メール
電話
メニュー
ソフトウェア部品に関するリスクを管理するためのOSS管理&SBOM管理ツール。 豊富な解析機能と圧倒的な情報量でSBOMおよびレポート(通知ファイル)の生成などお客様の脆弱性対策を強力にサポートいたします。
公開日:2025年6月1日
注目ソリューション
開発から製造まで一貫した工程におけるDMS/EMS(設計・製造受託)を提供します
CRA(Cyber Resilience Act:サイバーレジリエンス法)とは、欧州委員会が2022年に発表し、2024年12月10日から発効した規制法案で、EU(欧州連合)に流通するデジタル要素を含むすべての製品を提供する製造業者を対象に、セキュリティ要件を義務化する法制度です。ソフトウェア・ハードウェア製品に対し、「設計・開発段階からのセキュリティ確保」、「ライフサイクル全体での脆弱性対応」、「適合宣言書・技術文書の作成・保管」、「CEマークなど必要な認証の取得」などを要求するものです。全面適用は発効日から36カ月後を予定されています。
この法案が制定、発効された背景には、サイバー攻撃の被害が拡大し、経済・社会に深刻な脅威と損失を与えている現状があります。欧州委員会の試算によれば、サイバー犯罪に対する対応コストは、2021年時点、世界全体で年間5.5兆ユーロ(約850兆円)に達しており、その被害は今後さらに拡大する見込みです。(出典:https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act)攻撃対象は、もはや政府や金融機関だけにとどまらず、IoTデバイス、組み込みソフトウェア、業務用ITツールなど、あらゆる「デジタル要素を持つ製品」にまで及んでいます。
この法案の導入は、こうしたサイバーセキュリティ上の脅威に対するリスクを抑え、市場全体の信頼性と安全性を高め、サイバーレジリエンス(回復力)の高い経済圏を実現するための取り組みです。製品セキュリティを単なる「競争要因」ではなく、製造業者にとっての「市場参入の前提条件」として位置づける法的枠組みが、今、EUで動き出しているのです。
CRA(Cyber Resilience Act)はEU(欧州連合)域内の製造業者に限らず、日本をはじめとする海外の製造業者が提供する製品にも適用されます。例えば、次のようなケースでは、企業はCRA上の義務を負うことになります。
こうした製品がCRAに準拠していない場合、CEマーク(EU市場での製品流通に必要な適合表示)が取得できず、販売が不可能になります。さらに、重大な違反が確認された場合には、製造業者に対し、最大で売上高の2.5%または、1,500万ユーロのいずれか高い方に相当する罰金が科される可能性もあるなど、リスクは非常に高いのが実情です。
加えて、日本企業がCRA対応を怠れば、グローバルサプライチェーンからの排除という深刻な事態も起こり得ます。欧州企業はCRA準拠を前提として調達基準を見直し始めており、未対応の企業はビジネスパートナーとして不適格と判断されかねません。
つまり、CRA対策は単なるコンプライアンスやサイバーセキュリティ上の脅威への対応ということだけでなく、「市場アクセスの維持」と「国際競争力の確保」というビジネス上の死活問題なのです。視点を変えれば、いち早く対応を進めた企業は、セキュリティに対する姿勢を示すことで信頼を獲得し、グローバルでの選ばれるパートナーになることができます。
CRA(Cyber Resilience Act)は、EU(欧州連合)市場に投入されるすべての「デジタル要素を持つ製品」を対象とした法案です。ここでの“デジタル要素”とは、ソフトウェアまたはソフトウェアを含むハードウェアを指し、対象製品は非常に広範です。具体的には、組込みソフトウェアを含むIoT機器、ネットワーク機器、ルーター、ファームウェアを含む産業機器、単体ソフトウェア(OS、ユーティリティ、アプリケーション)、さらにはクラウド連携型のリモートソリューションまで含まれます。従来EUの法規制の適用外であった多くの製品群も、CRAの下ではセキュリティ対策義務を負うことになります。
ただし、すべてのデジタル製品が一律に適用対象となるわけではありません。以下のカテゴリは、既存のEU法でセキュリティが管理されていることを理由に、CRA(Cyber Resilience Act)の対象外とされています。
