CRAとは何か:EUが製品セキュリティを“努力義務”から“法的義務”へ引き上げた
欧州サイバーレジリエンス法(Cyber Resilience Act:CRA)は、EU域内で流通する「デジタル要素を含む製品(product with digital elements)」に対し、セキュリティ要件と脆弱性対応を法的に義務付ける枠組みです。これまでのように“ベストプラクティスに従う”では足りず、設計・開発・販売・運用・サポートの各局面に、セキュリティの説明責任(accountability)を伴うことが最大の転換点です。
多くの企業はCRAを「EU向け製品だけの規制」と捉えがちですが、実務上はそう単純ではありません。EU域内に出荷される完成品だけでなく、その製品に組み込まれるソフトウェア部品、OSS、クラウド連携機能、アップデート機構などが連鎖的に影響を受けます。サプライチェーン全体で「規制に耐えるセキュリティの証拠」が求められるため、EUに直接販売しない企業でも、取引先からCRA準拠の要求が降ってくる可能性が高いです。
なぜ「2026年の最重要事案」になり得るのか
CRAが“衝撃”とされる理由は、技術論ではなく経営論としてのインパクトが大きい点にあります。従来、製品セキュリティは品質活動の一部として扱われ、「事故が起きない限り投資が評価されにくい」領域でした。ところがCRAにより、セキュリティ要件は法規制として明文化され、違反時のリスクはリコール・販売停止・罰則・ブランド毀損など、経営に直結する形で顕在化します。
さらに、CRAが焦点を当てるのは“侵入されないこと”だけではありません。脆弱性の報告を受けてからのトリアージ、修正、配布、ユーザーへの通知、継続的なアップデート提供といった、運用を含むレジリエンス(回復力)そのものが評価対象となります。つまり、製品を売った後も「安全に保ち続ける能力」が競争力であり、同時に法令順守の要件になります。
CRAが求める本質:セキュア開発と脆弱性対応を“プロセスとして”証明する
CRAの本質は、個々の脆弱性を潰すこと以上に、再現性あるプロセスの確立にあります。代表的な論点は次の通りです。
セキュリティ・バイ・デザイン/デフォルト
初期設計段階から脅威分析を行い、必要な保護機能(認証、暗号、アクセス制御、ログ、セキュアブート、改ざん耐性など)を組み込むことが求められます。さらに「初期状態で安全」であることが重要で、デフォルトパスワードの放置や不必要なサービスの有効化など、従来“現場運用でカバー”されがちだった課題は許容されにくくなります。
SBOMとソフトウェアサプライチェーン管理
OSSやサードパーティライブラリを含む構成管理が前提になります。SBOM(Software Bill of Materials:ソフトウェア部品表)は、単に提出すればよい書類ではなく、「脆弱性が見つかったときに影響範囲を即時特定し、修正を配布できる」体制の根拠として機能します。依存関係の深い製品ほど、SBOMの整備が遅れると脆弱性対応の速度で競争に負けます。
脆弱性開示とインシデント対応の制度化
PSIRT(Product Security Incident Response Team)の設置や、外部研究者からの報告を受け付ける窓口、CVD(Coordinated Vulnerability Disclosure)の手順化が重要になります。脆弱性を“隠す”のではなく、適切に扱い、ユーザーを守る行動を継続できるかが問われます。
アップデート提供とサポート期間の現実化
製品が利用され続ける期間、セキュリティ更新を提供できるかは、事業計画・原価設計・保守体制に直結します。特に産業機器やIoT、組み込み機器はライフサイクルが長く、従来の短期サポート前提の開発体制では破綻しやすいです。CRAは「売り切り」モデルの見直しを迫る側面があります。
日本企業への影響:製造業・IoT・組み込みが直撃する
日本の強みである製造業は、制御系機器、センサー、ゲートウェイ、ロボット、医療・ヘルスケア機器、車載・モビリティ周辺など、デジタル要素を含む製品の比率が高いです。CRAの射程は広く、製品の“IT化”が進むほど対象は拡大します。
