EUサイバーレジリエンス法にどう備える？製造業が今動くべき理由

欧州連合（EU）はサイバーレジリエンス法（CRA／規則（EU）2024/2847）によって、サイバーセキュリティの常識を大きく塗り替えました。これは単なるコンプライアンス対応のチェックリストではありません。この法律は、デジタル製品のセキュリティに対する責任を製造者自身が担うことを義務づける強力な規制です。ルーターやスマートデバイス、自動車部品など、どのような製品を製造していても、この新しいルールは設計からテスト、そしてアフターサポートに至るまで、製品ライフサイクル全体の取り組み方を変えていくことになります。

サイバーレジリエンス法（CRA）について

サイバーレジリエンス法（CRA）は、EUにおいて初めて制定された、デジタル要素を持つすべての製品（PDE：Product with Digital Elements）―ハードウェア、ソフトウェア、そしてそのハイブリッド製品―を対象にした包括的なサイバーセキュリティ規制です。その目的はシンプルでありながら、欧州市場全体で共通した拘束力のあるセキュリティルールを統一するという非常に野心的なものです。

主なポイント：

• 採択：2024年10月
  
• 発効：2024年12月10日
  
• 全面適用開始：2027年12月11日
  
• 適用範囲：製造地に関わらず、EU市場で販売されるあらゆるデジタル製品
  
• 違反時の罰則：最大 1,500万ユーロ、または、世界年間売上高の2.5% のいずれか高い方

CRAでは、製品をそのリスクレベルに応じて「Default（一般製品）」「Important（重要製品）」「Critical（極めて重要製品）」に分類するリスクベースの仕組みが導入されます。ファイアウォール、オペレーティングシステム、スマートメーターといったリスクの高いカテゴリーには、より厳格な審査が課されます。さらに製造者は、CEマーキングを通じてコンプライアンスを証明することが必須となります。つまり、サイバーセキュリティは「後回し」ではなく、市場参入の前提条件へと変わったのです。

CRAが重要な理由

CRA が重要なのは、デジタルエコノミーにおける長年の課題を正面から解決しようとしているからです。これまで何年もの間、十分に安全性が確保されていない製品が市場に出回っていても、ほとんど責任は問われませんでした。その結果、セキュリティ問題の対応は消費者に押し付けられ、自分でパッチを当てたり、メーカーが対応しない場合にはリスクを抱えたまま使い続けるしかありませんでした。

CRAはこの責任を大きく転換します。法律によって、製造者は次のことを義務づけられるようになります。

• セキュア・バイ・デザイン、セキュア・バイ・デフォルトの製品を提供すること
  
• 適切な期間にわたり製品をサポートし、必要なアップデートを提供すること
  
• 脆弱性やインシデントに対して、透明性を持って対応すること

この変化は表面的なものではありません。サイバーセキュリティを「オプション」ではなく、ビジネスにおける織り込み済みのコストとして定着させるものです。さらに、すべてのベンダーに対して同じ基準を求めることで、公平な競争環境を生み出します。グローバルテック企業も小規模サプライヤーも、誰もが同じベースラインのセキュリティ基準を満たさなければなりません。

企業にとっては、消費者からの信頼の強化、システム全体のリスク低減、そしてEUルールに準拠することで世界規模での業務効率化につながります。消費者や社会にとっては、攻撃者に狙われる脆弱なポイントが減り、重要サービスのレジリエンスが高まるという大きなメリットをもたらします。

CRAによる影響

CRAはデジタル製品のサプライチェーン全体に影響を及ぼします。義務は製造者だけでなく、輸入業者や流通業者にも課され、コンプライアンスに対応する責任を共有することになります。

主なステークホルダー：

• 製造者は、製品ライフサイクル全体を通じて、CRAに準拠した設計・開発・維持管理を行う責任があります。
  
• 輸入業者は、EU市場に製品を投入する前に、その製品がCRAに準拠しているかを確認しなければなりません。
  
• 流通業者は、自ら販売する製品に CEマークが表示されており、CRAの文書要件を満たしていることを保証する義務があります。

自動車業界の企業が抱える独自のリスク：

• OEM（完成車メーカー）：多くの車両はすでにUNR 155の対象ですが、アフターマーケット部品や型式認証対象外のデジタル部品、充電インフラ、車載アプリがCRAの適用範囲に含まれます。
  
• ティア1・ティア2サプライヤー：車両に組み込まれたデジタル部品であっても、単体で出荷される場合はCRAの対象となる可能性があります。
  
• サービスプロバイダー：ナビゲーションシステム、充電プラットフォーム、コネクテッドアプリはデジタル製品とみなされ、CRAへの準拠が必要です。

実際には、車両型式認証に合格した後も、充電ステーションからモバイル連携アプリなどの周辺エコシステムまでがCRA義務の対象となることを意味します。

適用対象となる製品

CRAは、ほぼすべてのデジタル要素を持つ製品（PDE: Products with Digital Elements）に適用されます。対象にはコンシューマーエレクトロニクス、IoTデバイス、産業用コントローラー、スタンドアロンのソフトウェアまで含まれます。

主な対象例

• ハードウェア：スマートホーム機器、コネクテッド産業用コンポーネント
  
• ソフトウェア：オペレーティングシステム、セキュリティツール、モバイルアプリ
  
• ハイブリッドソリューション：クラウド接続され、製品機能に不可欠なコンポーネント

特に自動車分野では状況が複雑です。一般安全規則（GSR）においては型式認証を受けたコンポーネントは対象外となる場合もありますが、アフターマーケット部品、後付けモジュール、充電インフラ、アプリはCRAの適用範囲に含まれます。

