EUサイバーレジリエンス法がIoT機器に課す要件と日本メーカーへの影響

EUサイバーレジリエンス法がIoT機器に課す要件と日本メーカーへの影響 海外動向
2026.05.13
この記事は約9分で読めます。

このテーマを取り上げる理由

EUが2024年11月に官報公示し、同年12月10日に発効したサイバーレジリエンス法(Cyber Resilience Act、以下CRA1は、デジタル要素を含む製品のメーカーに対してセキュリティ設計・脆弱性対応・CEマーキングを包括的に義務付ける初の欧州規則です。2027年12月の全面適用まで猶予はあるものの、SBOM2の整備や脆弱性報告体制は2026年9月から先行適用されます。EU向けに機器を輸出する日本の製造業にとって、今まさに設計・開発プロセスの見直しが求められています。

EUで何が起きているか

CRAの全体像

CRAは「デジタル要素を含む製品(Products with Digital Elements)」全体を対象とし、家庭用IoTデバイスから産業用制御システム、組込みソフトウェアまで網羅します。製品はリスクレベルに応じて3クラスに分類されます。

  • デフォルトクラス:一般的なIoT機器・コンシューマー向けガジェット。自己適合宣言でCEマーキング取得可能。
  • 重要製品クラスI:ルーター・スマートホームハブ・産業用ゲートウェイ等。欧州適合規格(EN)への準拠、または第三者機関の審査で対応可能。
  • 重要製品クラスII:産業用オートメーションシステム・高セキュリティ基盤等。第三者機関による適合性評価が必須。

主な義務は次のとおりです。

  • セキュアバイデザイン3:既知の脆弱性ゼロの状態で市場投入。初期設定は最小権限・安全なデフォルト値を採用する。
  • サポート期間製品の予想使用期間(最低5年)にわたるセキュリティアップデートの提供。「予想使用期間」はメーカーが製品カタログ等で明示した値が基準となるため、カタログに設計寿命 15 年と記載すれば 15 年が義務期間になる点に注意。
  • SBOM(ソフトウェア部品表):OSSを含む全ソフトウェアコンポーネントの文書化と管理。
  • 脆弱性報告(CRA Article 14、2 トラック):(1) 積極的に悪用されている脆弱性が確認された場合、把握から 24 時間以内に ENISA4の単一窓口を経由した早期警戒通知、72 時間以内に追加情報を含む通知、fix/緩和措置をユーザーに提供してから 14 日以内に最終報告書を提出。(2) 製品セキュリティに影響を与える重大インシデント(severe incident)も別途同様の通知義務がある。報告フローの詳細はCRA 第 14 条および欧州委員会のガイドラインで確定する部分があるため、法務と確認のうえ運用を設計するのが安全です。

違反した場合の制裁金(CRA Article 64)は 3 段階構造:①必須セキュリティ要件・脆弱性対応義務違反は最大 1,500 万ユーロまたは年間世界売上高の 2.5%、②その他の事業者義務違反は最大 1,000 万ユーロまたは 2%、③報告書式不備等の手続違反は最大 500 万ユーロまたは 1%。EU 市場への流通停止も命じられます。

適用スケジュール

  • 2026年9月11日:脆弱性報告義務(第14〜16条)が先行適用。製品設計が間に合わない場合でも、PSIRT5体制の整備は待てません。
  • 2027年12月11日:全要件が適用。CEマーキングのない製品はEU市場へ投入・輸出できなくなります。

英国・米国の動向

英国は2024年4月29日に製品セキュリティ・通信インフラ法(PSTI法)を施行済みです。推測容易なデフォルトパスワードの禁止・脆弱性開示ポリシーの公開義務・セキュリティアップデート期間の表示を義務付け、IoTメーカーへの規制で一歩先行しています。

米国ではFCCが2025年に「Cyber Trust Mark」ラベル制度を開始しました。任意参加ではあるものの、NIST SP 800-213系列(NISTIR 8259/8425 等を含む消費者向けIoTセキュリティ基準)に準拠したセキュリティ要件を視覚的に示す仕組みで、調達側が取得済み製品を優先する傾向が強まっています。EU・英国・米国の三極が相互に参照しながら規制水準を引き上げる構図が定着しつつあります。

日本企業への含意

日本企業への影響は輸出・調達・国内制度整合の3層で考える必要があります。

直接適用:EUに製品を輸出・販売する製造業は、2027年12月までにCRA適合が必須です。適合しなければEU市場から締め出されます。産業機械・家電・医療機器・組込みソフトウェアを手がけるメーカーが特に影響を受けます。なお自動車関連はUN-R155(UNECE WP.29)が型式認定で適用されており、欧州ではEU 2019/2144(一般安全規則)を通じてUN-R155準拠が義務化されています。UN-R155対象の車載電子部品はCRA適用除外となる公算が大きく、自社製品が型式認定対象かどうかの確認を出発点としてください。

間接的影響:EU市場を持つ取引先(Tier 1)からCRA対応を求めるサプライチェーン要件が下ってくる可能性があります。「EU向けではないから関係ない」では通らないケースが増えてくるでしょう。

国内制度との整合:経済産業省・IPAは「IoTセキュリティ・セーフティ・フレームワーク(IISF)」やSBOMガイドラインを整備しています。CRAのSBOM要件やセキュアバイデザイン原則と基本方向性は一致しており、国内対応とCRA準備が二重投資にならないよう整合点を確認することが現実的です。

