- EUサイバーレジリエンス法(CRA)は2026年9月から段階適用が始まり、EU市場に製品・ソフトウェアを販売する日本の中小企業にも適用される
- 主な義務はセキュリティバイデザイン・SBOM整備・24時間以内の脆弱性報告・CEマーキング取得で、違反時は最大売上高2.5%の制裁金リスクがある
- 今すぐ対象製品の確認・リスク分類・SBOM作成・報告プロセス整備の5ステップに着手することが、2027年完全適用に間に合わせる最善策
EUサイバーレジリエンス法(CRA)とは?日本企業が無視できない理由
2024年10月、EU官報に正式掲載されたEUサイバーレジリエンス法(Cyber Resilience Act/CRA)は、デジタル要素を持つ製品のサイバーセキュリティ要件を定めた画期的な規制です。2026年から段階的に適用が始まり、EU市場に製品やソフトウェアを販売・提供するすべての企業が対象となります。
「うちはEU拠点がないから関係ない」と思っていませんか?実はそうではありません。日本の中小企業であっても、IoT機器・業務用ソフトウェア・組み込みシステムなどをEU域内の顧客に提供している場合、CRAへの準拠が求められます。違反した場合は最大1,500万ユーロ(約24億円)または全世界年間売上高の2.5%という高額の制裁金が科されるリスクがあります。
本記事では、CRAの基本概要から中小企業が今すぐ取り組むべき具体的な準備ステップまでを、わかりやすく解説します。
CRAが定める主な義務:何をしなければならないのか
CRAは製品のライフサイクル全体にわたってセキュリティ対応を義務付けています。主な要求事項は以下のとおりです。
1. セキュリティバイデザインの実装
製品の設計・開発段階からセキュリティを組み込むことが必須です。既知の脆弱性を持つコンポーネントの使用禁止、デフォルト設定での安全確保、最小権限の原則の適用などが求められます。パッチを後から当てればいいという考え方は通用しなくなります。
2. 脆弱性管理とサポート期間の明示
製品のサポート期間中(最低5年間)、脆弱性を発見・通知された場合に24時間以内に当局へ報告し、72時間以内に詳細情報を提出する義務があります。また、セキュリティアップデートを無償で提供し続けることも求められます。
3. ソフトウェア部品表(SBOM)の整備
製品に含まれるすべてのソフトウェアコンポーネントを記載したSBOM(Software Bill of Materials)の作成・維持が義務付けられます。オープンソースライブラリの把握や第三者製コンポーネントの追跡管理が必要になります。
4. CEマーキングと適合性評価
CRA対象製品はEU市場に流通させる前に適合性評価を受け、CEマーキングを取得する必要があります。リスクレベルに応じて自己宣言のみで済む製品と、第三者機関による審査が必要な製品に分かれます。
適用スケジュール:いつまでに何を準備すればよいか
CRAの適用は段階的に進められます。準備が間に合わなかったでは済まされないため、スケジュールを正確に把握しておくことが重要です。
| 時期 | 内容 |
|---|---|
| 2024年10月 | CRA発効(EU官報掲載) |
| 2026年9月 | 脆弱性報告義務の適用開始 |
| 2027年12月 | すべての要件の完全適用開始 |
「2027年まで猶予がある」と油断は禁物です。SBOM整備・社内プロセス構築・適合性評価の準備には最低でも1〜2年かかります。実質的な準備期限は2025年末と考えるべきでしょう。
中小企業が直面する3つの課題
大企業と異なり、中小企業にはCRA対応において固有の難しさがあります。
課題① 専門人材・リソースの不足
セキュリティエンジニアや法務担当を内製できる中小企業は多くありません。脆弱性管理やSBOM作成を既存のエンジニアが兼任するには、知識・ツール・時間のすべてが不足しがちです。
課題② サプライチェーン全体の把握
自社製品に含まれるOSSや外部ライブラリを完全に把握できていない企業は少なくありません。CRAはサプライチェーン全体のセキュリティ管理を求めるため、まず「自社製品の中に何が入っているか」を可視化するところから始める必要があります。
課題③ 継続的対応コストの見積もり困難
CRAは一時的な対応ではなく、製品のライフサイクル全体を通じた継続的なセキュリティ維持を求めます。初期対応コストだけでなく、脆弱性監視・パッチ提供・報告体制の維持にかかるランニングコストの試算が多くの中小企業にとって課題となっています。
今すぐ始めるべき5つの対応ステップ
課題は多くても、正しい順序で取り組めば中小企業でも着実に対応できます。以下の5ステップを参考にしてください。
ステップ1:自社製品のCRA対象確認
まず自社製品がCRAの対象かどうかを確認します。対象は「デジタル要素を持つ製品」全般ですが、純粋なSaaS(クラウドサービス)はCRAの直接対象外となる場合もあります。ただし、クラウドに接続するデバイスやソフトウェアは対象となるケースが多いため、製品ごとに慎重に判断する必要があります。
ステップ2:リスク分類とロードマップ策定
CRAは製品を「デフォルトクラス」「クラスI(重要製品)」「クラスII(高リスク製品)」の3段階に分類します。自社製品がどのクラスに該当するかを特定し、必要な適合性評価の種類を確認した上で、対応ロードマップを策定します。
ステップ3:SBOM作成とコンポーネント管理の開始
SBOMツール(例:Syft、FOSSA、Black Duck)を活用して、現時点での製品コンポーネントリストを作成します。特に既知の脆弱性(CVE)が報告されているコンポーネントを早期に特定し、更新計画を立てることが優先事項です。
ステップ4:脆弱性報告・対応プロセスの整備
CRAが求める24時間・72時間の報告義務に対応するため、脆弱性情報の収集経路(セキュリティ情報メーリングリスト、NVD等の監視)と、社内エスカレーション・当局報告の手順を文書化します。実際に訓練を行い、フローが機能するか確認することも重要です。
ステップ5:専門家・外部パートナーとの連携
すべてを内製しようとせず、セキュリティ専門企業や法務アドバイザーと連携することで、対応の質とスピードを高めることができます。特に適合性評価や技術文書の作成については、CRA対応の実績を持つ外部パートナーへの相談を早めに検討しましょう。
CRA対応はリスク管理であり、競争優位にもなる
CRAへの対応はコストや負担に見えがちですが、視点を変えると大きなビジネスチャンスでもあります。セキュリティへの取り組みを対外的に示せる企業は、EU市場での信頼性・競合優位性を獲得できます。特に欧州の調達担当者やエンタープライズ顧客はセキュリティコンプライアンスを重視しており、CRA適合済みの製品は選定で有利になる場面が増えています。
また、CRA対応を通じて整備されるSBOM管理・脆弱性対応プロセスは、国内のサイバーセキュリティ強化にも直結します。日本でも経済産業省がSBOM活用を推奨しており、グローバル・国内双方の観点から取り組む価値があります。
まとめ:2026年を見据えた今が動き出すタイミング
EUサイバーレジリエンス法(CRA)は、EU市場を持つ日本の中小企業にとっても無視できない規制です。制裁金リスクを避けるためだけでなく、製品のセキュリティ品質向上と市場競争力強化のためにも、早期対応が得策です。
本記事で紹介した5つのステップを起点に、まずは自社製品の対象確認とリスク分類から始めてみてください。対応に不安を感じる場合は、専門知識を持つパートナーに相談することで、確実かつ効率的に準備を進めることができます。
SOAでは、CRA対応を含むセキュリティコンプライアンス支援や、セキュアな製品開発体制の構築サポートを行っています。ご相談はお気軽にお問い合わせください。