例外として、これらの製品に含まれるコンポーネントが個別に流通する場合にはCRAの対象になる可能性があります。製造業者やソフトウェア企業にとっては、製品単位だけでなく、部品・ソフトウェア単位での対応が求められます。
CRA(Cyber Resilience Act)では、製品のサイバーセキュリティリスクに応じて、以下の4つのカテゴリに分類し、法規制を適用しています。
CRAは、製品の設計段階からセキュリティを組み込む「Secure by Design」の原則を採用しています。これには以下の要件が含まれます。
これらの要件は、製品の設計から廃棄までの全期間にわたって適用されます。
製品出荷後の脆弱性管理に関して、CRAは以下の対応を求めています。
CRAは、製品のセキュリティ対策に関する文書化と記録の保存を義務付けています。
これらの文書は、市場監視当局からの要請があった場合、速やかに提供できるように準備しておく必要があります。
CRAは、製品の設計から廃棄までの全ライフサイクルにわたって、セキュリティ対策を徹底することを求めています。日本の製造業・IT企業がEU市場での競争力を維持・強化するためには、これらの要件を正確に理解し、迅速に対応することが不可欠です。
2024年に正式成立したCRAは、製品セキュリティ対策を義務化する画期的な法規制であり、単なるガイドラインではなく「義務」であることが特徴です。
CRAは以下のようなスケジュールで施行されます。
この3年間は「準備期間」として位置づけられますが、実質的には猶予ではなく、対応が必要な企業にとっては全社的な準備が必要な重要な期間です。対応が間に合わなければCEマークが取得できず、EU市場での製品販売ができなくなるリスクがあります。
CRA対策として、企業が取り組むべきタスクは、個別の企業の状況によって異なりますが、大枠としては、大きく3つのフェーズに分けられます。
CRAへの対応を怠った場合、企業は以下のような重大リスクに直面します。
特にEU企業との取引においては、CRA準拠が入札・契約条件化される可能性が高く、先手対応が取引継続の鍵となります。
CRAは独立した規制に見えますが、EUの他の法規制や国際標準と密接に関係しています。例えば、医療機器(MDR)、無線機器(RED)、自動車(UN/ECE規則155)など、既存の規制でサイバーセキュリティ要件が定められている分野では、CRAの適用は原則として除外されますが、これらの製品に使われるソフトウェアや電子部品が個別に市場提供される場合には、CRAの対象になる可能性があります。
全体ではなく、構成要素単位での対応判断が求められる点に注意が必要です。
一方、CRAの要件と整合する標準規格の活用も実務上重要です。特に製造業や制御機器を扱う企業にとって関わりのあるIEC 62443シリーズ(産業用セキュリティの国際標準)では、例えば4-1はセキュアな開発ライフサイクルの要求を、3-2はリスク評価手法を定めており、CRAの「設計段階からのセキュリティ」「文書化」「リスクマネジメント」に高い整合性を持ちます。
また、ISO/IEC 27001のISMS運用体制は、SBOM管理や脆弱性対応、インシデント対応体制(PSIRT)との連携にも活用可能です。
CRAを単体の法対応と捉えるのではなく、既存のガイドラインや管理基準と統合的に捉えると、効率的かつ実効的なCRA対策を行うことができます。
CRA対策の現場では、手作業による対応はもはや現実的ではありません。SBOM(ソフトウェア部品表)の作成・更新、数百〜数千に及ぶコンポーネントの脆弱性管理、24時間以内のインシデント報告、アップデート証跡の保存、技術文書の長期保管──いずれも高頻度・高精度が求められます。
特に中堅規模の日本企業では、セキュリティ専任チームが不在のケースも多く、少人数でも運用可能なツール導入による効率化・自動化は不可欠です。SBOM自動生成ツール、脆弱性スキャナー、脆弱性データベース連携型管理ツールなどは、CRA準拠の作業工数を大幅に削減します。
ツールは、CRA対応を「回避すべき負担」から「持続可能な仕組み」へと変える鍵となる存在です。限られたリソースでも確実に適合性を維持するため、ツール活用は戦略的投資と捉えるべきでしょう。
CRAではSBOM(ソフトウェア部品表)の作成と更新が義務化されており、製品に含まれるすべてのコンポーネントを把握・管理する必要があります。SBOM管理ツールは、ソースコードやバイナリからOSS・商用ライブラリを自動検出し、依存関係を可視化します。