加えて、日本企業が直面しやすい実務課題は3つあります。
サプライヤーとしての説明責任
完成品メーカー(OEM)がCRA対応を進めると、部品・ソフトウェア提供企業に対してSBOM、脆弱性対応SLA、セキュア開発プロセスの証跡提出などが要求されます。つまり、下請け・協力会社であっても“準拠能力”が取引条件になり得ます。
レガシー資産の棚卸し
既存製品のコード、ビルド手順、依存ライブラリ、鍵管理、署名基盤などが属人化している場合、CRA対応は一気に難易度が上がります。まず「何が入っているか分からない」状態を解消しなければ、脆弱性が出た時に影響評価も修正もできません。
OT(Operational Technology)とITのギャップ
工場・設備・現場端末では、停止できない・更新できない・ネットワーク分離で守る、といった文化が根強いです。しかしCRAが要求するのは、現実的な運用制約を踏まえつつも、更新可能性・復旧手段・最小権限などを設計に落とし込むことです。OTの常識とITの常識を橋渡しする体制が不可欠になります。
今から始める実務ロードマップ:準拠を“コスト”で終わらせず“価値”に変える
CRA対応は、法令チェックリストを埋める作業ではありません。製品セキュリティを継続運用できる組織能力の構築です。現時点から現実的に着手できるポイントを整理します。
対象製品のスコーピングとリスク分類
「デジタル要素を含む製品」を棚卸しし、ネットワーク接続性、更新機構、利用環境、想定脅威、ユーザー層を踏まえて優先順位を付けます。全製品を一律に強化するのではなく、影響の大きい領域から先に体制を作ることが現実的です。
SBOM整備と依存関係の可視化を“自動化”する
CI/CDやビルド工程にSBOM生成、署名、成果物の追跡(traceability)を組み込み、手作業を減らします。SBOMは“提出物”ではなく“運用資産”であり、脆弱性情報と突合して初めて価値を持ちます。
PSIRTとCVDの運用設計
受付窓口、初動判断、修正優先度、パッチ提供、顧客通知、再発防止を定義します。重要なのは「誰が責任者か」「休日・夜間はどうするか」「顧客対応と法務・広報はどう連携するか」まで具体化することです。
アップデート戦略の再設計
差分更新、ロールバック、署名検証、鍵ローテーション、長期サポート、EOL(End of Life)ポリシーを整備し、販売・保守契約にも反映します。ここが曖昧なままでは、脆弱性対応を続けるほど赤字になる構造に陥りやすいです。
CRAは“欧州だけの話”ではない:グローバル規制の収斂が起きる
近年、製品セキュリティは各国で規制・認証・調達要件として強化されています。CRAはEU市場の大きさゆえに事実上の国際標準になりやすく、調達側(大企業・政府・重要インフラ)が要求する基準も引き上げられる可能性が高いです。
日本企業にとって重要なのは、CRA対応を“追加コスト”として最小化する発想から、製品の信頼性と輸出競争力を高める投資として位置付け直すことです。セキュリティは品質と同じく、後工程での対処ほど高くつきます。設計段階で組み込み、運用で回し、証拠を残す——このサイクルを回せる企業が、次の市場で選ばれます。
まとめ:2026年に慌てないために、今“証明できるセキュリティ”へ転換する
CRAは、製品セキュリティを「実装」から「継続運用と説明責任」へ進化させる規制です。EU向けの特別対応として後付けするのではなく、開発・調達・保守・法務・営業までを含む横断的な仕組みとして作り直す必要があります。SBOM、PSIRT、セキュア開発、更新戦略、サプライチェーン管理を一体化し、監査や顧客要求に耐える形で“証拠”を積み上げることが、最大の近道になります。
参照リンク
2026年の最重要事案かもしれない「欧州サイバーレジリエンス法(CRA)」の衝撃 – MONOist
欧州サイバーレジリエンス法(EU CRA)~製造業が今すぐに取り組むべきポイントとは~ – PwC
EUサイバーレジリエンス法(CRA) – Qt
EUサイバーレジリエンス法(Cyber Resilience Act) – TMI総合法律事務所
EUサイバーレジリエンス法(CRA)の理解とルネサスの取り組み – ルネサスエレクトロニクス