コンサルティングサービス・CRA対応4段階

CRA対応コンサルティング: 4段階の実装支援と提供物

アセスメント → ワークフロー統合 → 文書化 → 継続運用。段階別の提供物、既存認証マッピング、対象外の業務、見積までの流れを整理します。期限と適用範囲はホームに整理しており、本ページでは作業内容に集中します。

スコープ別見積もりを書面で受け取る 段階別の提供物を見る
段階別の提供物

CRA対応の4段階と段階別の提供物

各段階で何を行い、何を納品するかを具体的に示します。社内検討資料としてそのままお使いいただけます。

PHASE 01

アセスメント・現状とCRA要件の差分を把握

現行の製品、開発プロセス、既存認証を点検し、CRA附属書Iと対照して優先順位付きの書面ギャップ分析を作成します。

  • CRAスコープノート: 製品ラインごとにCRA第13条の義務範囲と附属書IIIの分類(重要製品Class I・Class II・一般製品)を文書化
  • ギャップ分析: CRA附属書I(必須サイバーセキュリティ要件)と現状の差分を、開発現場が着手できる改善計画とともに提示
  • 既存認証マッピング: IEC 62443、ISMS(ISO 27001)、JCMVP、Common Criteria、IPA JC-STARで満たしている要件を特定し、重複作業を回避
  • 製品分類判定: 附属書III・IV該当性を判定し適合性評価経路を提示(製品分類ガイド
PHASE 02

ワークフロー統合・CRA要件を開発プロセスに組み込む

CRAを書類整備にとどめず、運用ワークフローへ変換します。既存のCI/CDパイプラインに直接組み込みます。

  • SBOM生成: ビルド時に自動生成(CycloneDXまたはSPDX形式)、CI/CD統合(GitHub Actions、GitLab CI、Jenkinsなど)
  • 脆弱性スキャン: NVD、GHSA、ENISA EUVDを対象とした依存関係の継続スキャン
  • パイプラインゲート: SAST、依存関係監査、コンテナスキャンをCIゲートとして設置
  • 脆弱性トリアージ手順: SBOMと連動したタイムライン定義型の対応手順を文書化
  • 協調的脆弱性開示(CVD)方針: 開示方針の策定と連絡窓口整備(security.txt・RFC 9116)
PHASE 03

文書化・EUバイヤーと市場監視当局が要求する書類を整備

CRA附属書VIIに準拠した技術文書一式と、EU市場要件に沿った翻訳を提供します。法律事務所ではないため、法的助言や規制解釈は提供しません。

  • 技術文書: CRA附属書VII準拠、エンジニアリング責任者が署名できる形式
  • EU適合宣言(EU DoC): CRA基準に基づく宣言書の草案
  • ユーザー向けセキュリティ情報: 製品販売先EU加盟国の公用語で提供
  • 翻訳対応: セキュリティリスク評価、試験報告書、脆弱性管理記録、適合宣言、ユーザー向けセキュリティ情報のEU公用語への翻訳
  • EU権限代理人の選定支援: 候補比較と契約書レビュー観点の提示(役割自体は担いません・§対象外を参照)
  • 法務連携: 社内法務または外部弁護士が判断に使える形で技術内容を整理
PHASE 04

継続運用支援・製品ライフサイクル(最低5年)を伴走

CRAは一度限りの監査ではありません。製品寿命全期間(最低5年)のセキュリティ対応が義務付けられています。

  • CVE監視: 出荷済み製品の構成要素に影響する新規CVEを継続監視
  • 第14条届出運用: 悪用されている脆弱性と深刻な事案のENISA届出(24時間・72時間・14日)の運用支援とテンプレート提供、JPCERT/CC既存運用との並行整理
  • 年次再確認: CRA附属書I要件の変化に沿った定期再確認
  • 新製品投入支援: 新製品投入時の再スコープと文書追加
  • 市場監視当局対応: EU加盟国の市場監視当局からの照会と要請への対応支援
既存認証マッピング

日本の認証からCRAまでのギャップ: 何が再利用でき、何が新規作業か

日本のメーカーが保有する認証はCRA要件の一部をカバーします。既存認証を起点にギャップを特定し、重複作業を削減します。

JC-STAR ★1〜★4
CRA要求事項の約30%

IPA/METIのIoT製品セキュリティ適合性評価制度。デフォルトパスワード禁止、暗号化通信、ソフトウェア更新メカニズムなどを要求し、CRAとの重なりは星級ごとに異なります(IPA JC-STAR制度)。SBOM、ENISA 24時間届出、EU適合宣言、CEマーキング、5年サポート、EU権限代理人は別途対応が必要。

IEC 62443-4-1
CRA附属書I第II部に直接マッピング

セキュア開発ライフサイクル(SDL)に関するCRA要件と最も直接的に対応します。62443-4-1取得済の場合、SDL作業の大部分が再利用可能。

IEC 62443-2-1
組織のセキュリティ管理

組織レベルのセキュリティ管理領域をカバーし、CRAのガバナンス要件にマッピング。製品レベルの技術要件(SBOM、脆弱性届出)は別途対応が必要。

ISO/IEC 27001 / ISMS
ガバナンス基盤

組織の情報セキュリティ管理基盤を提供しますが、製品レベルのCRA要件は範囲外。組織側のCRA対応の出発点として活用します。

JCMVP
暗号モジュール部分のみ

暗号モジュール試験認証制度。CRAの暗号関連要件に部分的に対応しますが、製品全体のカバレッジは限定的。

Common Criteria(CC)
特定時点の評価

製品セキュリティを特定時点で評価する枠組み。CRAの継続運用義務(CVE監視、5年サポート、24時間届出)とは範囲が異なります。

CCDS IoT製品認証
IoT機器の基本・上位要件

重要生活機器連携セキュリティ協議会の3段階認証。IoT消費者機器の初期水準を満たすメーカー向けの出発点(CCDS認証要件)。CRA附属書I全体との差分整理を進めます。

