプラクティスとして広く参照される。最低限のSBOMフィールド、形式、更新要件を規定する。
VEX - 脆弱性悪用可能性交換
特定の製品における脆弱性の悪用可能性ステータスを伝える文書。CVEが製品に影響するかどうかを示す(影響あり、影響なし、修正済み、調査中)。下流のユーザーが誤検知によるアラート疲れを軽減するのに役立つ。
VKB - 脆弱性ナレッジベース
NVD/cvelistV5、OSV.dev、GitHub Advisories、CISA KEV、EPSSなどの複数のソースからのアドバイザリを単一の照会可能なナレッジベースに集約する継続的に更新される脆弱性データベース。単一ソースに対してオンデマンドで依存関係をスキャンする代わりに、VKBはすべての既知の脆弱性のローカルミラーを維持し、新しいCVEが公開されるたびにソフトウェアコンポーネントと照合する。これにより検出の遅延が数時間または数日から数分に短縮され、複数ソースのクロスリファレンスによって見落とされるアドバイザリのリスクが低下する。