欧州サイバーレジリエンス法(CRA)におけるリスク分類と適合性評価

機能安全

欧州サイバーレジリエンス法(Cyber Resilience Act: CRA)は、2024年に発効し、2027年12月から全面適用される予定です。本法は、ソフトウェアやハードウェアを含む「デジタル要素を有する製品」に対して、統一的なサイバーセキュリティ要件を課すものです。製造業者や輸入業者、販売者にとっては、新たな適合性評価や文書化の義務が発生し、事業への影響は非常に大きいといえます。

その中でも特に重要なのが、製品のリスク分類適合性評価モジュールの選択です。これを誤ると、過剰な対応コストが発生したり、逆に規制不適合となるリスクが生じます。本記事では、CRAの枠組みにおける分類基準と評価モジュールを、技術者目線で整理し、実務での対応方法を解説します。

CRAにおけるリスク分類の基本構造

CRAは、製品をリスクに応じて以下の3つに分類します。

  1. Class I(一般製品)
    比較的リスクが低い製品。例としては業務用アプリケーション、基本的なソフトウェアツールなど。
    → 原則として自己適合宣言(メーカー自身での評価)が可能。
  2. Class II(重要製品)
    インフラや社会生活に広く影響を及ぼす可能性のある製品。例:ルーター、OS、スマートホーム製品、ハイパーバイザなど。
    → 第三者による評価が必要。
  3. Critical Products(Annex IIIで規定)
    特に高リスクの製品群。例:ネットワークファイアウォール、産業用制御システム向け製品、スマートメーターゲートウェイなど。
    → 高度なセキュリティ保証を要求され、適合性評価は最も厳格。

製品のリスク分類 ― どの審査が必要かを決める

Annex III:重要製品(Class 1 / Class 2)

Annex III は、サイバーセキュリティ上重要な「デジタル要素を含む製品」を分類し、リスクに応じて クラス 1クラス 2 に分けています。

クラス 1(一般的リスク)Important Products Class I

  • 対象:幅広く利用されるデジタル製品や部品
  • 例:
    • オペレーティングシステム、、スマートホーム製品、ネットワーク接続可能な玩具など
    • ルーター
    • スマートホーム製品
    • ネットワーク接続可能な玩具
    • 一般的なマイコンや IoT デバイス
  • ユーザーやインフラと広く関わるため 基礎的なセキュリティ水準 を確保する。

1. 生体認証リーダーを含む認証及びアクセス制御リーダーを含むID管理システム並びに特権アクセス管理ソフトウェア及びハードウェア
2. スタンドアロン及び組み込みブラウザ
3. パスワードマネージャ
4. マルウェアの検知、削除、隔離を行うソフトウェア
5. VPN機能を持つデジタル製品
6. ネットワーク管理システム
7. セキュリティ情報・イベント管理(SIEM)システム
8. ブートマネージャ
9. 公開鍵基盤及び電子証明書発行ソフトウェア
10. 物理的及び仮想的なネットワークインターフェース
11. オペレーティングシステム(OS)
12. ルーター、インターネット接続用モデム、スイッチ
13. セキュリティ関連機能を持つマイクロプロセッサ
14. セキュリティ関連機能を持つマイクロコントローラ
15. セキュリティ関連機能を持つ特定用途向け集積回路(ASIC)及びフィールドプログラマブルゲートアレイ(FPGA)
16. 汎用スマートホームバーチャルアシスタント
17. スマートドアロック、防犯カメラ、ベビーモニタリングシステム、警報システム等、セキュリティ機能を備えたスマートホーム製品
18. Directive 2009/48/EC of the European Parliament and of the Councilの対象となるインターネットに接続された玩具で、ソーシャルインタラクティブ機能(会話や撮影等)を有するもの、又は位置追跡機能を有するもの。
19. 健康監視(トラッキング等)を目的とし、Regulation (EU) 2017/745 又は (EU) No 2017/746が適用されない、人体に装着又は装着される個人用ウェアラブル製品、又は子供による使用及び子供のための使用を意図した個人用ウェアラブル製品

