デジタル製品のサイバーセキュリティー対策をメーカーに義務付ける動きが拡大している。

既に欧州では、「サイバーレジリエンス法（EU Cyber Resilience Act：以下、CRA）」が2024年12月10日に発効されており、今後、2026年9月11日から脆弱性やインシデント報告義務に関する部分が適用を開始。2027年12月11日からは全面的に適用となる。

この法規制はサイバーセキュリティー対策が施されていない機器は市場域内で"使わせない、作らせない、持ち込ませない"という強い意志を持ったものであり、対応できない企業はEU市場から排除されていくことになる。

CRAの対象となるデジタル製品は有線・無線を問わず、既存のEU規制で定められている医療機器や航空、自動車などを除く「デジタル要素を備えたすべての製品」だ。具体的には、PCやスマートフォン、カメラ、IoT機器、モバイルアプリ、ビデオゲームなど、幅広いソフトウエアやハードウエア製品、これらのコンポーネントが含まれる。完成品だけでなく欧州企業へ納品している部品類も対象だ。

CRAは、デジタル製品におけるサイバーセキュリティーの欠陥からユーザーを守るためのもので、違反した企業には巨額の罰金が科される可能性がある。また、CRAでは対象製品の準拠状況をCEマークに統合して管理し、CEマークを取得できない製品は欧州市場で販売できなくなる。

対応にはまだ時間があると考えている日本企業も多いようだが、実はそうではない。同法にはシステム構築を含めた組織的な対応が求められ、認定機関の試算では適合認定までに2～3年程度の期間が必要とされている。逆算すれば、すぐにでも対応を開始しなければ間に合わない計算となる（図１）。

図１　CRA対応を支援するサイバートラストのソリューション

CRAに適応するには組織的な対応が必要となる。限られた準備期間の中で効率的に要件を満たしていけるよう、サイバートラストでは最適なツールとサービスを提供している

サイバートラスト株式会社
セールスマーケティング本部
フィールドマーケティング部　部長
堤 祐樹氏

「EU市場で製品を展開する企業は、すぐにでもCRAの要件を整理し、正式な適用前に前倒しして取り組みを開始する必要があります」と、サイバートラストの堤 祐樹氏は警鐘を鳴らす。

CRAで製造業者に直接的な影響を及ぼす範囲は、主に13条の「製造業者の義務」、14条の「製造業者の報告義務」となっている。メーカーはデジタル製品を販売する前に、そのセキュリティー適合性を確認し、販売後もそれを維持すること、脆弱性またはインシデントを認識後24時間以内に指定機関に報告すること、またサイバーセキュリティーに関する事項を文書にまとめ、適時アップデートすることなどが義務付けられる。

　「欧州で製品を展開するメーカーは、出荷前だけでなく出荷後も製品の脆弱性をしっかりと意識し、外注先も含めたサプライチェーン全体のセキュリティー適合性を継続的に把握していかなければなりません。具体的にはSBOM(Software Bill of Materials：ソフトウエア部品表)に加え、実施した対策の適合性評価の証明書なども提供する必要があります。組織的にはPSIRT^※1の機能が求められているため、そのための仕組みづくりやシステム整備を早急に行うことが大切です」（堤氏）

※1　PSIRT（Product Security Incident Response Team：ピーサート）：自社で製造・開発する製品に対し、セキュリティー強化やインシデント対応を行う組織のこと

CRA対応で最も重要なポイントとなるのが、継続的に発生する脆弱性と、製品・システムの詳細な構成情報であるSBOMをいかに紐付け、統合管理していくかである。CRAでは自社製品のみならず、サプライチェーンにおけるTier1／Tier2といった階層構造全体で脆弱性とSBOMを管理しなければならない。当然、それにかかる人手やコストは膨大になると予想される。

サイバートラスト株式会社
セールスマーケティング本部
フィールドマーケティング部
富田 佑実氏

「CRAに対応していく上で最も大きな課題となるのが、製品セキュリティーを担保するためのコストです。CRAで定められた要件は、本来なら企業が製品づくりを行う上で当然行うべき内容ですが、実際そこまで厳格に取り組んでいる日本企業は決して多くはありません。今回CRAで罰則が規定されたことで改めて危機感を感じているのが実情ではないでしょうか」と同社の富田 佑実氏は語る。

SBOMについても、欧米の取り組みが先行する中、日本では経済産業省が「ソフトウエア管理に向けたSBOMの導入に関する手引」を策定・公表したのが2023年7月で、大企業でも本格的な導入はこれからというケースがほとんどだ。

さらにSBOMでは大きくSPDX^※2とCycloneDX^※3と呼ばれる2つの代表的なフォーマットが混在しており、企業にかかわるサプライチェーンの中でもバラバラなケースがある。このため人手やコストを抑えつつ、2026年から2027年に向けた法令対応を急ぐには、CRAに対応した管理ツールやシステム活用が必須となる。