代表的なツールとしては、Black Duck SCA、Revenera SBOM Insights、CycloneDX CLIなどがあり、SBOMの生成・差分比較・出力形式変換(SPDX、CycloneDXなど)にも対応。継続的インテグレーション(CI)環境とも統合可能です。
CRAでは、既知の脅威や脆弱性に関する継続的な監視と対応が求められます。脆弱性スキャンツールは、CVEデータベースやNVDとの連携により、対象製品内の脆弱性を自動検出・優先順位付けします。
例としては、Snyk、JFrog Xray、Tenableなどがあり、SBOMとの連携や影響度のスコア化(CVSS)、アラート通知、修正パッチ提案なども可能です。PSIRT業務の効率化にも貢献します。
CRAでは、特にClass II製品に対してリスクベースの設計と文書化が強く求められます。リスク評価支援ツールは、システムの脅威モデルや資産・攻撃経路を可視化し、定量的な評価を行います。
代表的なツールには、ThreatModeler、Microsoft Threat Modeling Tool、IriusRiskなどがあります。IEC 62443やISO/IEC 27005といった標準に準拠したテンプレートも搭載されており、CRAとの整合を取りやすいのが特徴です。
繰り返し述べてきたように、CRA(サイバーレジリエンス法)への対応は、日本の製造業者やIT企業にとって重要かつ、困難な課題です。特に今まで意識してこなかったSBOM(ソフトウェア部品表)の作成・管理や脆弱性の迅速な検出・対応など、高い負荷がかかるタスクが待ち構えています。これらの要件を効率的に満たすために、Black Duck SCAは有力なソリューションとして注目されています。
Black Duck SCAは、Black Duck社が提供するOSS(オープンソースソフトウェア)管理ツールで、SBOMの自動生成、既知の脅威や脆弱性の検出・管理、ライセンス・コンプライアンスの確認など、CRA対応に必要な機能を網羅しています。製品の開発から運用までのライフサイクル全体で、セキュリティリスクの可視化と対応が可能であり、その機能の豊富さからCRA対応のツールとしてはデファクトスタンダードとして知られるツールになります。
Black Duck SCAは、ソースコードやバイナリ、コンテナイメージをスキャンし、使用されているOSSコンポーネントを自動的に特定します。これにより、高精度なSBOMの作成が可能となり、CRAが求める継続的なSBOMの更新にも対応できます。また、SPDXやCycloneDXなどの複数の標準フォーマットでの出力もサポートしています。
Black Duck SCAは、一般公開されているCVE情報に加え、独自の脆弱性データベースを活用しています。これにより、最新の脅威や脆弱性情報を迅速に取得し、影響を受けるコンポーネントを特定することが可能です。CRAが要求する24時間以内の脆弱性報告義務にも対応しやすくなります。
Black Duck SCAは、JenkinsやGitLab CI、Azure DevOpsなどのCI/CDツールとの統合が容易で、既存の開発プロセスに組み込みやすい設計となっています。開発の初期段階からセキュリティ対策を実施することができ、CRA対応の効率化が図れます。
Black Duck SCAは、製造業や産業制御システム(ICS)分野での導入実績が豊富で、これらの業界特有の要件や課題に対応する知見を有しています。例えば、組み込みソフトウェアやリアルタイムOSに対するスキャン機能など、特定のニーズに応じた機能が提供されています。
Black Duck社は、日本国内においても様々な大手のITベンダーのパートナー企業であり、導入サポートや運用サポートが提供されているため、初めての場合でもCRA対応の複雑さを軽減し、スムーズな導入と継続的な運用が可能です。
特に、富士ソフトでは、長年、様々な製品やアプリケーションの検証サービスを担ってきた知見を踏まえ、Black Duck SCAを導入したCRA(サイバーレジリエンス法)対応を一括してサポートするOSS管理/SBOM管理ソリューションをご提供しております。
富士ソフトは、Black Duck社とマクニカ社との3社パートナーシップにおける信頼のサポート力で、お客様をご支援いたします。
OSSが抱える脆弱性や資産管理上のリスクを理解しつつも、社内的なリソースの問題やノウハウの欠如などで思うように進められないなど、お悩みではないですか?
