サイバーレジリエンス法とは(概要)
サイバーレジリエンス法(Cyber Resilience Act, CRA)は、EU(欧州連合)がデジタル製品のサイバーセキュリティ強化を目的に導入する新たな規則です 。ソフトウェアやハードウェアなどデジタル要素を含む製品(有線・無線機器、ソフトウェア等)が対象で、他のデバイスやネットワークに直接または間接に接続されるあらゆる製品にサイバーセキュリティ要件を課すものです 。ただし既存のEU法でサイバー要件が定められている特定分野(例:医療機器、民間航空機、自動車)や、国家安全保障・軍事用途、研究開発目的のOSS(オープンソースソフトウェア)などは対象外となっています 。
CRAの目的は、デジタル製品の脆弱性を減らし、製品ライフサイクル全体を通じてメーカーにセキュリティの責任を持たせることにあります 。具体的には、メーカーや開発者に対し設計・開発段階から保守に至るまでサイバーセキュリティ対策を組み込むことを義務付け、製品提供後も一定期間は脆弱性への対応(セキュリティアップデート提供など)を求めます 。また製品のサイバーセキュリティに関する透明性向上(安全性情報の開示や表示)を図り、ユーザー(消費者・企業)が安全な製品を選択しやすくする狙いもあります 。
CRAは、欧州域内で販売される製品にはCEマーキングの取得を要求し、製品がCRAのセキュリティ要件に適合していることを示すことになります 。CEマークは従来からEU市場で安全基準適合を示す表示であり、今後はサイバーセキュリティ要件もその評価対象に加わる形です 。さらに、サイバーセキュリティ上特に重要な製品については、販売前に認定機関による第三者評価(認証)を受けることも義務付けられます 。こうした仕組みにより、メーカー任せだった製品セキュリティをEU全域で強化し、信頼できる製品だけが市場に出回るようにする狙いです 。
施行スケジュール(成立状況と適用開始時期)
サイバーレジリエンス法は2024年12月10日にEU公式ジャーナルで公布・施行されました 。EU法として成立済みですが、企業への適用開始には一定の猶予期間(グレースピリオド)が設けられています。主要な義務の施行日は2027年12月11日であり、メーカーはそれまでに対応製品をCRA適合させる必要があります 。これは施行から約36か月の移行期間に相当し、企業が新規則への準備を整える猶予となります 。
ただし、一部の義務については適用開始が早まります。具体的には、製造業者による脆弱性報告義務(CRA第14条)が2026年9月11日(施行後21か月)から適用されます 。これにより、完全適用前であっても2026年秋以降は市場に出回っている製品の深刻な脆弱性やインシデントをEU当局(ENISAなど)へ報告する義務が発生します 。なお、この報告義務は同日までに既に市場に投入済みの製品にも及ぶ点に注意が必要です 。一方、2027年12月11日以降にEU市場へ新規に投入されるすべての対象製品は、設計・開発・製造から保守に至るまでCRAの必須サイバー要件に適合していなければなりません 。それ以前から販売されている製品については、同日以降も大きな変更や用途転換をしない限り販売継続は可能ですが、上記の通り脆弱性への対処・報告は求められることになります 。
立法手続としては、2022年9月の欧州委員会による法案提案後、2023年末までに欧州議会・理事会間で合意が成立し、2024年10月にEU理事会が正式採択、12月に公布という流れでした 。現在は各企業が適用開始に向けた準備期間に入っており、EU加盟国や欧州委員会では実施細則の策定や専門家グループによるガイダンス検討が進められています 。今後36か月の間に、技術的基準や運用指針の整備、監督当局の体制構築などが段階的に進められる見通しです。
日本の製造業が受ける影響
欧州向けにデジタル製品を提供する日本のメーカーにとって、CRAは製品開発から販売・保守まで幅広いプロセスに影響を及ぼします。まず対象製品ですが、IoT家電、産業機器、ソフトウェア製品などネット接続可能なもの全般が該当し得ます 。例えば、スマート家電、監視カメラ、ネットワーク機器、組込みソフトウェア搭載製品、業務用ソフトウェアなど、多くの日本製製品が対象に含まれるでしょう。一方、自動車や医療機器など既に別規則でサイバー要件がある分野はCRAから除外されます 。もっとも、**除外分野以外の「デジタル要素を含む製品」**を扱うメーカーであれば、欧州市場で販売する以上は規模や業種を問わず本規則への対応が必要です 。
製品設計・開発プロセスへの影響としては、セキュリティ要件を満たすために設計段階からのリスク分析・対策実装が不可欠になります。メーカーは各製品について脅威モデルの作成やリスク評価を行い、必要な暗号化やアクセス制御、認証機能といった安全策を組み込むことが求められます 。加えて、開発段階では安全なコーディング規約の遵守や**セキュリティテスト(脆弱性スキャン、ペネトレーションテスト)**が必要となり、既知の脆弱性を含まないようオープンソースライブラリ等も最新の安全なものを取り入れる運用が求められます 。実際、CRAではメーカーに対し「全てのサイバーセキュリティリスクを文書化すること」や「製品に既知の脆弱性がないことを確認すること」を義務付けており 、製品出荷前に十分なセキュリティ検証を行う体制整備が急務となります。
