ICS研究所、CRA（欧州サイバーレジリエンス法）を解説する特設ページを開設

株式会社ICS研究所（本社：東京都新宿区、代表取締役：村上 正志）は、欧州サイバーレジリエンス法（Cyber Resilience Act、以下CRA）に関する正確な情報を広く提供し、日本のメーカーをはじめとする関連企業・ステークホルダーの皆様が適切に対応できるよう支援する目的で、「CRA解説特設ページ」をコーポレートサイト内に開設いたしました。

新たに施行されるCRAのセキュリティ要件は従来のCEマーキング取得だけでは十分にカバーしきれず、自己適合宣言やIEC 62443の認証取得など、企業が取り組むべき作業範囲はますます増大しています。本特設ページでは、複雑化する法規制と企業実務をわかりやすく整理し、日本の製造業や関連事業者が国際競争力を維持・強化するうえで必要な対応策を包括的に紹介してまいります。

●CRA解説特設ページはこちらから

背景：新たなセキュリティ基準が求められる欧州市場

EUでは2024年12月10日にCRAが発効し、2027年12月11日から完全適用される見通しです。広範囲のデジタル製品が対象となり、とりわけ高リスク製品では第三者認証が義務付けられるなど、従来の機械安全指令や低電圧指令、RoHSとは異なるサイバーセキュリティ対応が新たに必須要件として加わることが予想されます。

一方、機械規則(EU 2023/1230)やAI法（EU 2024/1689）、NIS2(EU 2022/2555)など他の関連規制も施行され、単純なCEマーキング取得だけでは欧州市場をカバーしきれなくなり、企業のコンプライアンス戦略やサプライチェーン管理が一層複雑化しています。

CRAがもたらす主なインパクト

CRAの施行により、以下の2点がとりわけ重要なインパクトとして挙げられます。

1.欧州市場への参入ハードルが「セキュリティ要件」で再定義

• これまでのCEマーキング取得に加え、CRAのサイバーセキュリティ要求を満たす必要があり、高リスク製品の場合は第三者認証が義務化されます。

• 欧州の顧客やパートナー企業は、製品選定においてセキュリティ要件の有無をますます重視するため、対応が遅れるとビジネス機会の損失が懸念されます。

2.製品ライフサイクル全体で「セキュリティ・バイ・デザイン」が必須化

• 単にリリース前に脆弱性対応を行うのではなく、開発・設計初期から多層防御の仕組みや暗号化技術を組み込み、テスト段階で脆弱性診断やペネトレーションテストを行うことが求められます。

• SBOM（Software Bill of Materials）の活用や、稼働後のアップデート・保守体制整備など、製品ライフサイクルを通じた継続的なセキュリティ管理が重要になります。

アンケートが示す国内企業のCRA対応の現状

2025年1月24日に開催した「OTセキュリティ無料セミナー」の参加者を対象に、ICS研究所が「CRAへの対応状況」についてアンケート調査（回答数31件、複数回答可）を行いました。その結果は以下のとおりです。

• CRAに関する情報収集を積極的に行っている：71％

• 自社内でCRA対応を検討中：41.9％

• サプライチェーン内のCRA対応が着々と進んでいる：0％

• サプライチェーン内のCRA対応がなかなか進んでいない：12.9％

この結果から、国内企業ではCRAに関する問題意識こそ高まっているものの、サプライチェーン全体を通じたアプローチや具体的な推進策が十分整っていない現状が明らかになりました。日本のメーカーをはじめ、関連ベンダーやエンジニアリング企業、コンサルティングファームなど幅広いステークホルダーが正しい認識を共有し、適切な対応に取り組むことが急務となっています。

CRAに関する“よくあるご質問”の一例を公開

今回の特設ページでは、CRA対応に関する疑問にもお答えしています。
たとえば、よくある質問のひとつとして、

という質問があります。多くの方が悩まれている点だと思われます。CRAやIEC 62443対応は単純ではありません。「どうすれば対応の手間を少なくできるか」というメーカーやシステムインテグレーターの皆様の思考を尊重しつつ、複雑化する欧州市場への適切な戦略と計画の立案に貢献する一助なればと考えています。

正しい認識と適切な対応の拡大に向け、特設ページを開設

ICS研究所では、上記の「CRAがもたらす主なインパクト」「国内企業の現状」を踏まえ、日本のメーカー各社やシステムインテグレーター、コンサルティングファームなど多様なステークホルダーの皆様に正確な情報と具体的なOTセキュリティ対応の実務的な知見を提供すべく、CRA特設ページを開設しました。この特設ページでは、

• CRAの基礎から最新法規制動向までを整理

• 企業の課題と解決策を事例とともに紹介

• IEC 62443など関連規格との整合性や相乗効果に着目

• ICS研究所の専門家による実践的アドバイス

などのトピックを取り上げ、1～2週間ごとに記事を更新してまいります（2025年2月17日時点で第4回まで掲載中）。

連載記事タイトル一覧（全8回予定）

ICS研究所では、以下8本のシリーズ記事を中心にCRAを多角的に解説します。

1. CRAの概要

2. CRAが製造業へ与える影響

3. CRAの適用範囲と対象製品

4. CRAの要求事項と遵守のポイント

5. CRAへの対応戦略 その1：組織体制の構築と人材育成

6. CRAへの対応戦略 その2：対応技術・対応策とICS研究所の支援サービス

7. CRAと他の法規制・規格との関係

8. CRA対応がもたらすビジネスチャンスと未来

• CRA解説特設ページはこちらから

ICS研究所の支援内容

ICS研究所は、下記の取り組みを通じて企業のOT/制御システムセキュリティ対応を包括的にサポートします。

1. CRA特設ページやSNSによる最新情報の連載提供

2. セミナー・個別コンサルティング

3. IEC 62443など国際規格の認証取得や人材育成支援

日本の企業が欧州市場で円滑にビジネスを継続し、グローバル競争力を維持・強化できるよう、引き続き情報発信と実務的サポートを行ってまいります。

代表取締役 村上 正志からのメッセージ

「CRAは欧州市場に製品を展開する多くの企業にとって、セキュリティ対応を含む新たな挑戦です。ICS研究所は、制御システムセキュリティ（Security by Design & Security by Integrate）に特化したスペシャリスト集団で、CRA特設ページやコンサルティング、さらにはeラーニングなどを通じ、皆さまが適切かつ確実にセキュリティ要件を満たし、ビジネス機会を拡大できるよう全力で支援してまいります。今後もデジタル社会の安全と企業の競争力向上に貢献していく所存です。」

ニュースレター登録のご案内

CRAやIEC 62443など関連法規制の最新情報、連載記事の更新情報は、ICS研究所のニュースレターでお届けします。ぜひ以下のリンクからご登録いただき、今後の活動にお役立てください。

▼ニュースレター登録はこちら
🔗 ICS研究所ニュースレター登録

●Facebook公式アカウント: https://www.facebook.com/ICS.Lab.2015

●ICS研究所コーポレートサイトはこちらから

●OTセキュリティ/IEC 62443が学べるeラーニング”eICS”