Service

CRA対応サービス(欧州サイバーレジリエンス法 対応サービス)

欧州サイバーレジリエンス法(EU Cyber Resilience Act:CRA)注1は、デジタル要素を含む製品の消費者を保護し、製品のサイバーセキュリティ確保を製造者に義務付ける欧州の規則であり、2026年9月より報告義務が発生します。
EU諸国へ輸出する製造業などは幾つかのCRA対象外製品を除き、この規則に対応するためのセキュア開発プロセスの構築、PSIRT注2/SBOM注3の構築運用、セキュア開発の実装検証などの網羅的な対応が必要です。
ベリサーブでは、CRA法に対応するための開発体制の構築や、既存の開発プロセスを対応していくためのサービスを行っています。

注1 CRA(Cyber Resilience Act):EU(欧州連合)が提唱するサイバーセキュリティに関する規制
注2 PSIRT(Product Security Incident Response Team):企業が提供する製品やサービスに潜むセキュリティ上の脆弱性やインシデント対応をするための専門組織
注3 SBOM(Software Bill of Materials)とは、ソフトウェアを構成するコンポーネント(部品)とその依存関係、ライセンス情報などを一覧にしたリストです。

CRA対応サービスの特長

  • POINT1 お客様の現行開発プロセスとCRA要件+IEC 62443-4-1とのギャップ埋めることで、CRA要件に沿ったセキュア開発プロセスを構築します。
  • POINT2 CRA要件を満たす脆弱性管理を行うための体制・プロセス(PSIRT構築/SBOM運用)を法令要件特化版として短期間で実現します。
  • POINT3 対象製品の脅威分析、静的コード解析、ペネトレーションテストなどの実施により脆弱性を事前に洗い出し、セキュア開発の実装検証を行います。

CRAの成立経緯と適用対象外になる製品

CRAは、2010年代から欧州連合(EU)で検討され、2024年10月EU理事会により採択され、2024年12月に発行されました。その後の猶予期間(21ヵ月)を経て2026年9月より報告義務が発生します。この後、違反していると判断された製造業者には罰金の支払いが命じられる可能性があります。罰金は、最大1,500万ユーロ、またはその企業の前年度の全世界年間総売上高の2.5%のいずれか高い方と記載されているため、多額の罰金が科されます。
また、CRAの対象となる製品は、デジタル製品全般ですが、他の法規でより厳重に守る必要がある等の理由で、以下の表に記載されたものは適用対象外となります。

CRAの成立経緯と適用対象外になる製品


CRA対応サービスとは?

CRA対応サービスとは、CRAに定められた要求に対応するための伴走型の対応サービスです。CRAはEUに流通するデジタル要素を含む製品についてセキュリティ要件の実装、脆弱性管理、インシデント報告、製品やサプライチェーンにおけるセキュリティリスク評価の実施などを求めています。
製造業者にとっては、CRA準拠のための技術的対応のみならず製品セキュリティマネジメント体制の構築も急務となります。

CRA対応サービスとは?


CRA対応サービスの内容

サービス①、②「セキュア開発プロセス構築支援(アセスメント/プロセス修正)」

CRAの重要な要件として、セキュアなソフトウェア開発が求められています。本サービスでは、アセスメントとして、お客様の現状のソフトウェア開発プロセスと「CRA要件+IEC 62443-4-1」とのギャップを分析した上で、開発プロセスの修正をご支援します。

CRA対応サービスの内容


サービス➂「PSIRT構築」

CRA第14条にはインシデント発生時に迅速に対応できる体制があること、また付属書にある要件を満たすためにPSIRT の構築が必要となります。なお、本サービスでは、FIRSTにて定められた「脆弱性対応要件」の中から、CRA要件のみを抽出し、構築期間を短縮してPSIRTを構築します。

サービス➂「PSIRTプロセス構築」01

※FIRST(Forum of Incident Response and Security Teams)は、世界中のインシデント対応チームやセキュリティチームが参加する国際的な組織であり、サイバーセキュリティインシデントの対応において、国や組織の枠を超えた協力と情報共有を促進する役割を担います。

サービス➂「PSIRTプロセス構築」02

注意 :「Cyber Resilience Act Requirements Standards Mapping」
作成 :joint Research Centre,& ENISA joint Analysis
2025年4月4日公開文書

サービス④「SBOM運用支援」

CRAの要件を満たすためには、脆弱性管理プロセスの構築が必要です。また、ソフトウェアの脆弱性管理には「SBOM」が事実上必須となります。当社は、SBOM運用方針・プロセスの策定から、実運用の伴走や出力するドキュメントの内容調整までの全プロセスにわたる支援が可能です。

サービス④「SBOM運用支援」


ベリサーブが選ばれる理由

当社は、第三者検証のパイオニアとして、製造業のお客様と主に品質向上を目的としたサービスを提供してきました。本サービスもCRAという欧州の法規対応を目的としたものですが、対応のための体制などの構築が最終目的ではありません。
本質的な目的は、CRAに対応できる製品をお客様が市場に販売し続けることであり、当社はそのための運用プロセス全体をご支援しています。
こうした実績とノウハウにより、多くの製造業のお客様から安心して当社をご選択いただいています。

関連情報

掲載されている製品名、会社名、サービス名、ロゴマークなどはすべて各社の商標または登録商標です。