　特に産業用途（OT）向けのバーティカル規格として、欧州電気標準化委員会（CENELEC）［参考文献5］の作業部会（TC65X WG3）［参考文献6］が「IEC 62443をベースとしたOT規格」を開発中である。この規格は2026年2月にドラフトが公開され、2026年10月頃に承認、最終的に「EN IEC 62443/A11:2026」として2026年中に公表される予定である。

　ただし、この新しいEN規格は既存のIEC 62443をそのまま採用するのではなく、「共通修正（Common Modifications）」を加えた欧州版となる。つまり、IEC 62443認証を取得していても、EN版では追加要件への対応が必要になる可能性がある。そのため、現時点での対応としては、IEC62443を参照して対策を講じることになる。

図2 製品クラス別の整合規格適用範囲［クリックで拡大］

　当社は、CRAが求める「設計／開発段階からのセキュリティ」への対応として、IEC 62443-4-1を参照したセキュア開発ライフサイクルを組織として確立し、同規格の第三者認証を取得している。さらに、製品レベルでもIEC 62443-4-2に準拠したセキュリティ機能を備えた製品を多数展開し、開発プロセスから製品仕様まで一貫したセキュリティ体制を整えている。

　当社の開発ライフサイクルは、OTアプリケーション特有の脅威を踏まえたセキュリティ要件定義から始まり、セキュア設計、SAST／DAST／SCA（SBOM含む）による実装段階の多層的検証、脆弱性スキャンやペネトレーションテストによるセキュリティ確認、さらに運用時のパッチ管理、セキュアアップデート提供までを体系的に実施している。

　産業用ネットワーク機器は一般に10年以上使用されることから、当社は製品EOLまで継続的なセキュリティサポートを提供する前提で設計を行い、ライフサイクル全体にわたる安全性を確保している。

Moxaが実践するCRA対応ステップ：実務に基づく取り組み方針

　当社はこれまでの実務経験を基に、CRAへの対応を次のステップに沿って進めている。

対象製品の特定：製品が対象に該当するか、どのクラスに分類されるかを確認する。産業用通信機器や制御機器の多くは少なくともデフォルトカテゴリーに該当し、産業用途特化製品はクラスIIとなる可能性がある
既存のセキュリティ体制の評価：IEC 62443など既存のサイバーセキュリティ規格への対応状況を確認することで、CRA対応の効率化が図れる
セキュア開発プロセスの確立：IEC 62443-4-1をベースとした開発プロセスの導入。これは付属書I パートIの内容となる
脆弱性管理体制の整備：PSIRTの設置。2026年9月の報告義務開始に向けて対応
整合規格の動向監視：CENELEC TC65X WG3のOT規格など、関連する整合規格の策定状況を継続的に監視する
信頼できるサプライヤーの選定：組み込む部品や機器によっては、サプライヤーのIEC 62443-4-1／4-2 への取り組みやCRA対応状況を確認することが重要である

図3 CRAの適用判定とサプライチェーン各主体の責務［クリックで拡大］

まとめ

　CRAは2027年12月11日から本格適用されるEUの包括的サイバーセキュリティ規制であり、デジタル要素を持つ製品の設計／開発／製造／運用の段階にセキュリティ要件を課す。要求事項は「製品固有のセキュリティ要件」と「脆弱性処理要件」の2つの柱で構成され、製品カテゴリーごとに段階的な適合性評価が定められる。

　2026年9月11日の報告義務開始を皮切りに、製造業者には厳格な義務が適用され、最大で全世界売上高の2.5％に達する罰則も設けられているため、早期の準備が不可欠である。

　また、CRAは規制負担にとどまらず、デジタル製品のセキュリティ強化による競争力向上の機会でもある。既存のサイバーセキュリティ規格を活用した効率的な対応により、EU市場での優位性確保や顧客信頼の向上が期待できる。

　当社Moxaは、日本の産業分野のお客さまと同じ立場に立ち、CRA適合に向けて取り組んでいる。これまでIEC 62443やRED-DA（EN 18031）への対応を通じて培ってきたセキュリティ体制を生かし、今後もCRAの動向を注視しながら、継続的な対応を進めていく方針である。

著者紹介

石橋茜（いしばしあかね）
Moxa Japan プロダクトマーケティング部

機械工学の大学院修了後、航空機業界／自動車業界でエンジニアとして勤務したのち、Moxa Japanに入社。現在は産業用無線、産業用PC、シリアル通信機器を中心に製品戦略と技術提案を担当している。また、ベンチプレス競技でも世界選手権優勝の実績を持つ。

参考文献

［1］European Union.（2024）.“Regulation（EU）2024/2847."Official Journal of the European Union.

［2］European Union.（2022）.“Directive 2022/2555/EU.”Official Journal of the European Union.

［3］European Union.（2022）. "Commission Delegated Regulation（EU）2022/30." Official Journal of the European Union.

［4］European Standardization Organisations / CEN-CENELEC.（2025）. “Webinar ‘CRA Standards Unlocked: From EN IEC 62443 to CRA: OT Cybersecurity for Important products Class I & II’.” CEN-CENELEC Events.

［5］European Standardisation Organisations.（2025）. “Webinar ‘CRA Standards Unlocked: From EN IEC 62443 to CRA: OT Cybersecurity for Important products Class I & II’.” CEN-CENELEC.

［6］European Standardisation Organisations.（n.d.）. “CEN-CENELEC Standards Catalogue Entry.” CEN/CENELEC.

⇒その他の「新時代の産業サイバーセキュリティ」の記事はこちら

REDサイバーセキュリティ規制の全貌　新時代の無線セキュリティ対策要件
今、グローバルでサイバーセキュリティへの規制強化の波が高まっている。本稿では、欧州におけるRED（無線機器指令）の新サイバーセキュリティ対策要件の内容と導入の背景、産業分野における影響、そして実務的な対応のポイントを、産業用無線機器メーカーとしての経験に基づき解説する。
セキュリティや環境対応など、モノづくり以外の取引条件の重みが増す2026年
セキュリティインシデントで工場やサプライチェーンが止まったり、新たな環境規制や環境情報開示が求められたりする中、これらへの対応が取引条件として加えられるケースが増えている。製造業にとって製品の性能や仕様以外の要求が増えることになるが、2026年は真剣な対応が求められる1年となりそうだ。
IEC 62443とは何か、工場のサイバーセキュリティ対策のカギを握る国際標準を解説
スマートファクトリー化に伴い工場でもネットワーク化が進む中で、サイバーセキュリティ対策が欠かせないものとなりつつあります。しかし、製造現場ではこれらのサイバーセキュリティ対策のノウハウもなく「何から手を付けてよいか分からない」と戸惑う現場が多いのも現実です。その中で活用が進んでいるのが国際標準である「IEC 62443」です。本連載では、「IEC 62443」の概要と活用方法についてお伝えします。
安全な工場ネットワーク環境を作る組織とは？　その手引書となる「IEC 62443-2」
スマートファクトリー化に伴い工場でもネットワーク化が進む中で、サイバーセキュリティ対策の重要性が高まっています。その中で注目を集めている国際標準規格が「IEC 62443」です。本連載ではそのIEC 62443について解説をしていますが、2回目となる今回は、組織面について規定した「IEC 62443-2」について紹介します。