CRA対応を
Secomeaが支援する
EUサイバーレジリエンス法(CRA)が製品メーカーに課すセキュリティ要件。製品クラス分類、適合性評価・CE・SBOM・脆弱性報告・サポート期間、IEC 62443との関係、Secomeaの責任分担まで解説します。
なぜ EU 輸出メーカーに関係するのか
CRA は、製品が 「市場に出られるか」を決める。
EU に製品を出すなら、製造地を問わず適用される。非適合は、EU 市場での販売不可——CE マークが取れないことを意味する。
= 販売不可
論点は「いつか対応」ではない。
「2027年12月までに間に合うか」だ。
規制の概要
EUサイバーレジリエンス法(CRA)とは
CRA(規則 EU 2024/2847)は、デジタル要素を持つ製品(PDE:Product with Digital Elements)のサイバーセキュリティを市場投入の条件として義務化するEU規則です。ソフトウェアやハードウェア製品、およびその遠隔データ処理ソリューションが対象となります。
CRAはRegulation(規則)のため、NIS2指令(Directive)と異なり、EU各国の国内法転置を待たず直接適用されます。EU市場に製品を「入手可能な状態に置く」ことがトリガーとなります。
対象はEU向けに接続機能を持つ機械・装置を出す日本メーカー(OEM)および EU顧客向け部品供給者です。日本国内のみで完結する製品は直接対象外ですが、EU向け輸出品・EU企業へのサプライチェーン供給があれば適用を検討する必要があります。
CRAが適用されるケース
製造地や企業本社の所在地を問わず、EUに製品を出す限り適用されます。
製品の分類
対象製品と製品クラス(Class I / Class II)
CRAの対象は「デジタル要素を持つ製品(PDE)」です。多くの製品はデフォルトで自己適合宣言(non-critical)が可能ですが、重要性が高い製品はAnnex IIIに列挙された「重要製品」として、Class IまたはClass IIに分類されます。
⚠ 製品クラスの断定に注意:「セキュアリモートアクセス製品=自動的にClass II」等の断定はできません。製品クラスはcore functionality(主要機能:VPN・IAM・ネットワーク管理・ファイアウォールのどれが主たる機能か)と製品単位で判定されます。クラスが上がるほど適合性評価の要件が厳格になります。自社製品の分類については専門家への確認を推奨します。
Secomeaは、OTセキュアリモートアクセスのコンポーネントサプライヤとして、装置メーカーが自社製品のCRA適合を証明するための技術的土台を提供します。
Secomea製品を組み込む装置メーカーは、Secomeaの4-1認証・4-2準拠の証跡を、自社最終製品のCRA技術文書・適合性評価に活用できます。
義務の全体像
CRAが製品メーカーに課す主要義務
CRAはデジタル要素を持つ製品の設計・開発・運用にわたって包括的な義務を課します。主要な義務は次の4分野に整理できます。
適合性評価・CE マーキング・技術文書(Article 32/Annex VIII)
CRAが要求するセキュリティ要件(Annex I)を満たすことを適合性評価で示し、CEマーキングを付してEU適合宣言(DoC)を発行します。これは最終製品のmanufacturer(製造者)の義務です。
- ・非重要製品(non-critical):自己適合宣言が可能
- ・Class I(重要製品):調和規格不使用の場合は第三者機関(notified body)の関与が必要
- ・Class II(最高重要度):常にnotified bodyによる第三者評価が必要
脆弱性ハンドリング・サポート期間(Article 13)
製品の生涯にわたるセキュリティアップデートと脆弱性対応を義務付けます。
- ・サポート期間:原則として製品リリースから最低5年(製品の想定使用期間がそれより短い場合を除く)。OT製品は長寿命のため長期対応が求められる
- ・PSIRT体制:脆弱性情報の受付・評価・対応・開示プロセスの整備
- ・コーディネーション:サードパーティコンポーネントの脆弱性管理も含む
SBOM(ソフトウェア部品表)の整備(Annex II / VII)
製品に含まれるソフトウェアコンポーネントの一覧(SBOM)を整備します。
- ・義務の内容:技術文書の一部として整備・当局からの要求時に提出できる状態を維持
- ・「全顧客への全面公開」は誤り:統合者・OEMへの情報提供(Annex II)と当局要求時開示が想定される文脈。プロプライエタリ情報の保護は可能
- ・Security by default:初期設定でセキュリティが有効な状態で出荷することも義務
脆弱性・重大インシデントの報告義務(Article 14)
2026年9月11日から開始される報告義務。脆弱性の悪用や重大インシデントは、ENISAの単一報告プラットフォームへの報告が義務付けられます。
CRAの4つの義務分野において、Secomeaはコンポーネントサプライヤとして以下を提供します:
- 適合性評価の根拠 — 4-1認証(TÜV)・4-2準拠の第三者監査報告書・技術仕様書の提供
- 脆弱性ハンドリング — CNA認定による透明な脆弱性管理プロセス・継続的ファームウェアアップデート
- 報告義務の基盤 — 監査ログ・セッション録画が脆弱性悪用・インシデント検知の証跡として機能
技術的土台
CRA × IEC 62443:最強の土台、ただし「土台だけでは完結しない」
IEC 62443はCRA Annex I(セキュリティ要件)の多くをカバーする最強の技術的土台です。しかし「IEC 62443に準拠すればCRA対応完了」ではありません。
