用語集 › 🔒 セキュリティ › サイバーレジリエンス法(CRA)
【さいばーれじりえんすほう】

サイバーレジリエンス法(CRA) とは?

💡 売る前にセキュリティ、EUの新常識
📌 このページのポイント
サイバーレジリエンス法(CRA)の要件 製品ライフサイクル全体でセキュリティを義務化 設計 セキュリティ バイデザイン 開発 脆弱性テスト SBOM作成 出荷 CEマーキング 適合宣言 運用・保守 脆弱性修正パッチ 最低5年間提供 対象製品のカテゴリ分類 デフォルト(大多数) 自己適合宣言でOK 重要(クラスI) 標準準拠 or 第三者認証 重要(クラスII) 第三者認証が必須 スマートスピーカー等 ルーター、OS、VPN等 産業用制御、スマートメーター等 違反時:最大1500万ユーロ or 全世界売上高の2.5%
サイバーレジリエンス法の全体像
ひよこ ひよこ

サイバーレジリエンス法って、GDPRみたいに個人情報を守る法律なの?

ペンギン先生 ペンギン先生

ちょっと違うんだ。CRAはデジタル製品そのもののセキュリティを義務付ける法律だよ。IoT機器やソフトウェアを販売する前に、一定のセキュリティ基準を満たさないといけないんだ。

ひよこ ひよこ

具体的にはどんな製品が対象なの?

ペンギン先生 ペンギン先生

ネットワークに接続するほぼすべてのデジタル製品が対象だよ。スマートスピーカー、ルーター、スマートウォッチはもちろん、OSやブラウザなどのソフトウェアも含まれるんだ。

ひよこ ひよこ

メーカーは何をしなきゃいけないの?

ペンギン先生 ペンギン先生

設計段階からセキュリティを組み込むセキュリティ・バイ・デザインが求められるよ。さらに製品出荷後も最低5年間は脆弱性が見つかったら修正パッチを提供し続ける義務があるんだ。

ひよこ ひよこ

5年間もパッチを出し続けるのは大変そうだね…

ペンギン先生 ペンギン先生

確かに大変だけど、それだけ深刻な問題が起きているんだよ。安い IoT機器がセキュリティ更新なしで放置されて、ボットネットに悪用される事件が多発していたからね。

ひよこ ひよこ

オープンソースソフトウェアはどうなるの?

ペンギン先生 ペンギン先生

非商用のオープンソースは基本的に免除されるよ。ただし、商用製品に組み込まれたOSSは対象になるから、OSSの管理者と製品メーカーの責任分界が業界で大きな議論になっているんだ。SBOMの作成義務もあるから、ソフトウェア部品表管理がますます重要になるね。

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
サイバーレジリエンス法」って出てきたら「EUがデジタル製品にセキュリティ対策を義務化した法律」と思えればだいたいOK!
📖 おまけ:英語の意味
「Cyber Resilience Act」 = サイバーレジリエンス法
💬 Resilienceは「回復力」という意味で、サイバー攻撃を受けても復旧できる力を製品に求めるという趣旨の名前だよ
🔗 あわせて読みたい
← 用語集にもどる