サイバーレジリエンス法（CRA）の基本概要

CRAとは？

サイバーレジリエンス法（CRA）は、デジタルコンポーネントを含む製品のサイバーセキュリティ基準を強化し、製造業者および小売業者が製品ライフサイクル全体を通じてサイバーセキュリティを確保することを義務付ける EU初の包括的規制です。
この法律は、IoTデバイス製造業者、ソフトウェア開発者、輸入業者、販売業者がEU市場で事業を展開する際に準拠すべき要件を明確に定めています。

この法律の目的は、大きく分けて2つあります。

1. メーカーの責任強化: 製品の設計段階からセキュリティを組み込む「セキュリティ・バイ・デザイン」を義務付け、製品ライフサイクル全体にわたるセキュリティ確保をメーカーに求めます。
2. 透明性の向上: ユーザーが製品のセキュリティレベルを理解し、安全な製品を選べるようにします。

もし、この規制に対応できなければ、最大で全世界の年間売上高の2.5%または1,500万ユーロ（いずれか高い方）という巨額の制裁金が科される可能性があります。これは、もはや「知らなかった」では済まされない、事業継続に直結する重要な課題なのです。

サイバーレジリエンス法は2024年12月10日に施行され、法律で導入される主要な義務は2027年12月11日から適用されますので、それまでには対応をしなければなりません。

なぜCRAが導入されたのか？

CRA導入の背景には、深刻なサイバーセキュリティ課題があります。
これまで、スマート家電や産業用IoT機器などのセキュリティ対策は、各メーカーの自主的な努力に委ねられてきました。その結果、脆弱性を抱えた製品が市場にあふれ、サイバー攻撃による被害が後を絶たない状況が生まれていました。

欧州の組織は世界で最も多くのサイバー攻撃の標的となっており、攻撃による被害は2025年までに10.5兆ドルに達すると予測され、毎年15%ずつ増加しているという厳しい現実があります。

さらに、2030年までにIoTデバイスは302億台に達し、現在の145億台から108%増加する見込みです。このような急激な成長に対し、セキュリティが追いついていない状況を改善するため、CRAが制定されました。

CRAの適用対象製品と除外項目

適用対象となる製品

EU市場で販売される「デジタル要素」を含むすべての製品は、CRAの基本要件を満たす必要があります。これには低コストの消費者製品からB2Bソフトウェア、複雑な高級産業システムまでが含まれます。具体的な対象製品には以下が含まれます。

ハードウェア製品

• スマートフォン、ノートパソコン
• スマートホーム製品、スマートウォッチ、ネットワークカメラ
• インターネット接続玩具
• マイクロプロセッサ、ファイアウォール、スマートメーター

ソフトウェア製品

• 会計ソフトウェア
• コンピューターゲーム
• モバイルアプリケーション

適用除外項目

重要な除外項目として、非商用オープンソースソフトウェア製品はCRAから除外されており、要件を満たす必要がありません。

また、医療機器、航空、自動車など既存の規則でカバーされている特定の製品やサービスも除外対象となります。

【具体例】あなたの会社が今すぐ始めるべき3つの必須対応

では、CRAに準拠するためには、具体的にどのような準備が必要なのでしょうか。ここでは、すべての企業が取り組むべき3つの必須対応を解説します。

対応1：自社製品が「規制対象か」を正確に把握する

まず、自社が扱う製品がCRAの対象となるかを明確にしなければなりません。CRAは「デジタル要素を持つ製品」を幅広く対象としています。

先ほど適用対象製品と除外項目についてご紹介しましたが、専門家の助言も得ながら正確に判断することが、対策の第一歩となります。

対応2：「セキュリティ・バイ・デザイン」体制を構築する

CRAは、製品が市場に出た後ではなく、企画・開発の初期段階からセキュリティを組み込む「セキュリティ・バイ・デザイン」を求めています。

• リスクアセスメントの実施: 製品に潜むセキュリティリスクを洗い出し、評価する。
• SBOM（ソフトウェア部品表）の作成・管理: 製品に使用しているソフトウェアコンポーネントをリスト化し、脆弱性情報を追跡できるようにする。
  ※SBOMの作成を義務付けていますが、公開は必須ではありません。
• セキュアなデフォルト設定: 製品出荷時の設定を、最も安全な状態にしておく。
• 脆弱性ハンドリングプロセスの確立: ユーザーや研究者から脆弱性報告を受け付け、迅速に対応・修正する体制を整える。

