CRAで変わる産業サイバー対策：実務対応ポイントと最新動向：新時代の産業サイバーセキュリティ（2）（2/3 ページ）

[石橋茜／Moxa Japan，MONOist]

CRAの必須サイバーセキュリティ対策要件

　CRAは「製品特性に関するサイバーセキュリティ要件（Annex I Part I）」と「脆弱性処理要件（Annex I Part II）」の2つの柱で構成される。

付属書I パートI（Annex I Part I）：製品固有のセキュリティ要件

　付属書I パートIは、製造者が設計、開発、製造の各段階でリスク評価に基づく適切なセキュリティ機能を確保し、既知の悪用可能な脆弱性を残したまま市場投入しないことを義務付けている。

　また、推測容易なデフォルト認証情報（例: admin/admin）を許容しない方向性を明確にしており、初回利用時にユーザーに固有パスワードなどの設定を強制するか、デバイス固有の認証情報（ラベル、QRコード、証明書など）を安全な形で提供することが求められる。

　主な要件としては、以下が挙げられる。

• 不正アクセスの防止：強固な認証／認可、権限分離、特権アクセス管理
• データ保護：保存・送信時の暗号化、鍵管理、改ざん検知
• 可用性の確保：DoS/DDoS攻撃への耐性、レート制御、リソース保護
• 攻撃面の最小化：外部インタフェースの限定、不要機能の無効化
• インシデント影響の軽減：サンドボックス化、分離、整合性検証
• セキュリティ情報の提供：監査ログ、イベント記録、健全性モニタリング

付属書I パートII（Annex I Part II）：市場投入後の脆弱性処理

　付属書IパートIIは、市場投入後も製品の安全性を維持、向上させるための運用義務を定める。製造者は以下を継続的に実施する必要がある。

• SBOM（ソフトウェア部品表）の作成と継続更新：コンポーネントや脆弱性の把握、リリース差分の管理
• 迅速な脆弱性対処：リスクに応じた優先度付けとパッチ提供
• 定期的セキュリティテスト：製品のセキュリティ性を継続的に評価
• 脆弱性情報の公開：パッチ公開後、影響範囲、重大度（CVSS）、想定リスク、対処手順を含むアドバイザリを開示
• 協調的脆弱性開示方針（CVD）：外部からの脆弱性報告を受け入れる体制の確立
• セキュアアップデート：署名検証や暗号化通信による安全な更新メカニズムの提供

　さらに、製造者は製品のサポート期間を「合理的に想定される使用期間」や関連する他のEU法令などを踏まえて設定し、その期間中は継続的にセキュリティアップデートを提供する義務を負う。

CRA報告義務とMoxaにおける実務対応

　CRAでは製造業者には厳格な報告義務が課されている。特に積極的に悪用されている脆弱性については、認識後24時間以内に欧州サイバーセキュリティ機関（ENISA）および加盟国のCSIRT（Computer Security Incident Response Team、サイバーセキュリティインシデントが発生した際に、その対応を専門的に行うチーム）へ報告する必要がある。

　重大なセキュリティインシデントについても同様に24時間以内の初期報告が求められ、72時間以内に詳細報告、さらに2週間以内に最終報告の提出が義務付けられており、2026年9月11日から適用開始される。

　当社では、以前より専任のPSIRT（Product Security Incident Response Team）を設置し、脆弱性の監視、分析、対処を継続的に実施している。脆弱性に公式のCVE IDを付与して公開できる CVE Numbering Authority（CNA） として認定されており、発行する脆弱性アドバイザリはグローバルに参照される。脆弱性情報はセキュリティアドバイザリWebサイトにて公開している。

　これらは、CRAに適合するための脆弱性管理手順の体系化としても不可欠であり、この構築と運用には相応の工数と専門性が求められる。このため当社では、以前よりセキュリティ対応を取締役レベルを含めた経営課題として位置付け、年度計画の中で取り組んできた。その結果、CRAで求められる報告義務への対応についても、スムーズに進められる見通しである。