業種別影響

  • 製造業(産業機械・産業用制御システム):産業用制御システムはクラスII対象となる可能性が高く、第三者適合性評価のコストと期間が最大の懸案です。OTシステムのサポート期間は10〜20年に及ぶことも多く、CRAは「製品の予想使用期間と5年のいずれか長い方」相当のアップデート提供を求めるため、20年ライフを公表した製品はその期間のアップデート義務を実質的に宣言することになります。実務的には予想使用期間の短縮表記を選ぶか、セキュリティモジュールを交換可能な設計にして長期サポート対象を切り出すかの設計判断が浮上します。なお、EU内に重要インフラ拠点を持つ事業者はNIS2指令との重複対応も視野に入れる必要があります。
  • 医療機器・ヘルスケア機器:CRA Article 2 で MDR・IVDR 対象製品は明示的に CRA 適用除外となっており、主要クラスの製品では MDR が課すセキュリティ要件で CRA 相当の義務をカバーします。ただし付属品・コンパニオン機器・ソフトウェア単体等の境界事例については lex specialis 原則の個別整理が必要で、欧州委員会のガイドライン待ちの部分もあります。
  • IT・SaaS(組込みソフトウェア):純粋なSaaSはCRA適用外ですが、デバイスに組み込まれるファームウェアやエッジAIモジュールは対象です。製品に同梱するOSSコンポーネントのSBOM管理がボトルネックになることが想定されます。

一枚要約

EUサイバーレジリエンス法(CRA)は2024年12月に発効し、デジタル機器メーカーにセキュアバイデザイン・SBOM・脆弱性報告を義務付けます。EU向け輸出品は2027年12月までに全要件準拠が必要で、違反した場合は市場流通停止と最大1,500万ユーロの制裁金が科されます。日本企業は製品設計の見直し・PSIRT体制の整備・SBOM管理フローの構築の3点を今から着手する必要があります。

今日着手できる3アクション

  • EU公認代理人の要否確認とCRA対象クラス仮判定:CRAはEU域外の製造業者に対し、EU内に公認代理人(Authorised Representative)を任命することを義務付けています。代理人は適合宣言書・技術文書・SBOMを保持し、当局窓口・リコール対応を担う法的責任主体となります。EU子会社・販売代理店・専門コンサルタント(CRA代理人サービス)のいずれを選ぶか今日から検討を始めてください。並行して、欧州委員会のCRA公式ページで製品分類の考え方を確認し、自社製品がデフォルト・クラスI・クラスIIのいずれに該当するかを製品ラインナップごとに仮判定します。判定が難しい機器については欧州認定機関(Notified Body)への早期相談を検討してください。
  • SBOM管理フローの着手:経済産業省が公開するSBOM導入手引きver2.0(2024年8月)を参照し、CycloneDXまたはSPDX形式での部品表作成を製品開発プロセスに組み込む検討を始めます。無償ツールから始めるならSyft+Grype(CycloneDX/SPDX両対応の生成と脆弱性突合)、SPDX ToolsFOSSology(OSSライセンス管理)あたりが代表例です。商用のFOSSAやBlack Duck等のライセンス管理ツールと組み合わせると初期コストを抑えられます。
  • PSIRT体制の現状確認:積極的な悪用が確認された脆弱性に対する報告義務は2026年9月に先行適用されます。JPCERT/CCが公開するPSIRT Services FrameworkとPSIRT Maturity Documentを参照し、製品脆弱性を受け付ける窓口・社内エスカレーションルート・24時間以内通知のテンプレートが整備されているかを今日中に確認してください。

AI×セキュリティの観点

CRAが義務付ける要件はEU AI法(AI Act)と交差します。AIを組み込んだIoT機器(カメラに搭載された異常検知モジュール、エッジ推論デバイス等)は両規則の対象となる可能性があり、セキュリティ評価とAIシステムのリスク評価を統合的に行う体制が求められます。なおCRAのSBOM要件は当局へのオンデマンド提供が原則であり、一般公開を義務付けるものではありません。ただし内部管理用のSBOMが流出した場合に攻撃者がコンポーネントの脆弱性を逆照合できるリスクは別途想定する必要があり、SBOMの保管・アクセス権限設計が新たな論点になっています。防御側にとっては、AIを活用した脆弱性スキャンの自動化とSBOM差分検出の組み合わせが、継続的なコンプライアンス維持の現実的な手段として浮上しています。

用語ミニ解説

  1. CRA — Cyber Resilience Actの略。EUが2024年に制定した、デジタル要素を含む製品のセキュリティ要件を定める規則。製品ライフサイクル全体でセキュリティ対応を義務付ける点が従来の規制との大きな違い。
  2. SBOM — Software Bill of Materialsの略。製品に組み込まれたソフトウェアコンポーネント(OSSを含む)の一覧表。脆弱性が発覚した際に影響範囲を即座に特定するための基盤となる。
  3. セキュアバイデザイン — 製品の設計・開発段階からセキュリティ対策を組み込む考え方。出荷後にパッチで補完するのではなく、初期段階で攻撃面を最小化することを原則とする。
  4. ENISA — European Union Agency for Cybersecurityの略。EU加盟国のサイバーセキュリティ政策を支援する欧州機関。CRAのもとで製品脆弱性の早期通知先となる。
  5. PSIRT — Product Security Incident Response Teamの略。自社製品の脆弱性報告を受け付け、対応を統括する専門チーム。CRAでは24時間以内の当局通知が義務付けられるため、組織的な体制が必要。

編集後記

CRAで特に注目しているのは「市場投入後のサポート義務化」です。これまで多くのメーカーが販売終了後のパッチ提供を任意扱いとしてきましたが、CRAは製品ライフサイクルにわたるアップデートを法的義務に格上げします。EUが先行し英米が追随するこの流れは事実上のグローバルスタンダード形成であり、国内市場向けのみと割り切っていたメーカーにも遅かれ早かれ影響が及ぶでしょう。設計コストと捉えるか、製品差別化の機会と捉えるか——問われるのは経営の覚悟です。

参考リンク

コメント

タイトルとURLをコピーしました