EU サイバーレジリエンス法 (CRA) への取り組みをサポート CRA 対応オールインワンソリューション
2027年12月11日からEU サイバーレジリエンス法(CRA) 適用開始にともない、
セキュアな製品設計、脆弱性の特定や報告など、サイバーセキュリティ対策が求められます。
RYOYOでは、3つのサービスを通じて
お客様が CRA に対応するためのご支援を致します。
※自社に加え、パートナー企業とも協力してサービスを提供しております
お問い合わせはこちらCRA (サイバーレジリエンス法)とは?
CRAでは、ハードウェアおよびソフトウェア製品のライフサイクル全体に対し、EUのサイバーセキュリティ要件の遵守を必須とし、セキュリティ実装に加え、文書化や維持の仕組み等が必要です。
製造者に求められる要求事項
- サイバーセキュリティおよび脆弱性管理 ※付属書I要件を満たすこと
- 適合性評価手続および維持 ※アセスメントの文書化、各評価・文書の作成など
適合を示すための主要なアウトプット一覧
- 文書:技術文書および適合宣誓書などを含む
- 維持:PSIRT対応、SBOM対応などを含む
- その他:使用者向け情報などを含む
製造者が対応すべき法令要件の範囲
事業者向け要件
第2章
13条: 製造業者の義務
14条: 製造業者の報告義務
第3章
27-28条: 適合性評価
31条: 技術文書
32条: 適合性評価手順
脆弱性の早期報告
- 製品寿命もしくは5年間は脆弱性処理要件を満たす必要がある。
- 脆弱性を認識してから
- 24時間以内に早期警告通知
- 72時間以内に是正、緩和措置を含む通知
- 是正、緩和措置が利用可能になってから14日以内に以下を含む最終報告
- 脆弱性の説明
- 悪意者に関する詳細(入手できる範囲)
- 脆弱性修正のためのセキュリティアップデート
スケジュール
産業用サイバーセキュリティの国際標準である
IEC62443に基づいた準備がおすすめです。
CRA対応にはまだ整合規格がなく、明確な対応指針が示されていないのが課題です。
ただし、CRA要件は、国際標準であるIEC62443と共通性が多く、
これに基づき準備を進めるのが現時点では最も効率的です。
また、脆弱性対策や報告義務は既存部門だけでは対応が難しい場合もあり、
製品セキュリティの専門チーム(PRIST)の組織化・運用も検討が必要です。
CRA 対応オールインワンソリューションは
このIEC62443に基づいた各種サービスをご提供します。
01. サイバーレジリエンス構築支援サービス
お客様の開発環境に合わせて、仕組みづくりを要件整理から運用設計まで欧州CRAとの共通性が多い
IEC624443を考慮したサイバーレジリエンスの構築を支援します。
報告義務が始まる2026年9月までに、PSIRTの構築やSBOM導入を進めるには早期の着手が重要であり、
まずは現状のアセスメント(評価・分析)が求められます。
CRA要求事項
2026年9月11日施行
報告義務(CRA第14条)
2027年12月11日施行
製造業者の義務(CRA第13条)
各社対応
PSIRT体制構築
運用
SBOM体制整備
作成/共有、運用/管理
セキュリティ要件
IEC62443-3-3/4-2
に基づく対応
脆弱性処理要件
IEC62443-4-1
に基づく対応
CRA要求事項
2026年9月11日施行
報告義務(CRA第14条)
各社対応
PSIRT体制構築
運用
SBOM体制整備
作成/共有、運用/管理
CRA要求事項
2027年12月11日施行
製造業者の義務(CRA第13条)
各社対応
セキュリティ要件
IEC62443-3-3/4-2
に基づく対応
脆弱性処理要件
IEC62443-4-1
に基づく対応
マイルストーン
CRA付属書Iの要件遵守
など、お気軽にご相談ください。
02. SBOM作成・管理プラットフォーム導入支援サービス
CRAで義務化が予定されている脆弱性の特定と報告は、SBOMを作成することで迅速に対応できます。SBOM導入支援サービスでは、環境構築から作成、運用・管理までをワンストップでご提供いたします。
ソフトウェアを構成するコンポーネントの名称、バージョン情報、依存関係、開発者情報などを含む「ソフトウェア部品表(SBOM)」であり、OSSやプロプライエタリソフトウェアに関する情報も記載できます。これにより、脆弱性やライセンス違反などのリスクやコストを低減することが可能です。また、機械処理が可能なフォーマットも提供されています。
環境構築から運用・管理までワンストップで提供
フェーズ 01.
