EU CRA対応ガイド：自動車メーカーが押さえるべき必須要件と対策

要約

欧州連合（EU）で自動車を販売するメーカーにとって、サイバーセキュリティ規制は大きな転換点を迎えています。EUで採択された「Cyber Resilience Act（CRA）」により、これまでの自主的なガイドライン中心の考え方から、“Products with Digital Elements（PDE：デジタル要素を持つ製品）”に対する法的拘束力のあるサイバーセキュリティ要件へと移行しました。この法規制は、EU市場への参入条件そのものを大きく変えるものです。CRAの適用対象となる車両やコンポーネントは、CRAへの適合が確認できなければ、EU加盟国で販売することができません。

本記事では、自動車OEMおよびTier1・Tier2サプライヤーを対象に、CRAの要求事項、その適用開始時期、そしてどの企業・製品が対象となるのかを分かりやすく解説します。さらに、CRAに準拠しない場合に想定される財務的・事業的なリスクについても取り上げるほか、コンプライアンス対応に伴う技術的課題への対策として注目される新たなソリューションについても紹介します。具体的には、「Unified Vehicle Detection & Response（VDR、統合型車両検知・対応ソリューション）」や「Automated Security Design（セキュリティ設計の自動化） 」といった技術が、自動車メーカーやサプライヤーのCRA対応をどのように支援できるのかについて解説していきます。

CRAが自動車業界に与える影響

CRAは、ハードウェアおよびソフトウェア製品のライフサイクル全体にわたって、サイバーセキュリティ要件を義務化する初のEU全域規制です。その適用範囲は非常に広く、ネットワークまたは他のデバイスに接続可能な「デジタル要素を持つ製品」全般が対象となります。

ただし、自動車業界におけるCRAの適用は一律ではなく、車両カテゴリーや既存規制の適用状況によって扱いが異なります。

UNR155適用車両は原則としてCRA適用除外
重要なポイントとして、UNR155（サイバーセキュリティマネジメントシステム）の型式認証要件がすでに適用されている車両については、原則としてCRAの適用対象外となります。これには主に以下の車両カテゴリーが含まれます。

• Category M：乗用車
• Category N：貨物車両
• Category L：二輪・三輪車およびクワッド
• Category O：トレーラー

これらの車両は、すでにUNR155によるサイバーセキュリティ要求への対応が義務化されているため、CRAとの重複規制を避ける形となっています。

CRAが適用対象の車両カテゴリー（T/C/R/S）
一方で、UNR155の義務適用範囲外となる車両カテゴリーについては、CRAが直接適用されます。具体的には以下のカテゴリーが該当します。

• Category T：ホイール式トラクター
• Category C：クローラ式トラクター
• Category R：農業用トレーラー
• Category S：交換式被牽引機器

これらの車両を製造するメーカーにとって、CRAは新たなサイバーセキュリティ基準となります。

CRA対応のタイムラインは目前に迫っている

CRAへの対応は未来の課題ではありません。CRAの全面適用は、施行から36か月後となる2027年後半が予定されていますが、実際にはそれ以前から重要な対応義務が段階的に始まります。たとえば2026年9月以降、メーカーには、デジタル要素を持つ製品（PDE）に影響を及ぼす重大インシデントや、実際に悪用されている脆弱性について、EU当局、つまりENISA（欧州連合サイバーセキュリティ機関）および国家CSIRT（Computer Security Incident Response Team）へ報告できる体制を整備しておくことが求められます。特に重要なのは、その報告期限が非常に短い点です。ケースによっては、インシデント検知から24時間以内の報告が求められる場合もあります。

CRA非準拠による財務リスク

CRAによってもたらされる最も大きな変化のひとつは、サイバーセキュリティ対応が「推奨されるベストプラクティス」から「法的・財務的責任」へと変わる点です。CRAでは、規制要件に準拠していない企業に対して、監督当局が高額な行政制裁金を科す権限を持ちます。違反内容に応じて主に以下の3段階の罰則が定められています。

高水準の制裁（必須要件への非準拠）

CRAで定められた必須サイバーセキュリティ要件を満たしていない場合、最大1,500万ユーロまたは全世界年間売上高の2.5%のいずれか高い方を上限として制裁金が科される可能性があります。

中水準の制裁（報告義務違反）

インシデントや脆弱性に関する報告義務を果たさなかった場合、最大1,000万ユーロまたは全世界年間売上高の2%のいずれか高い方を上限として罰則が適用されます。

低水準の制裁（不正確な情報提供）

市場監視当局に対して、不正確または誤解を招く情報を提供した場合には、最大500万ユーロまたは全世界年間売上高の1%のいずれか高い方を上限とする制裁金が科される可能性があります。

技術的な課題：CRAの必須要件をどのように満たすか

こうした制裁リスクを回避するためには、メーカーが自社製品について、CRAのAnnex I（附属書I）で定義される「必須サイバーセキュリティ要件」を満たしていることを証明する必要があります。これらの要求事項は、大きく3つの重要な柱に分類されます。

1. サイバーセキュリティリスク評価

メーカーは、製品を市場投入する前に、包括的なサイバーセキュリティリスク評価を実施し、その内容を文書化する必要があります。このリスク評価を基盤として、保護すべき重要資産を特定し、想定される脅威やリスクを分析した上で、必要なセキュリティ対策を定義していきます。自動車業界においては、これはTARA（脅威分析とリスク評価）やシステムレベルの脅威分析プロセスとも密接に関係しています。