出荷・販売プロセスにも新たな負担が生じます。欧州で販売する対象製品にはCEマーキング取得が必須となり、メーカーは製品毎にEU適合宣言書(DoC)を作成し、技術文書を整備して規制当局への提示義務を負います 。技術文書には前述のリスク評価結果やテスト報告、製品のセキュリティ仕様、脆弱性管理計画などが含まれると想定され、従来の製品安全に関する書類に加えてセキュリティ関連の詳細なドキュメント作成が必要です 。また、自社がEU域外(日本国内)にある場合でも、EU域内に正規代理人(輸入販売子会社など)を指名し、その者が当局との窓口となって製品の適合性確保・是正義務を負うことになります 。日本企業は欧州子会社や販売代理店と連携し、輸入時のチェックリストや社内手続きを整備する必要があるでしょう。
保守・サポート工程への影響も大きく、CRAは製品発売後のメーカーの責任を明確に定めています。メーカーは製品のライフサイクル期間中(少なくとも5年間)はサイバー攻撃に対する脆弱性対応の責任を負うことが義務化されており 、販売後も定期的なセキュリティ更新(アップデート)提供や、ユーザーから報告される脆弱性への迅速な対処が求められます。万一、製品の脆弱性が積極的に悪用された場合や重大インシデントが発生した場合には、24時間以内にENISA(欧州サイバーセキュリティ庁)等に報告しなければなりません 。このように、製品リリース後も長期にわたって継続的なセキュリティ監視・対応体制(いわゆるPSIRT:製品セキュリティインシデント対応チーム)を維持する必要があり、サポート期間終了までメーカーの負担が続く点に留意が必要です。
以上のように、CRAへの適合は日本の製造業に設計・開発プロセスの高度化(セキュア開発ライフサイクルの導入)、認証・法規対応コストの増加、保守期間延長に伴うリソース確保など多方面の影響を及ぼします。ただし、これらは欧州市場で事業を継続する上で不可避の要件であり、他社に先駆けて体制整備することが競争力維持のポイントともなるでしょう。
企業として取るべき対応策
CRAへの対応に向け、日本企業は社内体制の整備と技術的・運用的な対策を計画的に進める必要があります。以下に主な対応策をまとめます。
- 専任組織・担当者の設置: まず、自社製品がCRAの対象かを精査し、対応方針を統括する専門チームや責任者(Chief Product Security Officer等)の任命が重要です。欧州子会社や法務部門とも連携し、規制動向のキャッチアップと全社調整を行う体制を敷きます。また、製品ごとに**PSIRT(製品セキュリティインシデント対応チーム)**を編成し、脆弱性情報の収集・分析から修正対応・当局報告まで一貫して対処できる仕組みを準備します 。
- 製品の分類と適合戦略の策定: 自社の各製品について、CRA上のリスククラス分類(「重要製品(クラスI/II)」に該当するか否か)を確認し、それに応じた適合性評価手段を決めます。低リスク製品はメーカーによる自己適合宣言が可能ですが、高リスクの重要製品は第三者機関での認証取得が必要です 。自社製品ポートフォリオを洗い出し、必要な認証取得や試験のスケジュールを逆算して計画しましょう。また、製品によっては「EU向け仕様モデル」を別途用意するか、全世界向け製品をEU規則に合わせて設計統一するかの判断も迫られます 。将来的な他国での同様規制動向も見据え、可能ならグローバルで統一したセキュリティ基準に沿って開発する方が効率的です。
- セキュア開発プロセスの導入: 技術面では、セキュリティバイデザインの考え方を徹底し、開発プロセス全般の強化が必要です。具体的には、開発初期に脅威分析・リスクアセスメントを実施し 、設計段階で必要なセキュリティ機能(認証、暗号化、サンドボックス等)を組み込むようにします。実装段階では安全なコーディング規範を設けるとともに、コードレビューや脆弱性スキャンをパイプラインに組み込みます。併せて**SBOM(ソフトウェア部品表)**の管理体制を構築し、製品に含まれるOSSやサードパーティ部品を網羅的に把握・記録します 。CRAではSBOMの作成が明確に求められており、少なくとも製品に含まれる主要なソフトウェア依存関係を機械可読な形式でリスト化する必要があります 。これにより、依存コンポーネントの脆弱性情報を追跡しやすくなり、アップデート管理にも役立ちます。
- 技術文書・社内規定の整備: CRA適合の証明には詳細な文書化が欠かせません。セキュリティリスク評価書、試験結果レポート、ユーザー向けセキュリティ使用上の注意文書などを準備しましょう 。特にユーザーマニュアルには、安全な設定方法や更新の受け取り方など利用者が製品を安全に使用するための明確な指示を記載することが求められます 。社内的には、製品開発から販売・保守に関わる部署横断でセキュリティポリシーと手順書をアップデートし、新規則への準拠を品質管理プロセスに組み込む必要があります。例えば、「リリース前にセキュリティ担当役員の承認を必須とする」「脆弱性公表時の社内連絡フローを定める」等の規定整備です。また、インシデント対応訓練や開発者へのセキュリティ研修を実施し、組織的なセキュリティ意識向上にも努めましょう。
