日本企業も無関係ではないEUサイバーレジリエンス法（CRA）―Security by DesignとSBOM対応が必須に―

■EUサイバーレジリエンス法（CRA）とは

EUのサイバーレジリエンス法 (CRA) は、EU市場で流通するデジタル要素を含む製品のサイバーセキュリティ対策を義務付ける法規制であり、2024年12月10日に発効され、2026年9月11日から脆弱性やインシデント報告義務に関する部分が適用を開始、2027年12月11日からは全面的に適用となります。

■デジタル要素を含む製品とは

デジタル要素を含む製品とは、
・組込みソフトウェアを含むハードウェア製品、
・リモート経由で機能やサービスを提供するソリューション、
・単体のソフトウェアとしてEU域内で流通するもの（有償／無償問わない。）
とされており、機械の電子化が進む現代においては、純粋な機械設備を探す方が難しいかもしれません。

■日本の企業も例外ではない

日本企業もEU向けにデジタル要素を含む製品を輸出する際には、CRAの要件を遵守する必要があります。違反した企業には1,500万ユーロ（約23億5,000万円）またはグローバルの売り上げの2.5％のいずれか高い方を科す罰則規定があります。

■下請企業、委託先も人ごとではない

またCRA法では、下請企業などサプライチェーンや、ソフトウェア開発などの委託先の情報セキュリティ対策状況を把握し、必要に応じて対策を指示する義務があるとしています。
中小企業だから対象外になるわけではなく、情報セキュリティが今後、取引条件となっていくことが予測されます。経済産業省が2026年開始に向けて準備を進めている「サプライチェーン強化に向けたセキュリティ対策評価制度」（サプライチェーン強化に向けたセキュリティ格付け制度」もCRA法に対応するためのものだと思われます。

■Security by Design、SBOM、インシデント対応が必須に

情報セキュリティへの取り組みが遅れている日本企業にとっては、時間的余裕は全くない状況である上に、情報セキュリティ対策の中でも難易度が高い、
①Security by Design、②SBOM、③インシデント対応が必須になっています。
①Security by Designでは、製品の企画・設計段階からサイバーセキュリティ対策を考慮すること、販売後も脆弱性に対応したアップデートを速やかに提供することが求められています。②SBOM（ソフトウェア部品表）では、製品を構成するソフトウェアコンポーネントの種類や依存関係をリスト化し、脆弱性情報が公表された際に、その影響を確認し、アップデートの提供が求められています。③インシデント対応では、製品のセキュリティに影響を及ぼすインシデントを発見した場合、24時間以内にENISA（European Network and Information Security Agency：欧州連合サイバーセキュリティ機関）に報告することが義務付けられています。

■経営課題としての情報セキュリティ

CRA法への対応は日本国内全体での課題であり、一企業だけでできることではありません。しかし、DX時代において情報セキュリティは、もはや品質保証として不可欠なものであり、経営課題として自社の情報セキュリティについて考えていくことが急務になっていることは明らかでしょう。