2026年の最重要事案かもしれない「欧州サイバーレジリエンス法（CRA）」の衝撃：武田一城の「製品セキュリティ」進化論（2）（2/2 ページ）

近年「製品セキュリティ」と呼ばれ始めたセキュリティの新分野に関する事象を紹介し考察する本連載。今回は、2026年の最重要課題になるかもしれない「欧州サイバーレジリエンス法（CRA）」について論じる。

[武田一城，MONOist]

CRAに明記された要求事項と日本の製造業が受ける「衝撃」

　CRAは、デジタル要素を含む製品（IoT機器、ソフトウェア、ネットワーク機器、産業制御システムなど）をEU市場で流通させる全ての企業に、直接的な法的義務を課す法規制だ。そして、その特徴としてCRAはEU域外の企業にも適用される域外適用の原則を持っている。

1．製造者としての義務と責任

　日本の製造業が、自社製品をEU市場に輸出／販売する場合、CRA上の製造業者（Manufacturer）としての義務を負う。これには、製品の設計段階からセキュリティ要件を満たすこと、技術文書（リスク評価、適合宣言書など）を作成すること、そして製品販売後最低5年間、製品のライフサイクル全体を通じてセキュリティアップデートを提供し続けることが含まれる。

2．輸出（欧州から見ると輸入）／流通事業者としての義務と責任

　日本から製品を仕入れてEU域内で販売する企業（輸出業者や商社など）も、製品がCRAに準拠しているかを確認しなければならない。もし、リスクがあると判断すれば流通を停止する義務を負う。これは、CRAが製造者だけでなく輸出／流通事業者も対応する義務と責任があることを示している。

3．重大な罰則規定（経済的リスク）

　繰り返しになるが、CRAの罰則は1500万ユーロまたはその企業の全世界年間売上の2.5％のいずれか高い方の罰金が科される可能性がある。これはCRAの違反が極めて重大な経済的リスクとなることを示している。

日本のサプライチェーン全体を襲う本当の衝撃

　ここまでCRAの実像を読み進めても、「まだ自社は完成品メーカーではないので直接問題はない」と考えている方がいるのであれば、その考えは甘いと言わざるを得ない。CRAの真の衝撃は、最終製品メーカーだけでなく、サプライチェーンを構成する下位の部品メーカーやソフトウェアプロバイダーにも影響が波及する点にあるからだ。

　以下に、日本のサプライチェーン全体が対応しなければならない内容の幾つかを記した。すでにこのような動きから対応が進めば、そのこと自体はとても良い傾向だと考えてよいだろう。ただし、そうでない場合はCRAへの対応と自社のリスクを抜本的に見直すべきだ。

　抜本的な見直しは、次のような内容となるだろう。まず、完成品メーカーが部品メーカーなどのサプライヤーに対して、CRAの適合性を確保するため、納入される部品や組み込みソフトウェアがセキュリティ要件を満たしていることを証明し、その構成要素を示すSBOMの提供を要求する。

　サプライヤーがCRA対応を怠ると、完成品メーカーはその部品を採用できなくなる。結果として、取引停止やサプライチェーンからの除外という事態にもなりかねない。つまり、CRAは事実上、EU市場と取引を行う全ての企業にとっての「セキュリティに関する新たな取引条件」となるのだ。

　そして、それらは新たな商習慣に近いものと成り得るだろう。グローバル展開する大手製造業者がCRA対応を徹底すれば、その要求事項は日本の国内調達基準にも自然と反映されるようになるからだ。結果として、CRAのセキュリティ要件が日本の製品セキュリティの新たな基準にもなり得る。

---

　これが、筆者が今回の記事のタイトルで記した「2026年の最重要事案かもしれない」ということの正体だ。この対応の是非で、日本の製造業の巨大なサプライチェーンとそれを構成する企業群が大きく変わってしまう――そのような可能性を秘めているのが、CRAなのだ。

　次回は、筆者がCRAについての日本の現状を調査した結果（Webアンケートなど）でもう少しだけ深掘りしていきたい。（次回に続く）

著者プロフィール

武田一城（たけだ かずしろ）　株式会社ベリサーブ

1974年千葉県生まれ。セキュリティ分野のマーケティングスペシャリスト。次世代ファイアウォールをはじめ、さまざまな新規事業の立ち上げに従事。セキュリティに限らず、IT全般の動向にも詳しく、インターネットや書籍の執筆実績が多数あり。NPO法人日本PostgreSQLユーザ会理事。日本ネットワークセキュリティ協会（JNSA）のワーキンググループや情報処理推進機構（IPA）の委員会活動、各種シンポジウムや研究会、勉強会での講演をはじめ製品セキュリティの啓発に向け精力的に活動している。