CRAで変わる産業サイバー対策：実務対応ポイントと最新動向：新時代の産業サイバーセキュリティ（2）（3/3 ページ）

EUで成立したサイバーレジリエンス法（CRA）は、デジタル要素を持つ製品に対し、設計から市場投入後まで一貫したサイバーセキュリティ対策を義務付けている。EU市場に製品を供給する場合、EU域外の日本企業もCRA対応が必要となる。本稿では、CRA対応の要点を解説する。

[石橋茜／Moxa Japan，MONOist]

整合規格（Harmonised Standards）の策定動向とMoxaの取り組み

　CRAの具体的実装を支える基盤として、欧州標準化機関（CEN/CENELEC、ETSI）が整合規格（harmonised standards, hEN）の策定を進めている。整合規格に準拠した製品はCRA要件への適合が推定されるため、製造者にとって重要な実装指針となる。

　しかし、2025年12月時点で整合規格はまだ完成しておらず、欧州標準化機関は合計41のCRA関連規格［参考文献4］［参考文献5］を策定中であり、以下のような分類が予定されている。

• ホリゾンタル規格（Horizontal Standards）
  • 1〜15番、全製品に適用される共通要件
• バーティカル規格（Vertical Standards）
  • 16〜34番（クラスI）
  • 35〜38番（クラスII）
  • 39〜41番（クリティカル）

　特に産業用途（OT）向けのバーティカル規格として、欧州電気標準化委員会（CENELEC）［参考文献5］の作業部会（TC65X WG3）［参考文献6］が「IEC 62443をベースとしたOT規格」を開発中である。この規格は2026年2月にドラフトが公開され、2026年10月頃に承認、最終的に「EN IEC 62443/A11:2026」として2026年中に公表される予定である。

　ただし、この新しいEN規格は既存のIEC 62443をそのまま採用するのではなく、「共通修正（Common Modifications）」を加えた欧州版となる。つまり、IEC 62443認証を取得していても、EN版では追加要件への対応が必要になる可能性がある。そのため、現時点での対応としては、IEC62443を参照して対策を講じることになる。

図2 製品クラス別の整合規格適用範囲［クリックで拡大］

　当社は、CRAが求める「設計／開発段階からのセキュリティ」への対応として、IEC 62443-4-1を参照したセキュア開発ライフサイクルを組織として確立し、同規格の第三者認証を取得している。さらに、製品レベルでもIEC 62443-4-2に準拠したセキュリティ機能を備えた製品を多数展開し、開発プロセスから製品仕様まで一貫したセキュリティ体制を整えている。

　当社の開発ライフサイクルは、OTアプリケーション特有の脅威を踏まえたセキュリティ要件定義から始まり、セキュア設計、SAST／DAST／SCA（SBOM含む）による実装段階の多層的検証、脆弱性スキャンやペネトレーションテストによるセキュリティ確認、さらに運用時のパッチ管理、セキュアアップデート提供までを体系的に実施している。

　産業用ネットワーク機器は一般に10年以上使用されることから、当社は製品EOLまで継続的なセキュリティサポートを提供する前提で設計を行い、ライフサイクル全体にわたる安全性を確保している。

Moxaが実践するCRA対応ステップ：実務に基づく取り組み方針

　当社はこれまでの実務経験を基に、CRAへの対応を次のステップに沿って進めている。

1. 対象製品の特定：製品が対象に該当するか、どのクラスに分類されるかを確認する。産業用通信機器や制御機器の多くは少なくともデフォルトカテゴリーに該当し、産業用途特化製品はクラスIIとなる可能性がある
2. 既存のセキュリティ体制の評価：IEC 62443など既存のサイバーセキュリティ規格への対応状況を確認することで、CRA対応の効率化が図れる
3. セキュア開発プロセスの確立：IEC 62443-4-1をベースとした開発プロセスの導入。これは付属書I パートIの内容となる
4. 脆弱性管理体制の整備：PSIRTの設置。2026年9月の報告義務開始に向けて対応
5. 整合規格の動向監視：CENELEC TC65X WG3のOT規格など、関連する整合規格の策定状況を継続的に監視する
6. 信頼できるサプライヤーの選定：組み込む部品や機器によっては、サプライヤーのIEC 62443-4-1／4-2 への取り組みやCRA対応状況を確認することが重要である

図3 CRAの適用判定とサプライチェーン各主体の責務［クリックで拡大］

まとめ

　CRAは2027年12月11日から本格適用されるEUの包括的サイバーセキュリティ規制であり、デジタル要素を持つ製品の設計／開発／製造／運用の段階にセキュリティ要件を課す。要求事項は「製品固有のセキュリティ要件」と「脆弱性処理要件」の2つの柱で構成され、製品カテゴリーごとに段階的な適合性評価が定められる。

　2026年9月11日の報告義務開始を皮切りに、製造業者には厳格な義務が適用され、最大で全世界売上高の2.5％に達する罰則も設けられているため、早期の準備が不可欠である。

　また、CRAは規制負担にとどまらず、デジタル製品のセキュリティ強化による競争力向上の機会でもある。既存のサイバーセキュリティ規格を活用した効率的な対応により、EU市場での優位性確保や顧客信頼の向上が期待できる。

　当社Moxaは、日本の産業分野のお客さまと同じ立場に立ち、CRA適合に向けて取り組んでいる。これまでIEC 62443やRED-DA（EN 18031）への対応を通じて培ってきたセキュリティ体制を生かし、今後もCRAの動向を注視しながら、継続的な対応を進めていく方針である。

著者紹介

石橋 茜（いしばし あかね）
Moxa Japan プロダクトマーケティング部

機械工学の大学院修了後、航空機業界／自動車業界でエンジニアとして勤務したのち、Moxa Japanに入社。現在は産業用無線、産業用PC、シリアル通信機器を中心に製品戦略と技術提案を担当している。また、ベンチプレス競技でも世界選手権優勝の実績を持つ。

参考文献

［1］European Union.（2024）.“Regulation（EU）2024/2847."Official Journal of the European Union.

［2］European Union.（2022）.“Directive 2022/2555/EU.”Official Journal of the European Union.

［3］European Union.（2022）. "Commission Delegated Regulation（EU）2022/30." Official Journal of the European Union.

［4］European Standardization Organisations / CEN-CENELEC.（2025）. “Webinar ‘CRA Standards Unlocked: From EN IEC 62443 to CRA: OT Cybersecurity for Important products Class I & II’.” CEN-CENELEC Events.

［5］European Standardisation Organisations.（2025）. “Webinar ‘CRA Standards Unlocked: From EN IEC 62443 to CRA: OT Cybersecurity for Important products Class I & II’.” CEN-CENELEC.

［6］European Standardisation Organisations.（n.d.）. “CEN-CENELEC Standards Catalogue Entry.” CEN/CENELEC.

⇒その他の「新時代の産業サイバーセキュリティ」の記事はこちら