2. セキュア・バイ・デザイン（設計段階からのセキュリティ確保）

CRAでは、セキュリティを開発後に追加するのではなく、設計段階から組み込む「セキュア・バイ・デザイン」の考え方が求められます。製品はリスク評価結果に基づいて設計される必要があり、「セキュア・バイ・デフォルト（初期設定状態から安全）」な状態で提供されること、既知の悪用可能な脆弱性を含まないこと、さらに攻撃対象領域を最小化していることが求められます。これは、車載ECUやソフトウェアアーキテクチャの初期設計段階から、セキュリティ設計を統合していく必要があることを意味します。

3. 脆弱性管理とSBOM対応

CRAでは、製品リリース後の脆弱性対応体制についても厳格な要件が定められています。メーカーは、協調的脆弱性開示（Coordinated Vulnerability Disclosure：CVD）のためのポリシーを整備しなければなりません。その中でも特に重要となるのが、SBOMの管理です。メーカーには、自社開発ソフトウェアに加え、サードパーティ製コンポーネントやオープンソースライブラリを含むすべてのソフトウェアコンポーネントを継続的に把握・管理することが求められます。これにより、脆弱性が発見された際にも影響範囲を迅速に特定し、必要な修正対応を行える体制を維持する必要があります。なおCRAでは、製品サポート期間中、最低5年間にわたる継続的な脆弱性対応が求められています。

CRA対応に求められる次世代のセキュリティアプローチ

CRAの厳格な要件に対応するためには、個別のセキュリティツールを導入するだけでは不十分です。求められるのは、製品ライフサイクル全体を通じてサイバーセキュリティを組み込んだ、包括的かつ統合型のセキュリティアーキテクチャです。CRA準拠を実現するため、自動車メーカーには、開発初期段階から運用フェーズまで一貫してサイバーセキュリティを組み込む高度なアプローチが求められています。

1. インテリジェントなエッジ処理と検知による高精度な報告対応

CRAでは、インシデント報告に関して厳格な義務が課されます。メーカーは、24時間以内という短期間でインシデントを報告しなければならない一方で、不正確な報告（例えば誤検知）についても罰則対象となる可能性があります。

この課題に対して有効なのが、インテリジェントなVehicle Detection & Response（VDR）プラットフォームです。特に以下の機能が重要となります。

ノイズ抑制:

大量のアラートノイズをフィルタリングし、車両側（エッジ）で検知ロジックを実行することで、信頼性の高いインシデントのみを報告対象として抽出します。これにより、不要な誤検知を抑えながら、迅速な報告義務への対応が可能になります。

エンドツーエンドの可視化:

CAN、Ethernet、Hostなど複数レイヤーのデータを統合・相関分析し、セキュリティインシデントを単一のビューで可視化します。これにより、車両全体を横断した脅威分析と迅速な状況把握が可能になります。

フォレンジック対応:

規制当局への説明や根本原因分析に必要となる高精度な証跡データ（例：pcapログ）をオンデマンドで取得できる体制も重要です。

2. Secure by Designとリスク評価の自動化

CRAでは、製品を開発初期段階から安全に設計する「Secure by Design」が強く求められます。この「シフト・レフト・セキュリティ」アプローチでは、開発の早い段階からセキュリティ対策と自動化プロセスを組み込む必要があります。

リスク評価の自動化:

CRA対応では、TARA（脅威分析とリスク評価）の自動化も重要な要素となります。設計段階で保護対象となる資産や想定される攻撃経路を特定することで、製品に必要なセキュリティ制御を早い段階から組み込むことが可能になります。これにより、開発後半での手戻りを抑えながら、より効率的かつ一貫性のあるセキュリティ設計を実現できます。

SW Supply Chain Security（SSCS）:

CRAでは、サードパーティ製コンポーネントを含むソフトウェアサプライチェーン全体の脆弱性管理も求められます。そのためメーカーには、SBOMを自動生成・継続監視できる仕組みが必要になります。これにより、サブコンポーネントで新たな脆弱性が発見された場合でも、どの車両やソフトウェアに影響が及ぶのかを迅速に把握し、必要な対策へ素早くつなげることが可能になります。

今こそ行動を起こすべき時

CRAの施行により、自動車メーカーやサプライヤーに求められるサイバーセキュリティ対応の範囲は大きく拡大しています。サイバーセキュリティはもはやEU市場で製品を販売するための基本要件となりつつあります。特に、UNR155の適用対象外である農業用車両や特殊車両（Category T、C、R、S）のメーカーにとって、CRAは極めて大きな変化を意味します。対応が不十分な場合には、制裁金だけでなく、市場投入の遅延、販売停止、ブランド毀損といった深刻な事業リスクにつながる可能性があります。

こうした変化に対応するためには、従来の手作業中心のコンプライアンス対応から脱却し、開発から運用までを見据えた統合型のセキュリティアプローチへ移行することが重要です。たとえば、Vehicle Detection & Response（VDR）プラットフォームによる高精度なインシデント検知・報告や、SBOM管理と脆弱性対応を効率化する自動化されたセキュリティ設計は、CRA対応を進める上で有効な手段となります。

PlaxidityXでは、グローバル自動車メーカーとの取り組みを通じて培った知見をもとに、CRAのような複雑な規制要件を実践的なセキュリティ戦略へと落とし込む支援を行っています。CRA対応やリスク評価、Secure by Designの実践について詳しく知りたい方は、ぜひお気軽にお問い合わせください。