EUサイバーレジリエンス法(CRA) 2027年12月、完全適用へ

VicOne CRA Studio
CRA対応をあらゆる段階で一元管理する
統合プラットフォーム

VicOneの「CRA Studio」は、CRA対応の自動化やSBOM管理からサプライチェーン全体のリスク管理までをひとつのプラットフォームで提供します。
標準搭載の脅威インテリジェンスは、NVD(国家脆弱性データベース:National Vulnerability Database)を189%上回る脆弱性情報を網羅し、CRA対応業務の迅速な立ち上げから運用までを支えます。

本当のリスク

CRA対応は
製品を出荷して終わりではありません。

出荷する製品一つひとつには長期にわたるコンプライアンス対応が求められます。
CRAの義務は製品の想定使用期間を通じて課され、製品寿命を5年未満と明示した場合を除き最低でも5年間のサイバーセキュリティ対応が必要です。想定使用期間が5年を超える製品ではその全期間が対象となります。

CRA対応の業務は分断されがちで、その多くの工程を手作業に依存しています。セキュリティやコンプライアンス関連のデータは部門やツールごとに散在し、サードパーティ製コンポーネントや脆弱性の状況は見えにくいままです。その間にも新たな脅威が次々と現れ、セキュリティ運用を圧迫し続けます。

こうした運用上の空白が修正対応を遅らせ、報告期限を逸するリスクを高めます。

非準拠の場合、最大1,500万ユーロまたは世界全体の年間売上高の2.5%の制裁金が科される可能性があり、さらに、EU市場から締め出されることにもなりかねません。2027年12月がCRAの完全適用期限です。
統合プラットフォーム

脅威の検知から報告までを24時間以内に。
CRA対応を一つのプラットフォームに集約。

脅威への先回り対応

製品ライフサイクル全体にわたり、新たに発生する脆弱性や攻撃経路、進行中の脅威を可視化し、推奨される緩和策とあわせて継続的にモニタリングすることで脅威に先回りした対応を実現します。

多様な脅威の可視化

ゼロデイ脆弱性や未公開・既知の脆弱性に加え、CWE、APT、ランサムウェアの脅威まで高精度に可視化し、インシデントの報告と対応を効率化。NVDを189%上回る脆弱性情報のカバレッジを提供します。

脆弱性の優先度付け

VicOne独自の脆弱性影響度評価「VVIR(VicOne Vulnerability Impact Rating)」が脆弱性を継続的にスキャン・評価し、重要リスク上位10%に対応を集中できます。

CRA Cycle
脅威モデリング

サイバーセキュリティリスクを自動的に特定・評価・優先付けし、全工程にわたるトレーサビリティを実現。コンプライアンス対応と長期的なリスク管理を効率化します。

SBOM管理

サードパーティ製・オープンソースのコンポーネントを可視化し、サプライチェーンのリスクを低減。脆弱性を迅速に特定し、依存関係を正確に把握できます。

CRA対応プロセス
VicOne CRA Studio

製品情報の入力

製品ドキュメントと既存の認証情報をアップロード

IEC 62443 · ISO 21434
EN 303 645 · EN 18031-1

CRA条項へ自動マッピング

→ 手作業を削減

製品セキュリティ評価

脅威モデリング
SBOM管理
リスク評価
脆弱性対応
緩和策策定

CRA関連文書の作成

  • CRA条項への自動マッピング
  • 脆弱性の追跡と報告を迅速化
  • ワンクリックでのレポート生成
  • CRA対応の全工程にわたるトレーサビリティ
FAQ

よくあるご質問

EUサイバーレジリエンス法(CRA)は2024年12月に発効しました。IoT機器、産業機器、EV充電器、農業機械、オフハイウェイ機器をはじめとするデジタル要素を備えた製品の製造者に対して、製品ライフサイクル全体にわたるサイバーセキュリティ要件への準拠を義務付けています。具体的には、SBOMの文書化、継続的な脆弱性管理、セキュリティアップデートの配布、ENISA(欧州ネットワーク・情報セキュリティ機関:European Union Agency for Cybersecurity)へのインシデント報告が含まれます。
CRA適用はフェーズに分かれており、2026年9月までに、悪用が確認された脆弱性のENISAへの24時間以内の報告義務(脆弱性報告・インシデント通知)が先行して適用されます。対象となるすべての製造者は、2027年12月までに製品のセキュリティ要件を含む全義務への完全適用が求められます。
CRAは、ネットワークまたはデバイス接続機能を持つハードウェアまたはソフトウェア製品をEU市場に提供するすべての製造者が対象です。対象には、IoT機器、産業用制御システム、EV充電器、コンシューマー向け電子機器、農業機械、非道路走行機械(NRMM)、オフハイウェイ機器などが含まれ、適用範囲は自動車や重要インフラに限定されません。
また、無線通信機能を持つ製品など一部のカテゴリでは、無線機器指令(RED)など既存の規制と併せてCRAの義務が適用されます。
VicOneのCRA Studioは、SBOMの抽出、出荷済みファームウェアへの脆弱性スキャン、悪用可能性に基づく優先度付け、文書生成など、手作業によるコンプライアンス対応でエンジニアの工数を消費する作業を自動化します。
新たなCVEが公開されると管理対象の製品一覧と自動的に照合し、影響を受ける出荷済み製品を特定するとともにCRAで求められる監査文書を生成するため、CVEが公開されるたびにエンジニアが介在する必要はありません。
ソフトウェア構成分析(SCA)ツールは、主に開発工程における脆弱性の特定を目的としています。一方でCRAは、出荷後を含めた製品のサポート期間全体にわたり脆弱性への対応を継続的に監視・評価・文書化することを求めており、新たなCVEが公開された場合には市場に出荷済みの製品も対象として影響評価と対応が必要になります。
多くのSCAツールは、出荷済み製品の継続的な再スキャンやNVD(国家脆弱性データベース:National Vulnerability Database)を超える脅威インテリジェンスの提供、CRAの技術ファイル要件に必要な監査文書の生成には対応していません。
CRAでは、悪用が確認された脆弱性を特定してから24時間以内にENISAへ通知することを義務付けています。VicOneのCRA Studioの脅威インテリジェンスはNVDを189%上回る網羅範囲を持ち、ゼロデイ検出を含む悪用活動をCVEフィードへの掲載前に把握します。悪用が確認された脆弱性を検知すると、影響を受ける製品を特定し攻撃経路を可視化するとともに、CRAの24時間以内の報告義務に対応した文書を自動生成します。