スリニバス・シェカール氏、Pantherun Technologies創業者兼CEO。
EU サイバーレジリエンス法(CRA)が完全に施行されるのは2027年12月だが、報告義務は2026年9月—この記事を執筆している時点で1年を切っている—から始まる。法令不遵守に対する罰則は最大1500万ユーロ、または世界全体の売上高の2.5%に達する。この規制は欧州市場にのみ適用されるかもしれないが、CRAの適用範囲は原産地に関係なく、EUで販売されるデジタル要素を持つあらゆる製品に及ぶ。これにより、スマートフォン、コンピュータなどのデバイス、アプリ、クラウドベースのサービス、ソフトウェア、インフラ、ネットワーク機器、コネクテッドカー、その他多くのEUで販売される製品の開発者、製造業者、輸入業者、販売業者にとって、この新しい規制は関連性を持つことになる。
現在CRAの基準を満たしていないメーカーは待つ余裕がない。ギャップ分析、設計、開発、テスト、認証、展開、トレーニングを合わせると、最大3年かかる可能性がある。そして最終的に、CRAの影響は欧州の国境をはるかに超えて広がる。ここでは、グローバル製造業者がすでにCRAの基準を満たせていない現状と、今すぐ取るべき対策について解説する。
CRAとは何か、そして何が求められるのか?
EUサイバーレジリエンス法は、EUにおけるデジタル製品が最先端のサイバーセキュリティ対策を念頭に置いて開発・製造されることを確実にするための単一の規制フレームワークを作る試みである。これは「個別に市場に出される、ソフトウェアまたはハードウェアコンポーネントを含む、ソフトウェアまたはハードウェア製品とそのリモートデータ処理ソリューション」を規制している。
CRAに準拠するために、メーカーは製品の意図された目的と予見可能な使用に対応するサイバーセキュリティリスク評価を実施し、製品をテスト・レビューして、市場に出る前に既知の悪用可能なセキュリティ上の欠陥がないことを確認しなければならない。また、デジタル製品は将来の脆弱性を排除するためにアップデートが可能でなければならず、メーカーは分析のための完全な技術文書を提供する必要がある。2026年9月11日から、デジタル製品の製造業者、そして場合によっては輸入業者と販売業者は、認識してから24時間以内に、欧州連合サイバーセキュリティ機関(ENISA)のプラットフォームを使用して、判明したセキュリティインシデントを報告する義務を負う。
メーカーは現在CRAの基準を満たしているか?
もしCRAが今日施行されたら、ほとんどの企業は準拠できないだろう。なぜか?金融や防衛などの高度に規制された分野以外では、セキュアな開発基準が均一に適用されていないからだ。多くの製品は、脆弱な構成、古いライブラリ、ハードコードされた認証情報とともに出荷されている。セキュアブート、署名付き更新、強力な暗号化などの組み込み対策が著しく不足している。実際、2025年5月のコネクテッドデバイスに関する報告書によると、「ほとんどの場合、デバイスに物理的にアクセスできる攻撃者は、デバイスを完全に侵害し、永続的なバックドアをインストールすることができる」という。ほとんどの場合だ!
一方、脆弱性を自動的に検出する仕組みを持つ企業はほとんどなく、CRAが要求する迅速な報告プロセスを構築している企業はさらに少ない。それらがすべてカバーされていたとしても、企業は製品のライフサイクル全体にわたって脆弱性を修正する構造化された能力を欠いている。現在の業界の状況では、多くの製品はセキュリティアップデートが提供されたとしても、数年間しかサポートされていない。最後に、CRAが要求する形式で技術文書を提供している企業はほとんどない。これらの欠点は多くの大手テクノロジー企業にも存在するが、今後2年間で追いつくのに最も苦労するのは中小企業だろう。
CRAに向けて今すぐ何ができるか?
では、準拠するために必要なことがこれだけあるなか、どこから始めればよいのか?私が勧める作業順序は次のとおりだ:
1. コンプライアンスと報告の準備をする。
報告要件が最初に始まるため、この部分を整えることが自然な第一歩となる。製品を分類し、CRAで定義されているそれぞれのセキュリティニーズに応じて、関連する要件に対してマッピングする。機械可読形式のソフトウェア部品表(SBOM)を含む技術文書を更新する。CRAの24時間および72時間の脆弱性報告要求、そして14日から1ヶ月後の最終報告に基づいた内部報告ワークフローを構築する。
2. 設計を安全にする。
製品のアップデートは、ほとんどの企業にとって最も長い準備期間が必要となる可能性が高いため、できるだけ早く着手したい。まず、各製品のサイバーセキュリティリスク評価を実施し、すべてのセキュリティ対策とリスクを文書化する。リリース前に脆弱性を排除するために、信頼できるハードウェアと最新のソフトウェア要素を活用する。セキュアブートと署名付き更新を実装し、デフォルトのパスワードを置き換える。最低限、すべてのデータに強力な暗号化(AES + PQC対応の鍵交換)を実装する。セキュリティ要件の高い製品については、従来の鍵交換プロトコルをFPGAベースのレイヤー2/レイヤー3暗号化に置き換え、ライン速度の耐タンパー性のある安全な通信を実現する。
3. ライフサイクルセキュリティサポートにコミットする。
各製品のセキュリティポリシーを定義・公開し、予定された機能アップグレードの一部としてだけでなく、インシデントが発生した際にセキュリティパッチをその場で提供するための更新メカニズムを設定する。これらの更新は、悪意のある者による改ざんを避けるために、インストール前に暗号で署名され検証される必要があるため、強力なデータ暗号化が極めて重要である。製品セキュリティインシデント対応チーム(PSIRT)を設置し、チームが将来のインシデントに備えられるよう、できるだけ早く訓練を開始する。最後に、製品のライフサイクル全体にわたる継続的なサポートの予算を確保することを忘れないでほしい。
EU CRAへの準拠を達成するための時間の無駄遣いはできない。たとえ欧州市場にまったく参入していなくても、いわゆる「ブリュッセル効果」に注意すべきだ。GDPR、RoHS、PSD2、EC 715(車両排出ガス)などのEU規制は、中国、インド、日本、オーストラリア、南北アメリカなど遠く離れた市場でも事実上の標準となっており、これらの市場ではEU法が施行された後すぐに同様の基準を採用することが多い。EUにいるかどうかに関わらず、EUサイバーレジリエンス法は、あなたのビジネスが今日から準備しなければならない現実である可能性が高い。