そのような場合は、是非富士ソフトにご相談ください。富士ソフトは、日本最大級の独立系開発会社として50年を超える歴史を持ち、自動車や家電、スマートフォンなどの製品の制御システムや金融系システム、Webアプリなど、多岐にわたるシステム開発を担うことで、日本の発展を影で支えてきました。その過程で、SBOM管理ツールを活用することによるIT資産管理やセキュリティに関する高度な技術を蓄積してきました。
その知見を踏まえつつ、富士ソフトはBlack Duck社とマクニカ社との3社パートナーシップで、お客様の製品やサービスに関するSBOM管理ツールの導入から運用まで、一括してサポートするOSS管理/SBOM管理ソリューションをご提供しております。
本記事では、EUのサイバーレジリエンス法(CRA)に対応するために、日本の製造業者・IT企業が押さえるべき法規制の全体像、対象製品やリスク分類、主要なセキュリティ要件、実務レベルの対応戦略、ツール活用、Black Duck SCAの活用メリットまでを網羅的に解説しました。
CRAは一過性の規制ではなく、製品ライフサイクル全体を対象とした継続的なサイバーセキュリティ管理体制の確立を企業に求めています。
CRA対策の第一歩は、「自社製品がCRAの適用対象となるか」「リスク分類はClass IかIIか」の確認です。次に、CRAが要求するセキュリティ特性・脆弱性管理・文書化要件を洗い出し、自社の現状と照らしてギャップを把握しましょう。
また、組織体制(PSIRTの有無)、SBOMや脆弱性の管理プロセス、既存の設計プロセスなどを評価することで、どの部分に優先して対応が必要かを明確にすることができます。
CRA対応は「やるべきことリスト」を埋めるだけでは不十分です。今後求められるのは、セキュリティを事後対応ではなく“設計思想”として組み込む組織文化の醸成です。
具体的には、開発者・運用者を対象にした継続的な教育体制の構築、PSIRTのスキル強化、多層防御の実装、サプライチェーン全体でのセキュリティ評価・共有体制の確立などが挙げられます。
CRAは「攻めのコンプライアンス」に転じることで、グローバル市場での信頼・競争力を獲得するチャンスにもなります。
一方で、すべてを自社内で完結するのは困難なケースもあります。とくにリソースが限られている中堅企業にとっては、専門家の支援を受けることで効率と確実性を大きく向上させることが可能です。
例えば、CRAに特化したセキュリティコンサルティング、SBOMや脆弱性管理ツールの導入支援、Black Duck SCAなどの導入・運用サポートを活用することで、実践的かつ継続可能なCRA対策の実現が期待できます。当社でも導入支援やレクチャーを提供していますので、お気軽にご相談ください。
“見積もりがほしい”、”こんなことはできるのか?”、”詳しい実績がしりたい”、”この技術は対応できるのか?” そんな時は、質問だけでも結構です。お急ぎの場合も迅速に対応させて頂きますのでお気軽にお問い合わせ下さい。
組み込み受託開発に関して問い合わせる
050-3000-2102 エンベデッドソリューション推進部(平日 9:00〜17:00)
お探しの組み込み製品はキーワードで検索!
お問い合わせ