- CEマーキング手続との統合: CRA適合は従来のCEマーキングプロセスと不可分です。各製品について適合宣言書(DoC)のテンプレートを見直し、CRA要件に関する記載欄を追加します。技術文書一式(技術仕様書、リスク分析報告、テスト結果、SBOM等)を整備し、それを保管・提出できるよう品質管理システムをアップデートします。EUの認定機関(ノーティファイドボディ)による第三者認証が必要な場合は、早めに試験機関との調整や予備テストを進め、認証取得に必要な期間を織り込んで製品開発スケジュールを調節しましょう。さらに、輸出入部門は輸入者ラベル表示や欧州現地代理人の情報表示(製品または梱包への明記)など、マーキング要件の変更にも注意が必要です。これら手続きを円滑にするため、法務・品質保証・エンジニアリングが一体となった社内タスクフォースを設け、CEマーキング申請業務と技術対応を統合的に管理すると効果的です。
以上の対応策を早期に講じることで、2027年の本格施行までに余裕を持って準備を整えることができます。また、CRA適合に向けた取組みは製品セキュリティの競争力向上にも繋がります。安全性の高い製品は欧州市場のみならず世界市場で評価されるため、前向きに捉えて全社的な**「セキュアものづくり」への転換**を進めることが重要です。
今後の不透明・不確定な部分
サイバーレジリエンス法は成立しましたが、実務上いくつか不透明な点も残っています。
- 実装規則の策定: CRAの本文は基本的な枠組みを示すもので、詳細な技術基準や手続きは今後欧州委員会が実装規則や委任法の形で定める可能性があります。例えば、SBOMの具体的な形式やリスク評価の手法、特定要件の例示などについて追加ガイダンスが出される見通しです。しかし現時点(2025年)では詳細未定のため、企業は最新情報のモニタリングが必要です。
- 調和規格(ハーモナイズドスタンダード)の整備状況: CRA要件に適合することを証明する一つの手段として、EN規格(欧州規格)やISO標準の活用が期待されています。現在、欧州標準化団体(CEN/CENELEC等)がCRA対応の新規格策定や既存規格改訂を進めており、2026~2027年頃に主要な調和規格が公表される予定です 。しかしそれらが間に合わない場合、各社は独自の解釈で要件適合を立証しなければならず、不確実性が残ります。
- リスク評価基準: 「適切なレベルのサイバーセキュリティ」とは具体的に何を指すかについて明確な数値基準は示されていません。メーカーは製品の性質・用途に応じてリスクを評価し対策深度を決める必要がありますが、その裁量の幅が広いため過不足の判断が難しい状況です。今後、業界ベストプラクティスや監督当局からの指針が示される可能性がありますが、それまでは慎重なリスクアセスメントと記録の徹底が求められます。
- 国境を越える適用範囲: CRAはEU域内市場に供給される製品が対象ですが、グローバルなサプライチェーンの中で境界は曖昧です。例えば、日本企業がインターネット経由で欧州の顧客にソフトウェアを配信する場合も「EU市場に提供」に該当し得ますし、逆にEU域内で組み立てた製品を第三国で販売するケースは対象外となります。この適用範囲の線引きについて細かなケースは未だ明確でなく、企業は**「EUで提供されるかどうか」**を基準に自己判断する必要があります。また、英国や米国などEU以外でも類似の製品サイバー規制が検討されており、将来的に各市場ごとの要件調整も課題となるでしょう。
- 監督と罰則の運用: CRA違反に対しては最大売上高の2~2.5%の制裁金など厳しい罰則規定が設けられています 。しかし各国当局がどの程度厳格に市場監視や執行を行うかは未知数です。市場監督官庁のリソースや執行指針が今後整備されていくため、初期段階では執行にばらつきが出る可能性もあります。メーカーとしては違反リスクを避けるためにも、自主的な適合性チェックと記録保持を確実に行うことが重要です。
以上のように、サイバーレジリエンス法を巡っては依然いくつかの不確定要素があります。日本企業としては欧州委員会や業界団体から発信される最新情報をウォッチしつつ、必要に応じて専門家の助言を仰ぎながら対応を進めることが望まれます。早めの準備と継続的な情報収集によって、不透明な点があっても柔軟に対処できる体制を整えておきましょう。
なお、本稿ではEUサイバーレジリエンス法の概要と影響を概観しましたが、実際の適合作業には個別ケースごとの検討が必要です。日本企業の欧州展開においては、同法への適合をリスクではなくチャンスと捉え、製品セキュリティ水準の底上げとブランド信頼性向上につなげる前向きな対応が求められます 。CRA施行まで残り僅かとなる中、ぜひ社内での意識啓発と具体的な準備行動を開始してください。
参考情報:
https://www.jetro.go.jp/biznews/2024/12/aa7bc2b5b206dc9d.html
https://www.fsi.co.jp/solution/cyber_resilience
https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act-factsheet
https://www.qt.io/cyber-resilience-act