62443がカバーする領域
- •IEC 62443-4-1(セキュアな製品開発ライフサイクル)→ CRA Annex I Part II 脆弱性ハンドリング要件をカバー
- •IEC 62443-4-2(コンポーネント技術セキュリティ要件)→ CRA Annex I Part I の機能セキュリティ要件を広くカバー
- •Secomea 4-1認証(TÜV)・4-2準拠(第三者監査)はCRA技術文書・適合性評価の有力な証拠
62443だけでは完結しないCRA固有義務
- •報告義務(24h/72h/14日)→ ENISAへの実際の報告実行・体制構築
- •EU適合宣言(DoC)・CEマーキング → 最終製品manufacturerが実施する法的手続き
- •SBOM整備・管理 → 最終製品での統合・更新・開示管理
- •最低5年サポート期間 → 製品全体としての脆弱性ハンドリング継続
調和規格の整備状況(2026年6月時点):CRAの調和規格(Harmonised Standards)はM/606マンデートのもとで作業中です。EN IEC 62443-4-2 A11:2026の改訂が進んでいますが、2026年6月時点でOJEU(EU官報)掲載済みのCRA調和規格は確認されていません。調和規格が掲載されると適合性推定が発生し、適合性評価の道筋が明確になります。
着地点:「Secomeaは4-1認証・4-2準拠により、装置メーカーのCRA適合で求められる証跡整備を支援します。」これが現時点での正確な表現です。「CRA認証取得」とは言いません。
IEC 62443-4-1認証取得(TÜV)とIEC 62443-4-2の第三者監査による準拠実証は、Secomea製品を組み込む装置メーカーがCRA適合性評価を行う際の最強の土台となります。
Secomeaの支援
CRA義務 ── どこまでが Secomea、どこからが 装置メーカー(製造者)か
CRAの義務主体は最終製品を市場に出す「manufacturer(製造者)」=装置メーカーです。Secomeaはコンポーネントサプライヤとして、装置メーカーが最終製品のCRA義務を果たすための技術的土台を提供します。
下表はCRA義務レベルの分界です。CE・EU適合宣言・最終製品の製造者責任は、製品を市場に出す装置メーカーに固定されます。Secomeaはコンポーネント供給者として証跡を連結します。
→ より詳細な線引き(IEC 62443に基づくFR別 責任分担モデル)を見る責任分界表に示した機能・証跡はSecomea Primeプラットフォームで提供されています。
自社製品のCRA対応で必要な技術的証跡の整備について、具体的な検討を始めるにはお問い合わせください。
CRA 固有の論点
CRA × EU 機械規則:二重対応が必要
EUへ機械・装置を輸出する装置メーカーは、CRAに加えてEU機械規則(規則2023/1230)も考慮する必要があります。「CRAで機械規則のサイバー要件も一本化される」という誤解に注意してください。
EU機械規則 2023/1230
機械・装置の安全性に関するEU規則。2027年1月20日から適用。
- •Annex III 1.1.9「Protection against corruption」がサイバーセキュリティ要件を含む
- •機械の安全機能・制御システムへの不正アクセス・改ざんを防ぐための対策を要求
- •CE マーキングの取得は機械規則との適合も前提
二重対応が必要な理由
CRAと機械規則は互いに排他的ではなく、それぞれ独立したEU法令として両方に適合する必要があります。
- •CRAは製品のサイバーセキュリティに特化した横断的規則
- •機械規則は機械・装置の総合的な安全性を規定(サイバー要件はその一部)
- •⚠ 「CRAで機械規則のサイバー要件も一本化される」とは断定できない。両規則を個別に確認・適合すること
EUへ機械・装置を出す装置メーカー(OEM)の皆様に、Secomeaのセキュアアクセスソリューションが両規則対応の技術的基盤を提供します。
機械・装置のCRA・機械規則への二重対応についての詳細は、装置メーカー向けソリューションをご覧ください。
Secomea自身の取り組み
信頼の構築──CRAが前提とするセキュアバイデザインの裏付け
CRAが求める「セキュアバイデザイン」と「脆弱性ハンドリング」を、Secomeaは第三者認証と透明なプロセスで実証しています。世界8,000社以上のOT環境で採用される信頼の根拠です。
IEC 62443-4-1 認証取得(TÜV)
セキュアな製品開発ライフサイクルについて第三者認証を取得。CRA Annex I Part IIの脆弱性ハンドリング要件の根拠となります
IEC 62443-4-2 準拠を実証
コンポーネント(製品)の技術セキュリティ要件について第三者監査により準拠を実証。CRA Annex I Part Iの機能要件をカバー
ISAE 3402認証
内部統制の有効性に関する独立した監査人による証明。組織的なセキュリティガバナンスの裏付け
CVE番号割り当て機関(CNA)認定
デンマーク初・現在も同国唯一のCNA認定OTサプライヤー。脆弱性管理プロセスの透明性を実証し、CRAの報告義務基盤を強化
Secomeaのこれらの認証・取り組みは、Secomeaを採用する装置メーカーが最終製品のCRA適合性評価に用いる技術文書の根拠となります。Secomeaを採用することは、自社製品のCRA証跡整備を大きく前進させます。
Secomeaの4-1認証・4-2準拠・CNA認定は、CRAが求めるセキュアバイデザインと脆弱性ハンドリングの実証済みの証拠です。