サイバーレジリエンス法の資産一覧表(アセットインベントリ)の作り方

機能安全

欧州サイバーレジリエンス法(Cyber Resilience Act, CRA)は、2024年に発効し、2027年12月から全面適用されます。対象は「デジタル要素を有するすべての製品」であり、ハードウェア・ソフトウェアを問わず、企業は製品ライフサイクル全体にわたるセキュリティ対策と情報管理を義務付けられます。

その中心的な要素の一つが、資産一覧表(アセットインベントリ)です。これは、工場やプラント、オフィスのIT/OT環境で稼働するすべての機器・ソフトウェアを体系的に整理し、CRA準拠に不可欠な「可視化」と「証跡」を提供します

なぜ「資産一覧表」が必須なのか

CRAは、製品の設計から廃棄までのライフサイクルを対象とし、以下の要件を求めています。

  • SBOM(ソフトウェア部品表)の管理
  • 脆弱性情報の収集・対応体制の整備
  • 重大インシデントの報告(ENISAの単一プラットフォーム経由)
  • 技術文書の10年間保持
  • セキュリティアップデート期間の明示

これらを実行するには、自社がどの製品・機器を使っているかを正確に把握する必要があります。
資産一覧表は、その基盤となる文書です。例えば、セキュリティインシデントが発生した際、「どの機器が影響を受けるか」を迅速に判断できなければ、報告期限(24時間以内)に間に合わなくなります。

👉 資産一覧表は「棚卸し表」であると同時に、CRA遵守の“監査対応ドキュメント”でもあるのです。

資産一覧表とは?

  • 目的:工場・プラント・オフィスに存在する「重要な機器、ソフトウェア、ネットワーク要素、IoT」などを一覧化し、CRA 遵守・脆弱性管理・市場監視対応・インシデント対応の基盤にすること。
  • 役割
    1. どんな機器があるかを可視化する
    2. 依存関係(ネットワーク接続・データの流れ)を把握する
    3. リスク分析・セキュリティ対策の土台になる

👉 「棚卸し表」や「資産台帳」と考えるとイメージしやすいです。

作成手順(ステップごと)

ステップ①:範囲を決める

  • 対象範囲を明確に:例)OT 制御系 / IT(事務系) / 両方 / 全社 / 特定工場。
  • オーナーを決定:セキュリティ責任者(CISO)または工場長、データ保有責任者など。
  • 期限設定:初版更新サイクル(四半期 or 半年)を決める。
    CRA視点:対象に含まれる「製品」が CRA の「products with digital elements」に該当するかを判定(接続性や機能から判断)

ステップ②:資産の洗い出し(インベントリ収集)

  • 収集方法:既存設備台帳、購買履歴、ネットワークスキャン、現地目視、ベンダーへの問い合わせ。
  • カテゴリ分け(推奨):情報系 / 制御系 / ネットワーク / フィールド(センサ/アクチュエータ)

ステップ③:基本情報の収集

  • 必須情報(CRA と市場監視で要求されやすい):製品名 / 型番 / バージョン / ベンダー / 製造国 / 製造者の連絡先 / 出荷日・導入日 / サポート終了日(EOL) / SBOM 有無 / 脆弱性連絡先(メール) / 技術文書所在。
  • 追加情報(運用的価値):接続先(IP、VLAN、ネットワーク名)、管理ポート有無(USB/シリアル/Wi-Fi)、更新方式(OTA/手動)、暗号機能の有無、ログ取得可否、リスク評価(初期スコア)、重要性ランク。

ステップ④:表形式で整理する

  • Excel/CSV/CMDBに格納。
  • アクセス制御:技術情報は機密性が高いため閲覧権限を限定。
  • 変更履歴を残す(誰がいつ何を更新したか)
    CRA視点:技術文書(技術ファイル)や SBOM 等は「市場監視当局が求めたら提示できるよう」原単位で保管・保持(最低10年などの要求あり)。

CRA に即した 項目一覧

以下は Excel 列(カラム)としてそのまま使える一例。

  1. No(連番)
  2. 製品名(Product name)
  3. 型番/モデル(Model)
  4. ソフトウェア版(Version / FW)
  5. 製造業者(Manufacturer name) + 連絡先(メール/住所)
  6. 販売者/輸入者(if applicable:Importer / Distributor)
  7. 製造国/出荷日(Manufacture date / Ship date)
  8. 製品分類(CRA Annex 判定) — Class 1 / Class 2 / Critical(参照:Annex III / Annex IV) 。
  9. SBOM(有/無) + フォーマット(SPDX / CycloneDX / その他) — SBOM がある場合はファイルパス/URL を記載。推奨フォーマット:SPDX / CycloneDX。
  10. SBOM(最終更新日)
  11. 技術文書(Technical file)所在(社内パス or クラウド URL) — 参照:Annex VII の要件。
  12. ソフトウェア構成(主要コンポーネント / 主要OSS名) — トップレベルのみで良い(詳細はSBOM)
  13. 脆弱性窓口(Vulnerability disclosure contact:メール/URL) — 外部研究者用(CRA 要求) 。
  14. サポート期間(Security updates provide until / End-of-support date) — CRA要件に合わせて明記(例:最短5年、製品の想定寿命に応じて設定)。
  15. 自動更新の有無(OTA) + 更新署名の有無(Yes/No)
  16. 管理ポート/USB/シリアル/Wi-Fi の有無(Yes/No)
  17. 暗号化実装(TLS/secure element/secure boot)簡記
  18. ロギング/テレメトリの送信先(IP/URL)
  19. 依存関係(上位下位依存:どのシステムに影響するか)
  20. 重要度ランク(High/Medium/Low) — ビジネス影響を簡易評価
  21. 市場向け表示(CE マークの有無、EU宣言の有無とURL)
  22. 技術文書保持期間(例:10 年)/改訂履歴参照
  23. 備考(購入履歴、保守契約、ライセンス情報等)

例:Excelで作成(簡易サンプル)

No資産名資産種別設置場所接続先NWOS/バージョン通信プロトコル機能無線/USB有無
1監視端末情報系資産執務室情報NWWindows 10TCP/UDP入出力USBあり
2ファイアウォールネットワーク資産サーバ室情報NW/DMZ独自OSTCP/UDPゲートUSBなし
3コントローラ制御系資産フィールド制御NW独自OSModbus/TCPコマンド発行USBなし

👉 このように 一目でシステム構成が見える化 されるのがゴールです。

asset_inventory_templateダウンロード
asset_inventory_template_2ダウンロード

運用・更新ルールと保持期間

  • 更新頻度:少なくとも四半期ごと(重要インシデントがあれば即更新)。
  • 保持期間:CRA は「技術文書の提示・保持」を義務化(市場監視で提示が必要)。技術文書・適合性情報等は 10 年間の保管が実務上要求されています(EUR-Lex 規定)。
  • 脆弱性対応:CRA の報告義務では、早期警報(severe incident / actively exploited vulnerability)に対する初期報告が 24 時間以内、続報が 72 時間以内などのタイムラインが定められています(条文参照)。ENISA が管理する単一報告プラットフォームを通じた通報が前提です。※正確なタイムラインは条項で確認のこと。

コメント