これは、開発部門だけでなく、企画、品質保証、法務など、全社を巻き込んだ体制構築が必要です。

この「セキュリティ・バイ・デザイン」の概念に基づくと、具体的には以下のような要素が求められます。

• 製品で保存または送信されるデータの暗号化
• 攻撃対象領域の最小化
• 弱いデフォルトパスワードの禁止
• 自動セキュリティアップデートの実装

対応3：CEマーキングと継続的な脆弱性管理の準備

CRAに準拠していることを示すため、製品にはCEマークの表示が義務付けられます。CEマークは、製品がEUの安全基準を満たしていることを示す証であり、今後はサイバーセキュリティ要件もその一部となります。

さらに重要なのは、製品を市場に出した後もメーカーの責任は続くという点です。以下に販売後の義務をご紹介します。

• 継続的な脆弱性監視: 自社製品や、製品に含まれるオープンソースソフトウェアなどの脆弱性を常に監視する。
• セキュリティアップデートの提供: 脆弱性が発見された場合、速やかに修正パッチを提供し、ユーザーに通知する。このサポート期間は原則として5年間であり、製造業者はサポート終了日、つまりセキュリティアップデートを提供する義務がある日付を明確に記載する必要があります。
• 重大な脆弱性の報告: 悪用が確認された脆弱性などの深刻なセキュリティインシデントは、発見から72時間以内にEUの担当機関へ報告する義務があり、24時間以内には早期警告を発する必要があります。

これにより、消費者はCEマーキングを通じて製品のサイバーセキュリティレベルを判断できるようになり、購入後もセキュリティ対策がしやすくなります。

まとめ：CRA対応は待ったなし！今すぐ準備を始めて競争優位性も確保

サイバーレジリエンス法（CRA）は、食品ならぬデジタル製品の「成分表示」と「保証期間」を義務付けるようなもので、EU市場でビジネスを行う企業にとって避けては通れない、新しい常識となります。法律の完全適用は2027年12月からですが、脆弱性の報告義務はそれよりも早く2026年後半から開始される見込みです。

製品の開発サイクルを考慮すると、残された時間は決して長くありません。

「自社製品は対象か？」「何から手をつけるべきか？」という段階から、いち早く具体的なアクションに移ることが、将来のビジネスリスクを回避し、競争優位性を築くための鍵となります。まずは社内で担当チームを立ち上げ、情報収集と準備計画の策定から始めてみてはいかがでしょうか。

また日本では、2025年3月から「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」が開始されており、IoT製品ベンダーが本制度を活用することで、適切なセキュリティ対策をアピールし、製品価値向上につながります。本制度も同時にチェックすることをオススメします。

---

参考・出典

本記事は、以下の資料を基に作成しました。

• European Commission（ https://commission.europa.eu/index_en）：Cyber Resilience Act（アクセス日：2025年07月24日）
  https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
• The Cyber Resilience Act（アクセス日：2025年07月24日）
  https://www.cyberresilienceact.eu/
• Federal Office for Information Security（https://www.bsi.bund.de/EN/Home/home_node.html）：Cloud LendingとSalesforceにより実現する融資DX（アクセス日：2025年07月15日）
  https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html

---

AI利用について

本記事はAIツールの支援を受けて作成されております。 内容は人間によって確認および編集しておりますが、詳細につきましてはこちらをご確認ください。