こうした課題への対応を支援するため、サイバートラストでは「欧州サイバーレジリエンス法支援ソリューション」を提供している。同ソリューションでは、CRAで求められるSBOM作成から脆弱性管理、対応体制構築までをフォローする製品・サービスをトータルに提供。「製造業者が準備しなければならないCRAの13条・14条に適合した環境構築を、出荷前の企画段階から設計・開発時、そして出荷後の運用保守までライフサイクル全般にわたってサポートできるのが大きな特長です」と堤氏は語る。

同社が特に強みを持つのが、CRAに対応した４つのツール群だ。

1つ目の「EMLinux」は組込み向け長期サポートOS。ミッションクリティカル分野で確実な動作実績と長期間の運用実績を持つIoT・組込み用Linux開発環境で、顧客製品をライフサイクル全体にわたってセキュアな状態を保てるようにしていく重要な基盤となる。

「EMLinuxは脆弱性検査機能を備えており、お客様のIoT・組込み製品に搭載されているカーネルやOSSパッケージにおける脆弱性を毎月最新のデータベースを使って検査し対処することができます。SBOM出力機能も備え、各パッケージのバージョンやライセンスの情報を把握してお客様のサプライチェーンセキュリティーを確実に確保します。また10年以上の脆弱性パッチと長期間のセキュリティーメンテナンスを提供しており、長期にわたって安心して使用できる点もユニークな特長です」（富田氏）

2つ目が「MIRACLE Vul Hummer」だ。これは、SPDXやCycloneDXといった様々な形式のSBOMを一元管理して、脆弱性を正確にチェックすることができる脆弱性管理ツール。日々新たに発見される脆弱性情報の収集とSBOMとの突合・紐付けを自動化できるため、CRA対応の工数・コストの大幅な削減につながる。

「MIRACLE Vul HummerはSaaSとして提供しますので、お客様環境にツールを構築することなく、最短3営業日で利用可能です。SBOMを活用したサプライチェーンの脆弱性の可視化と効率的な管理を実現することでCRAへの早期対応を実現します」と富田氏は話す（図2）。

図2　MIRACLE Vul Hammer（MVH）の概要

SaaSとして提供される「MIRACLE Vul Hammer」は、様々なフォーマットのSBOMや、既に管理されているシステム構成情報をCSVファイルやAPIで登録し、システム内のソフトウエアの脆弱性を容易に可視化する。CRA対応業務の運用コストを大幅に削減可能だ

3つ目の「Enterprise Pack for AlmaLinux」は、OSSを利用する製造業などで求められているSBOMの提供や更新を可能にしたAlmaLinuxベースのLinux OS。CentOSの後継OSとして需要が高まるAlmaLinuxに、日本語での技術サポートとEoL（End of Lifecycle）後最長6年の延長サポートを包括して提供する。

最後に4つ目の「EMEliminator」は、IoT・組込みLinux専用のセーフリスト（ホワイトリスト・許可リスト）型セキュリティーツール。外部からのマルウエア攻撃に効果的な対策となるほか、仮にマルウエアが侵入したとしても実行を阻止できる脆弱性対策としても有効だ。

さらに注目したいのは、これらのツールの適用と運用保守を支援するサービスも提供している点だ。

例えば「SBOM導入支援サービス」は、SBOMの導入も含め、どこから着手したらいいのか分からないという企業に対し、サイバートラストが課題の整理と解決を支援する。また「IoTセキュリティコンサルティングサービス」では、CRAに限らずISMSやIEC 62443、今後はJC-STARなどといった幅広いセキュリティー規格への対応を図りたいという企業に対し、実務経験豊富なセキュリティーコンサルタントが満たすべき要件を明確化。適合宣言書の作成や制度取得をトータルにサポートする。

「こうしたツールやサービスをご導入いただくことで、お客様は最小限のコストで日本の商習慣に沿ったサプライチェーン全体をカバーできるCRA対策環境をスピーディーに構築していただけます」（堤氏）

なぜサイバートラストでは、こうした支援ソリューションを提供できるのか。それは同社が日本初の商用電子認証局として25年以上にわたり提供している認証・セキュリティーサービスの実績と、MIRACLE LINUXおよびAlmaLinuxのカーネル技術、OSSコミュニティへの貢献などに裏打ちされた幅広いLinux／OSSサービスを展開してきた歴史があるからだ。

デジタルセキュリティーに関する法整備はCRAだけにとどまらない。例えば、サイバー攻撃の増加に伴い、経済産業省では「IoT製品に対するセキュリティ適合性評価制度構築方針」を公表し、情報処理推進機構（IPA）は2025年3月にIoT製品のセキュリティー確保のためのラベリング制度「JC-STAR」制度を立ち上げた。米国や英国、 EUなど主要各国でもサイバーセキュリティー法規制が策定され、相互承認する動きが加速している（図3）。

図3　欧米英における主なセキュリティー法規制

出典：「経済産業省におけるサイバーセキュリティ施策の取組状況について」（経済産業省、2024年10月8日）

サイバートラストは今後も安心・安全なシステム運用を実現するソリューションで、日本企業のビジネス展開をグローバルに支援していく考えだ。