クラス 2(高リスク)Important Products Class II

  • 対象:重要・機微な環境で利用される製品
  • 例:
    • ハイパーバイザ
    • コンテナランタイム
    • ファイアウォール
    • IDS/IPS(侵入検知・防御システム)
    • 改ざん耐性を持つマイクロプロセッサ/マイコン
  • 特徴:産業や重要インフラなど 高リスク環境 に用いられるため、
    より厳格な適合性評価(Conformity Assessment)が要求される。

1. オペレーティングシステム及び類似環境の仮想化実行をサポートするハイパーバイザー及びコンテナランタイムシステム
2. ファイヤウォール、侵入検知・防止システム
3. 耐タンパー性マイクロプロセッサ
4. 耐タンパー性マイクロコントローラ

Annex IV:特に重要な製品(Critical Products)

  • Annex IV は、最も高いサイバーセキュリティ保証を必要とする製品群
    • セキュリティボックス搭載ハードウェア
      (機微なデータや処理を安全に行うための専用環境)
    • スマートメーターゲートウェイ
      (EU 指令 2019/944 に基づくエネルギーインフラ機器)
    • スマートカード・セキュアイレメント
      (認証・暗号処理・機密取引の保護に必須)

通常のデジタル製品(Annex IIIとAnnex IV以外の製品)

Annex IIIとAnnex IVのいずれにも分類されないデジタル要素を含む製品

適合性評価モジュールの概要

CRAでは、製品分類に応じて「適合性評価モジュール」が適用されます。代表的なものは以下の通りです。

  • モジュール A(自己適合宣言)
    Class I 製品に適用。メーカー自身が要件への適合性を評価し、文書を整備して自己宣言を行います。コストは低いが、後日市場監督当局からの指摘に耐えられるだけの裏付けが必要です。
  • モジュール B + C(EU型式試験+生産管理)
    Class II 製品に適用されることが多い。第三者機関(Notified Body)が設計や型式を評価し、その後メーカーが量産品の品質管理を担保します。ISO 9001やISO/IEC 27001といった既存の管理体制と組み合わせることが実務的。
  • モジュール H(完全品質保証)
    Critical Products に適用。設計から製造、試験までを包括的に第三者機関が監査する方式で、企業のセキュリティマネジメント体制全体が問われます

適合性評価(自己適合宣言と第三者認証)の違い

実証方法手続き製品の重要性
通常の製品重要な製品非常に重要な
製品
クラスIクラスII
自己適合宣言Module A(内部生産管理)
第三者認証Module B&C(EU型式試験および内部生産管理に基づくEU型式への適合)
Module H(完全品質保証に基づく適合)
サイバーセキュリティ認証制度(EUCC)

凡例:〇 適用可能、 △ 他の手続きをとることができない場合、適用可能、- 適用対象外

適合性評価モジュール

Module A:内部管理(Internal Control)

  • 内容:メーカー自身が内部で適合性を確認する。
  • 対象:リスクの低い製品(主に 通常のデジタル製品)。
  • 特徴:最も簡便な方法で、第三者認証は不要。

Module B & C:EU型式審査 + 適合性管理

  • Module B(EU Type Examination)
    公認機関による型式審査(製品設計段階の審査)。
  • Module C(Conformity to Type)
    承認済み型式に基づき、製造された製品が適合しているか確認。
  • 対象:中程度のリスク製品(Class I / Class II)
  • 特徴:メーカーと外部機関の両方が関与する中間的手続き。

Module H:完全品質保証(Full Quality Assurance)

  • 内容:メーカーの 品質管理システム全体 を対象に、外部機関が評価。
  • 対象:高リスク・特に重要な製品(Class II / Annex IV)
  • 特徴:最も厳格で、長期的な管理・審査が必要。

欧州サイバーセキュリティ認証制度

  • Annex IV の「特に重要な製品」では、
    可能な場合 EU サイバーセキュリティ認証スキーム を利用。
  • これにより、最高度のセキュリティ保証を提供する。

事例

  • スマート冷蔵庫(Wi-Fi付き):Class I → 自己評価で対応可能
  • 工場向け制御システム:Class II → 第三者審査が必要

経営的示唆:リスク分類を誤ると「想定外の審査コスト」や「販売差し止め」のリスクに直結する。早期に分類判定を行い、開発段階から準備すべき。

コメント