EUサイバーレジリエンス法(Cyber Resilience Act)は、EU域内で提供・流通するデジタル要素を含む製品に対し、設計段階からライフサイクル全体にわたるサイバーセキュリティ対策を義務づける法的枠組みです。2024年にEUが導入を進め、2027年12月には全規則の適用が予定されています。本法は、ソフトウェアやIoT機器などを対象としたセキュリティ要件を初めて包括的に定めたものであり、グローバル市場で製品を提供する企業にとって、極めて影響力の大きい規制となっています。
EUサイバーレジリエンス法(以下CRA)の対象には、ソフトウェア、IoT機器、組み込み機器など、広範な「デジタル要素を含む製品」が含まれます。企業には、出荷前のリスク評価、EU当局への脆弱性・インシデント報告、PSIRTの構築と運用、製品カテゴリに応じて原則5年間のセキュリティパッチやソフトウェアアップデートの提供、サプライチェーンに対する対策、そしてCEマーキングなどが求められます。
図:CRA要件の代表例
IoTの急速な普及に伴い、ネットワーク接続製品を標的としたサイバー攻撃が増加するなか、製品レベルでのセキュリティ強化は重要な課題となっています。特に、既存のソフトウェアや構成要素に潜む脆弱性が放置されるリスクが顕在化しており、こうした状況への制度的対応としてCRAが位置付けられています。EUはこの法律を通じて、信頼性と競争力を備えたデジタル市場の構築を目指しています。
CRAはガイドラインではなく、法的拘束力を持つ厳格な規制です。製品のライフサイクル全体を通じたセキュリティ確保が義務化されており、さらにSBOM(ソフトウェア部品表)の管理やサプライチェーン全体への責任も重要なポイントとなります。
一方、今後の課題としては、セキュリティ要件への適合性を判断する整合規格の策定、法規の適用範囲や他法規との関係を明確にするガイダンスの策定、セキュリティ更新・サポート期間の考え方を示すガイダンスの策定が挙げられ、実務に資する具体的指針の整備が期待されています。
CRAは、製品セキュリティを「努力義務」から「法的義務」へと引き上げ、企業に対して明確な責任を課す制度です。サイバー脅威が日常化する現代において、CRAはすべての製品提供者にとって避けては通れない基準となりつつあります。