要件定義
適用範囲や目的を整理し
最適な導入計画を策定
お客様のソフトウェア開発環境やプロセスに合わせて、要件を整理いたします。
- SBOM導入支援サービス
- 導入における課題抽出と解決策の提示
- 経済産業省ガイドラインや国際基準の適合サポート
- SBOM教育・トレーニング
フェーズ 02.
SBOM生成ツールの選定・作成
SBOM作成
サポート支援
ソースコードやバイナリなどの要件に応じて、選定いたします。
- SBOMツール選定支援
- ツール比較・評価支援、要件に合ったツールを提案
- PoCを実施し、ツールの有用性を確認
- SBOM作成サポート
- SBOMフォーマット(SPDX, CycloneDX, SWID)に沿った作成支援
- 自動生成ツールの設定支援(CI/CDに統合するためのスクリプト作成)
- ドキュメント化支援
フェーズ 03.
SBOM管理ツールの選定
脆弱性管理のご支援や
多様なSBOMの統合管理
料金体系(サブスク、買い切り等)その他フォーマットに応じた、ツールを選定いたします。
- 脆弱性管理支援
- SBOMを基にした脆弱性スキャン(CVEチェック)
- 脆弱性が発覚した際の影響調査とパッチ適用支援
- SBOM管理ツールの運用サポート
- アップデートや機能改善のトレーニング提供
- ライセンス管理代行サービス
SBOMの導入だけでなく、製品開発時のセキュリティ実装もサポートいたします
お問い合わせはこちら03. セキュアハードウェアソリューションサービス
このサービスでは、IEC 62443-4-2認証済みのデバイスや、それらのIT/OT連携に使用されるネットワーク機器をご提案いたします。
お問い合わせはこちらIEC 62443-4-2取得済みのハードウェア
CRAでは製品のセキュリティ要件順守が求められますが、IEC 62443-4-2に準拠した認証済みのデバイスを採用することで対外的に対応状況を示しやすくなります。
OS、BIOS、ファームウェアなども含めて認証されているため、セキュリティ機能の自社開発の手間やコストの削減にも繋がります。
セキュアなハードウェア
CRA対応にはIT/OT連携も不可欠でファイヤーウォール、マネージドスイッチ、セキュアルーターなどを取り入れることで、装置とその他のネットワークの分離をし、不必要な通信を未然に防ぎます。
IEC 62443-4-2 取得済み 製品カテゴリ
M/B SBC
PLC
ルーター
マネージドスイッチ
HMI
アドバンテック
○
–
○
○
○
フェニックスコンタクト
–
○
○
–
–
シーメンス
–
–
–
○
–
メーカー一覧
アドバンテック
Advantechは、産業用IoTとエッジコンピューティングに特化したグローバル企業で、スマート製造や自動化を支える革新的なソリューションを提供しています。
フェニックスコンタクト
フェニックスコンタクトは、産業用接続機器とオートメーション技術を提供するドイツ初のグローバル企業です。
シーメンス
シーメンスは、産業オートメーションやエネルギー分野で革新を続けるグローバル企業で、持続可能な社会の実現に貢献しています。
用語集
CRA :
ハードウェアとソフトウェア製品のライフサイクル全般にわたって、EUのサイバーセキュリティ必須要件を導入するための法的枠組み
SBOM :
ソフトウェア製品に含まれるすべての構成要素およびそれに伴う依存関係を一覧化したもの
IEC62443-3-3 :
制御システムのセキュリティ機能要件を定めた規格
IEC62443-4-1 :
セキュアな制御装置の開発プロセスに関するガイドライン
IEC62443-4-2 :
制御装置のセキュリティ機能要件