EUの CRA(Cyber Resilience Act=サイバーレジリエンス法) は、デジタル要素を持つ製品にサイバーセキュリティ要件を課す規制です。EU市場に製品を出す日本企業も対象になり得るため、組込み機器・ソフトウェア製品を扱う企業は早めの備えが重要です。

CRAが求めるもの(OSS観点)

  • SBOM の整備:製品に含まれるソフトウェア部品を把握・管理すること
  • 脆弱性の管理と対応:既知脆弱性への対処、報告義務
  • セキュリティ・バイ・デザイン:設計段階からの配慮

これらはいずれも「自社製品に何のOSSが入っていて、どんな状態か」を把握していないと対応できません。OSSの棚卸しとライセンス・脆弱性の管理が前提になります。

なぜ日本企業に関係するのか

CRAは「EU域内で製品を上市する者」に適用されるため、日本からEUへ製品(組込み機器・ソフトを含む製品)を出荷する企業も実務上の対応を迫られます。取引先(EU向けに出す大手)から、サプライヤーである中小にSBOM提出や準拠の証明が降りてくる流れも想定されます。

規制の適用時期・段階的な義務開始は今後の運用で具体化していきます。報告義務など一部は2026年に動き出すとされ、「まだ先」ではなく今から棚卸しを始めるのが安全です。

今から始められること

  1. 製品ごとのOSS棚卸し(依存関係の把握)
  2. SBOM生成の仕組みづくり(SPDX / CycloneDX)
  3. 含まれるOSSのライセンスと脆弱性の点検
  4. 脆弱性が出たときの対応フローを決めておく
  5. 取引先からの要求に即応できる体制(誰が・どう出すか)

CRAは「コスト」ではなく、取引を継続・拡大するための条件になりつつあります。早く整えた企業ほど、取引先からの要求に強くなれます。

当社では、OSSの棚卸しからSBOMを起点としたライセンス・配布可否の点検まで、中小企業が実務で回せる形でご支援しています。