CRAとNIS2の違い

CRAとNIS2指令は、EUのサイバーセキュリティ体制を支える補完的かつ独立した2本柱です。両者はともにレジリエンスの向上を目的としていますが、対象とするデジタルエコシステムの層が異なります。

• CRA：製品にフォーカスした規制
  
  • 対象：デジタル要素を持つ製品の製造者、輸入業者、流通業者
    
  • 目的：EUで販売されるハードウェアとソフトウェアがセキュア・バイ・デザインであり、ライフサイクル全般を通じて維持管理され、既知の脆弱性を含まないことを保証する
    
  • 例：欧州で販売されるルーターは、CEマークを取得する前に CRA の必須要件に準拠していなければならない
    
• NIS2：サービスにフォーカスした規制
  
  • 対象：重要サービス事業者（エネルギー、ヘルスケア、輸送、デジタルインフラ、クラウドなど）
    
  • 目的：組織のリスク管理、ガバナンス、インシデント対応プロセスの強化を求める
    
  • 例：エネルギー事業者は、自社のオペレーションをサイバー攻撃から守る義務があり、そのためにCRA準拠製品を利用する

つまり、CRAは「製品」に関する規制で、NIS2は「サービス」に関する規制といえます。この2つが相互に補強し合うことで、安全な製品と安全なサービスが連動し、ヨーロッパのデジタルエコノミーを保護する強固な規制の枠組みを形成します。

CRAに準拠する方法

CRA に準拠するために、製造者は製品ライフサイクル全体にサイバーセキュリティを組み込む体系的な義務を果たす必要があります。CRAは次の4つの柱に基づいています。

1. セキュリティ・バイ・デザイン& デフォルト
   製品はセキュアな設定で出荷されること、侵害の恐れのある既知の脆弱性を含まないこと、堅牢なアクセス制御を備えていることが必要です。
   
2. ライフサイクルサポート
   製造者は最低5年間のサポート期間を定義する義務があります （製品寿命が明らかに短い場合を除く）。
   
3. 脆弱性&インシデント報告
   
   • 協調的脆弱性開示（CVD）ポリシーを策定すること
     
   • リサーチャー対応のコンタクト窓口 を設置すること
     
   • 重大インシデントは 24時間以内にENISAおよび各国CSIRTへ通知し、72時間以内に詳細報告、14日以内に最終報告を提出すること
     
4. 技術文書& SBOM
   すべての製品にSPDXやCycloneDXなどの機械可読フォーマットを用いたソフトウェア部品表（SBOM） を添付し、サプライチェーン全体の透明性を確保する必要があります。

規制違反のリスク

CRA を無視するという選択肢はありません。違反に対するペナルティは非常に厳しいものです。

• 最大1,500万ユーロ、または世界年間売上高の2.5%の行政罰金
  
• CEマーキングの剥奪、つまり、EU市場での販売が不可能に
  
• 市場からのリコールや販売停止によるブランドイメージの毀損と顧客からの信頼喪失

自動車業界への影響

自動車業界はすでにUNR 155、ISO 21434、ASPICEといったフレームワークに対応しています。CRAはそれらを置き換えるものではなく、さらに上乗せされる規制です。

OEM・サプライヤーにとっての主な課題：

• 二重規制リスク：一部の車両カテゴリーは、専用規制が追いつくまでCRAの対象となる可能性がある。
  
• 市場投入プロセスのタイミング：車両に組み込まれた型式認証済みコンポーネントは対象外となり得るが、独立して出荷されるデジタル部品は対象外とはならない。
  
• 拡張するエコシステム：充電インフラ、ナビゲーションアプリ、コネクテッドサービスはCRAの規制対象に含まれる。

つまり、自動車業界のプレーヤーは「車両」だけでなく、エコシステム全体を管理・監視する必要があるのです。

監査の負担を軽減する方法

規格の共通点に着目すれば、プロセスを効率化し、文書を再利用するなど、コンプライアンス対応の負担を軽減できます。

( チェックマークは全面的な適用を示し、テキストでの説明は追加要件や手続きの詳細を含む適用を示します。)

実践的なアクションリスト

1. ポートフォリオをマッピングする
   自社製品の中でCRAの適用範囲に入るものを特定し、リスクカテゴリー（一般製品、重要製品、極めて重要製品）を割り当てる。
   
2. ギャップ分析とアラインメントを行う
   現在のサイバーセキュリティ対策をCRA Annex Iの要件と比較し、成果物を整合させ、アセスメントに統合する。
   
3. セキュア開発ライフサイクル（SSDLC）の導入
   脅威モデリング、セキュアコーディング、脆弱性スキャンを各開発フェーズに組み込む。
   
4. SBOM生成の自動化
   CI/CDパイプラインにSBOM生成を統合し、リリースごとの正確性を確保する。
   
5. インシデント対応プロトコルの確立
   24時間以内の報告義務を満たせるよう、対応プレイブックを策定する。

今、行動すべき理由

CRAは単なるEU法規制ではなく、グローバルなベンチマークです。EU市場の規模を考えれば、世界中の製造業者がこの基準を採用することになると思われます。先手を打つ企業は、罰則を回避するだけではありません。CE準拠によって品質を示し、信頼を獲得し、業界リーダーとしての地位を確立することができます。

サイバーセキュリティはもはや「オプション」ではありません。CRAの適用下では、それはビジネスを行うためのコストです。

私たちPlaxidityXは、CRAのような複雑な規制を実行可能な戦略へと変換するために、業界の企業と緊密に連携しています。コンプライアンス対応、リスクアセスメント、セキュア開発プロセスの導入に関するガイダンスをお探しであれば、ぜひご相談ください。製品からサプライチェーン全体について、レジリエンスを高め、信頼を維持するためのサポートを提供いたします。