SBOM(BSI TR-03183)
CRA附属書I SBOM要件の実装基準

ドイツ連邦情報セキュリティ庁(BSI)の技術指針TR-03183-2は、CRAのSBOM要件で実質的に参照される詳細仕様です。CycloneDXまたはSPDX形式の選定、最低限の属性セット、生成タイミングの設計に使用します。

JPCERT/CC 早期警戒パートナーシップ
脆弱性届出ルートの既存運用

CRA第14条のENISA届出は、JPCERT/CCの脆弱性関連情報届出を置き換えるものではなく並行運用になります。既存の社内フローを起点にENISA通知ルートを追加設計します。

対象外

お引き受けしない業務

発注判断を明確にするため、範囲外の業務を先に明示します。以下の業務が必要な場合は別途、専門機関への依頼が必要です。

認証機関(Notified Body)業務

CRA第32条に基づく適合性評価(第三者評価)は行いません。製品が認証機関評価を要する場合(重要製品Class IIなど)、AENOR、Applusなどスペイン所在のEU認証機関を比較観点とともに紹介し、選定を支援します。

法律事務所の業務

法的助言、規制解釈、契約書レビュー、訴訟対応は提供しません。法務領域は社内法務または外部弁護士にご依頼ください。弁護士事務所選定の論点整理と候補比較の観点は提供します。

EU権限代理人(Authorised Representative)

CRA第18条に基づくEU権限代理人の役割は、当方では引き受けません。選定支援(候補比較、契約書レビューの観点整理)のみ提供します。

進め方

お問合せからコンサルティング開始まで

社内稟議を経てコンサルティング開始までの全行程を、貴社側の作業内容と併せて明示します。

STEP 01

お問合せ

無料45分アセスメントをお申込みください。事前NDAは不要です。

貴社: 対象製品、現在の認証保有状況、社内検討状況を共有

STEP 02

無料45分アセスメント

電話または会議で、製品のCRA分類、主要ギャップ、想定スコープを確認します。

当方: 会議後48時間以内に書面ギャップ要約とスコープ・見積提案を提出

STEP 03

社内検討

提案資料は印刷・PDF・社内共有が可能な形式でお渡しします。社内稟議の補足質疑にも対応します。

貴社: 関係者の合意形成、追加質疑の整理

STEP 04

コンサルティング開始

契約締結後に4段階コンサルティングを開始。初回提供物(ギャップ分析)は2〜4週間以内に納品。

貴社: エンジニアリング担当と窓口担当の指名、現行資料の共有

費用

スコープ別の個別見積

価格表は公開しません

コンサルティングの形は、貴社のCRA上の役割(製造者・輸入業者・流通業者)、対象製品の技術的複雑度、製品ライン数、現在の準備状況によって大きく変わります。組込製品1種と多品種SKUの案件はまったく別のスコープになります。

具体的な金額は、無料45分アセスメント後48時間以内に、スコープ・提供物・期間・価格を記した書面提案として送付します。

進行に関するFAQ

コンサルティングの進め方についての質問

規制そのものに関するQ&Aは日本のメーカー向けFAQに整理しています。本節は当方と仕事を進める方法についての質問のみを扱います。

NDAはどの段階で締結しますか

無料45分アセスメントまではNDAなしで一般的なギャップ確認とスコープ調整のみ行います。具体的な製品資料(設計書、コード、試験報告書)の検討が必要な段階からNDAを締結し、双方の標準書式のうち合意したものを使用します。

既存の法律事務所やコンサルティング会社と並行して利用できますか

可能です。当方は法務ではなく技術・文書化の領域を担当するため、法律事務所の規制解釈や契約助言と自然に補完関係になります。一般IT系コンサルティング会社との並行は、作業分担が明確な場合に限り進めます(成果物の重複を避けるため)。

日本語で進められますか、時差はどう扱いますか

対応言語は日本語・英語・スペイン語です。日本時間の午前(スペインの深夜帯)の会議は一般に困難で、日本時間16時以降(スペイン9時以降)が定例会議に適した時間帯です。非同期の文書レビューは時差の影響を受けません。

初回ギャップ分析まで、どの程度かかりますか

契約締結後2〜4週間が標準です。製品ライン数、既存資料の整備状態、社内インタビュー可能日程により変動します。アセスメント段階の書面提案に、日程とマイルストーンを含めてお伝えします。

契約終了後も運用段階の支援は続けられますか

はい。Phase 04(継続運用支援)は年次リテーナー方式で別契約を結びます。CVE監視、ENISA届出運用のバックアップ、新製品投入時の再スコープを含みます。Phase 01〜03の契約と同時でも、後続でも締結できます。

会社情報

CRA Evidenceについて

CRA専門コンサルティング企業として2026年設立

Senda Tech Solutions S.L.は、EU(スペイン・オビエド)に所在する独立系コンサルティング企業です。EUサイバーレジリエンス法対応に特化しており、汎用コンサルティングは併行しません。

運営法人
Senda Tech Solutions S.L.
所在地
Oviedo, Asturias, Spain(EU域内)
設立年
2026年
専門分野
サイバーレジリエンス法(CRA・EU規則2024/2847)対応
進行方式
リモート(会議、メール、共有文書)
対応言語
日本語、英語、スペイン語

スコープと見積を書面でお送りします

無料45分アセスメント後48時間以内に、スコープ・提供物・期間・価格を記した提案書を送付します。

見積依頼