![CRA(欧州サイバーレジリエンス法[Cyber Resilience Act])対策支援サービス_メイン画像](/_next/image?url=https%3A%2F%2Fsiv2.werte.jp%2Fwp-content%2Fuploads%2F2026%2F01%2FCRA1_service_MV.jpg&w=3840&q=85)
![CRA(欧州サイバーレジリエンス法[Cyber Resilience Act])対策支援サービス_メイン画像](/_next/image?url=https%3A%2F%2Fsiv2.werte.jp%2Fwp-content%2Fuploads%2F2026%2F01%2FCRA2_service_MV_sp.jpg&w=3840&q=85)
CRA(欧州サイバーレジリエンス法)
対策支援サービス
欧州で販売される「デジタル要素を有する製品」に対し、
サイバーセキュリティ対応を義務付ける
CRA(欧州サイバーレジリエンス法)の対応をご検討のお客様へ、
支援メニューをご提案いたします。
CRA(欧州サイバーレジリエンス法)概要
昨今、IoT機器やネットワーク接続機能を備えた製品は、生活や産業の利便性向上に不可欠となり、さまざまな分野で普及が進んでいます。一方で、デジタル要素を有する製品が増えることにより、脆弱性を悪用した不正アクセスやマルウェア感染、サービス停止など、サイバー攻撃のリスクも拡大しています。
こうした状況を受け、デジタル製品のサイバーセキュリティ対策は、企業のリスク低減にとどまらず、製品品質・信頼性を左右する重要な要素となりつつあります。特に海外市場では、一定のサイバーセキュリティ要件を満たすことが求められ、対応状況によっては市場での販売に影響が生じる可能性があります。
欧州では、デジタル要素を有する製品に対してサイバーセキュリティ対応を義務付けるCRAが策定されました。2027年12月11日に適用開始となりますが、直近の対応としては2026年9月11日から製造業者の脆弱性とインシデントの報告義務が適用されます。CRAは設計・開発段階からのリスクアセスメント、脆弱性管理、SBOM(ソフトウェア部品表)の整備、インシデント・脆弱性の報告体制など、製品ライフサイクル全体にわたる対応が求められますが、適用開始を待つのではなく、今から計画的に準備を進めることが重要になります。
CRAとは?
CRAは、EU市場で販売されるデジタル製品に、設計から運用までのセキュリティ責任を法的に義務づけた規則です。
正式名称「Cyber Resilience Act」の頭文字を取ってCRAで表記されることも多く、デジタル製品がより少ない脆弱性で市場に投入され、製造業者が製品のライフサイクル全体にわたってセキュリティを考慮することを保証することにより、デジタル要素を備えた安全な製品の開発の境界条件を設定することを目的としています。
CRA適用に向けた今後のスケジュール
| 対象機器例 |
|---|
| デジタル要素を含む製品。 例えば、ルータ、スイッチ、 IoTデバイスや、個人用ウェアラブル製品、商用利用されるソフトウェア |
本サービスのお問い合わせはこちらから
サービス内容
本サービスは規格理解のトレーニングをはじめ、セキュア開発プロセスの構築支援、リスクアセスメント、サイバーセキュリティ試験、SBOM構築支援、脆弱性管理プロセス(PSIRT)の構築支援、報告体制構築支援(CSIRT)までを提供します。
現時点では、CRAに関する整合規格が出揃っていない状況です。当社では、規格の動向を継続的に把握しながら、CRA対応に向けたサイバーセキュリティ支援サービスを提供しています。
サービスの流れ
サービス提供までの流れについては、以下のSTEPでご提供しております。
STEP1
ヒアリング
現状の状況や環境を把握するのに必要な情報を、ヒアリングシートのご入力、またはお打ち合わせ等で確認させて頂きます。
STEP2
御見積・対応範囲
適切な対応方法や機種によっての対応範囲を調査・検討し御見積りいたします。
STEP3
サービス内容のご提供
お客様のご要望に応じたサービス内容をご提供いたします。
STEP4
実施内容のご報告
必要に応じて実施結果をご報告いたします。
サービス価格
対象機器によって診断内容が変わるため、ご要件に応じて都度御見積をご提示させていただきます。
対象機器の機能等によって診断が難しい場合、すべての機能ではなく限定的に診断を行う場合がございます。
詳細は以下よりお問い合わせください。
よくあるご質問
A:この規則は、デジタル製品がより少ない脆弱性で市場に投入され、製造業者が製品のライフサイクル全体にわたってセキュリティを考慮することを保証することにより、デジタル要素を備えた安全な製品の開発の境界条件を設定することを目的としています。
A:一部を除くデジタル要素を備えた全ての製品が対象で、例えば、ルータ、スイッチ、IoTデバイスや、個人用ウェアラブル製品商用利用されるソフトウェア等が該当すると言われています。現在検討の製品が対象か気になる方は、ぜひ一度お問い合わせください。
A:はい、最⾼1,500万ユーロ⼜は当該企業の全世界売上⾼の2.5%以内の罰則が科せられ、上記の要求事項を守らなければ、欧州市場に上市できないものとなります。
A:現在のスケジュールは以下となります。
A:CRAの付属書には、SBOMの利活用が明示されています。SBOMの生成管理ツール等を用いて対応することをお勧めします。当社はSBOM構築支援として、ツールご提供も行っております。ぜひご相談ください。
関連サービス
サービスメニューに関連した他サービスについてご案内いたします。
IoT機器試験サービス
 |
|---|
| 『IoTセキュリティ診断』 |
| IoT 機器に対して適切と思われる診断プランをもとに、セキュリティのテスト手法を駆使して網羅的な診断を実施します。 |
 |
| 『EN 18031 に準拠した試験サービス』 |
| 欧州のRE指令のセキュリティ要件を満たす EN 18031の対応をご検討のお客様へ、本サービスをご提案いたします。 |
 |
| 『脆弱性管理支援サービス』 |
| オーダーメイドでSBOMの脆弱性調査から評価報告までの運用管理をサポートします。 |
SBOMツール
 |
|---|
| 『ONEKEY』 |
| バイナリひとつで製品の自動解析を行うSaaSプラットフォームツール
・SBOMの自動生成・リバースエンジニアリング・脆弱性リアルタイム監視 |
 |
| 『SBOM.JP』 |
| 共有フェーズ以降にフォーカスし、SBOM管理に必要な機能および脆弱性管理機能を提供します。 |
CRAへの対応をご検討の際は
お気軽にご相談ください。
セキュアイノベーション サービス一覧
