「EU CRAって何ですか？うちの製品、輸出できなくなるんですか？」——専門家に聞いてみた

登場人物

🏭 田中さん（製品開発部長・50代）——自社製品の一部を欧州の代理店経由で販売している。最近「EU CRA」という言葉を耳にして不安になっている。

🔒 佐藤さん（セキュリティコンサルタント）——大手コンサル出身の製品セキュリティ専門家。EU CRAの動向もフォローしている。

第1章：EU CRAって何ですか？

🏭 田中: 取引先の欧州代理店から「CRAへの対応はどうなっていますか」って聞かれたんですが、正直よく分からなくて。

🔒 佐藤: EU CRAは「Cyber Resilience Act」の略で、サイバーレジリエンス法と呼ばれています。EU市場で販売するすべてのデジタル製品が対象で、2024年に法律として成立して、2027年12月に完全適用されます。

🏭 田中: あと1年半くらいですか。

🔒 佐藤: 製品の設計変更やプロセス整備を考えると、そんなに余裕はありません。

第2章：何が求められるのか

🔒 佐藤: 大きく分けて4つの柱があります。

1つ目：セキュリティ・バイ・デザイン。製品の設計段階からセキュリティを組み込むこと。リスクアセスメントを行って、その結果を設計に反映するプロセスが必要になります。

2つ目：脆弱性管理の義務化。最低5年間、脆弱性を把握し修正パッチを提供する義務があります。脆弱性が見つかったら24時間以内にENISAに報告する義務もあります。

3つ目：技術文書の整備。リスクアセスメントの結果、採用したセキュリティ対策、テスト結果などを文書化する必要があります。

4つ目：CEマーキングとの統合。CRAに適合した製品はCEマーキングの対象になります。

第3章：うちの製品は対象になるのか

🔒 佐藤: ネットワークに接続するデジタル製品はほぼすべて対象です。ただし製品によってリスクのカテゴリ分けがあります。

だからこそ、規格の完成を待たずに今できることから始めるのが正解なんです。

第4章：JC-STARとの関係

🔒 佐藤: 直接の互換性はありませんが、求めている内容にかなり共通点があるんです。

• デフォルトパスワードの排除 → JC-STARでもCRAでも要求
• セキュリティアップデートの提供 → 両方とも必須
• 脆弱性の受付体制 → 両方とも求められる
• データの暗号化 → 両方ともカバー

JC-STARの★1取得をフェーズ1のゴールに設定するのが賢いやり方です。JC-STARの準備がそのままCRA対応の第一歩になります。

第5章：今から何を準備すべきか

🔒 佐藤: 現実的なステップはこうです。

フェーズ1（今すぐ〜3か月）：現状把握

• 対象製品の洗い出し（EU向けに販売しているもの）
• JC-STARのチェックリストで自社製品のギャップ分析
• 脆弱性受付窓口の設置
• アップデート提供方針の文書化

フェーズ2（3〜6か月）：体制構築

• 脆弱性対応プロセス（PSIRT機能）の整備
• セキュリティ開発プロセスの見直し
• 技術文書のひな形作成

フェーズ3（6〜12か月）：適合準備

• リスクアセスメントの実施
• 技術文書の完成
• 適合性評価の方法の決定
• 必要に応じて製品の設計変更

第6章：違反したらどうなるのか

🔒 佐藤: 罰則はかなり厳しいです。

• CRAの基本要件に違反した場合：最大1,500万ユーロまたは全世界売上高の2.5%
• 報告義務違反：最大500万ユーロまたは売上高の1%

CRAに適合しない製品はCEマーキングを貼れないので、EU市場で販売できなくなるんです。だから「対応しなくてもいいか」ではなく、「いつから対応を始めるか」だけが問題なんです。

まとめ：EU CRA対応の3つの出発点

🏭 田中: JC-STARから始めて、CRAに広げていく。この順番なら現実的にやれそうです。

🔒 佐藤: 今日やったことが1年後に効いてきます。

自社だけで進めるのが難しいと感じたら

「CRAの要件が自社製品にどう当てはまるか分からない」「JC-STARとCRAのどちらから手をつけるべきか判断できない」——そんな場合は、外部の専門家と一緒に整理するのも現実的な選択肢です。