2026年5月19日
一般財団法人日本品質保証機構
当機構は、欧州サイバーレジリエンス法(Cyber Resilience Act:CRA, Regulation (EU) 2024/2847)において2026年9月11日から適用が開始されるArticle 14「製造者の報告義務」への対応準備を支援するため、欧州規格案prEN 40000-1-3「Cybersecurity requirements for products with digital elements – Part 1-3: Vulnerability Handling」に基づく評価サービスを開始します。
CRAは、EU市場に上市される「デジタル要素を有する製品」に対し、設計・開発・製造段階から上市後のサポート期間における脆弱性対応まで、製品ライフサイクル全体を対象としたサイバーセキュリティ要求を定めるEU規則です。CRAは2024年12月10日に発効し、主要な要求事項は2027年12月11日から適用されます。一方、これに先立ちArticle 14に定められる報告義務は、2026年9月11日から適用されます。
Article 14では、製造者が製品に含まれる「積極的に悪用されている脆弱性」または「製品のセキュリティに影響を及ぼす重大インシデント」を認識した場合、CRA単一報告プラットフォームを通じて、指定CSIRTおよびENISAへ報告することが求められます。報告は認識後24時間以内の早期警告、72時間以内の詳細通知に加え、脆弱性については是正措置または緩和措置が利用可能となった後14日以内、重大インシデントについては72時間通知後1カ月以内の最終報告が必要です。
短い報告期限に確実に対応するためには、脆弱性情報の受領、影響分析、是正・緩和策の判断、ユーザー通知、当局報告に必要な情報整理、証跡管理を、部門横断で実行できる実務体制が不可欠です。当機構は、これまで培ってきたサイバーセキュリティ関連の評価知見を活用し、欧州市場に製品を展開するお客さまのCRA対応に向けたギャップ把握と改善活動を支援します。
prEN 40000-1-3
Cybersecurity requirements for products with digital elements – Part 1-3: Vulnerability Handling
(デジタル要素を有する製品のサイバーセキュリティ要求事項-第1-3部:脆弱性ハンドリング)
本規格案は、CRAにおける脆弱性ハンドリング要求への対応を具体化するための欧州規格案であり、製造者が製品ライフサイクル全体を通じて脆弱性を適切に管理するためのプロセス構築、文書化および運用を扱います。 なお、現時点ではprEN(規格案)であり、正式なEN規格として発行され、かつEU官報に整合規格として引用されたものではありません。CRA上の法的な「適合性の推定」は、該当する整合規格またはその一部の参照がEU官報に公表された場合に、その対象範囲について認められます。
prEN 40000-1-3に基づき、製造者の脆弱性ハンドリングプロセスについて、主に以下の観点から評価を行います。
| フェーズ | 確認内容 |
|---|---|
| 準備 | 脆弱性ハンドリング方針、責任体制、連絡窓口、SBOM等の管理情報、外部報告受付体制、関係部門のエスカレーション基準 |
| 受領 | 脆弱性情報の監視、外部からの報告受付、報告者とのコミュニケーション、情報の記録・分類、初動判断の証跡管理 |
| 検証 | 脆弱性の再現性確認、影響範囲の特定、リスク評価、優先順位付け、積極的悪用の有無および報告要否の判断 |
| 是正措置 | 修正プログラム、緩和策、回避策の検討・開発・検証・承認、リリース可否判断および残留リスク管理 |
| リリースおよび通知 | セキュリティアップデートの提供、ユーザーへの情報提供、当局報告に必要な情報整理、公開情報・機微情報の管理 |
| リリース後の対応 | 是正措置の有効性確認、再発防止、教訓の反映、脆弱性ハンドリングプロセスの継続的改善 |
本サービスは、以下のような製造者の皆さまにご活用いただけます。
