喫緊のEU規則「CRA」報告義務対応を支援する新サービスを提供開始

ソフトウェアの品質向上支援サービスを提供する株式会社ベリサーブ（本社：東京都千代田区、代表取締役社長：鴫原 忠大、以下 ベリサーブ）は、EU規則「欧州サイバーレジリエンス法（EU CRA、以下 CRA）」の報告義務対応に向けた新サービス「CRA報告義務アウトソーシングサービス」を提供します。

本サービスは、2026年9月11日に一部適用が開始されるCRAの報告義務に対応するため、CRA対象事業者が実施しなければならない業務を一括してアウトソーシングできるサービスです。併せて、2027年12月11日のCRA全面適用を見据え、CRA対象事業者が将来的にCRA対応を自組織で運用できるよう、総合的な伴走支援を行う「CRA対応支援サービス」も提供します。

CRA対応サービス（欧州サイバーレジリエンス法 対応サービス）

https://www.veriserve.co.jp/service/detail/cra.html

◼️背景

デジタル要素を備えた製品またはデジタル要素を含む製品にサイバーセキュリティ対策を求めるEU規則「欧州サイバーレジリエンス法」への対応が必須になろうとしています。当社は長年、製品に関するセキュリティ対応支援を製造業のお客様に提供しており、多くのお客様のCRA対応を支援しています。

CRAは、EU市場で販売・提供される「デジタル要素を有する製品」で、直接または間接的にデバイスやネットワークに接続する機能を持つ、ほぼ全ての製品※1に適用されます。対象となる製品は、設計・開発段階から十分なサイバーセキュリティ対策を行い、出荷後もセキュリティ確保が義務付けられます。対象事業者は、製造業者、輸入業者、流通業者などサプライチェーンに関わる事業者です。

2026年9月11日から、対象事業者はデジタル製品の「実際に悪用されている脆弱性」または「製品のセキュリティに影響を及ぼす重大なインシデント」を認識した場合、24時間以内にEU当局へ報告する義務が課されます。さらに、2027年12月11日からはCRAの規定が全面適用されます。

CRAに違反した場合、内容に応じて最大1,500万ユーロ (約28億円) ※2、または全世界の年間総売り上げの2.5%のいずれか高い額を上限とする制裁金が科される可能性があります。また、CRAに適合しない製品はCEマーク※3を表示できないため、EU市場で販売できなくなります。さらに、違反製品はEU市場からの強制回収を命じられる可能性があるため、対象事業者は適用開始までにCRA準拠に向けた体制整備や必要な対策を早急に進める必要があります。

一方で、対応期限が迫る中「何から着手すべきか分からない」「対応に必要な人材やノウハウが不足している」「対応が間に合わない」といった課題を抱える事業者は少なくありません。

こうした状況を踏まえ、ベリサーブは「CRA報告義務アウトソーシングサービス」および「CRA対応支援サービス」を提供し、お客様のCRA報告義務に関する対応を総合的に支援します。

■サービス概要

製品開発の準備・計画段階から市場投入までに、お客様が実施すべきCRA対応領域は以下の通りです（図表1）。CRA対応領域のうち、当社はまず2026年9月11日に一部適用が開始される報告義務対応を中心に、これまでのセキュリティ関連支援で培った豊富な実績と知見を生かして、一括支援します。併せて、2027年12月11日のCRA全面適用に向けて総合的な伴走支援を実施し、お客様のCRA対応を支援します。

1　CRA報告義務アウトソーシングサービス

（1）対応方針策定支援・体制構築支援

当社がお客様のCRA報告義務要件への対応状況を確認し、不足事項を明確にします。その上で、お客様の現行プロセスに沿った形で要件を満たすための改善点を明らかにし、運用フローやルールを文書化します。また、策定した運用フローに沿って対応できるよう、お客様側の体制構築も支援します。

（2）SBOM作成

製品に搭載されるソースコードの情報を基に、当社がSBOM（Software Bill of Materials：ソフトウェア部品表）を作成します。SBOMを活用することで、脆弱性が発見された際、影響を受ける製品や部品を迅速に特定し、効率的な影響調査につなげます。

（3）脆弱性監視

作成したSBOMを基に、当社がお客様の製品に影響する脆弱性が公開されていないかを日々監視します。「実際に悪用されている脆弱性」が検出された際にはアラートを発報します。

（4）SBOM管理

製品出荷後も構成要素に変更が生じた場合、SBOMの更新が必要です。また、市場には複数の製品バージョンが併存するため、脆弱性監視ではサポート対象となる全バージョンのSBOM情報を管理する必要があります。こうした運用負荷を軽減するため、当社がSBOMのバージョン管理を行います。

（5）製品影響調査

必要に応じて対象製品で脆弱性を突いた攻撃が実際に成立するかを検証し、影響範囲や深刻度を評価した上で、必要な修正・回避策・顧客対応などの対策案をお客様に提示します。

（6）EU当局への報告支援

対象製品のセキュリティに影響を及ぼす重大なインシデントが発生した場合の問い合わせ窓口を設置し、当社が問い合わせを受け付けます。また、「実際に悪用されている脆弱性」または「製品のセキュリティに影響を及ぼす重大なインシデント」を認識した場合、当社が報告内容や提出に必要な情報を整理し、お客様が24時間以内にEU当局へ適切に報告できるよう支援します。

2　CRA対応支援サービス

（1）「IEC 62443-4-1」アセスメント

「IEC 62443-4-1」※4とCRA要件をひも付け、お客様の現状の開発プロセスとのギャップを明確化し、対応計画を策定します。

（2）「IEC 62443-4-1」プロセス構築支援

2(1)で明らかになった要求とのギャップに対し、関連ドキュメントの修正などを行いながらセキュアな開発プロセスを構築し、本番運用に向けた支援を行います。

（3）PSIRT組織・体制構築支援

製品やサービスのセキュリティインシデント発生時に迅速対応できるよう、専門組織である「PSIRT（Product Security Incident Response Team：製品セキュリティインシデント対応チーム）」の構築を支援します。これにより、被害の拡大防止と適切な初動対応の実現を支援します。

（4）SBOMプロセス作成支援

お客様によるSBOM作成を支援し、作成したSBOMを活用した脆弱性管理を運用するためのプロセス整備を支援します。

（5）セキュア開発実装検証

対象製品に対して、脅威分析※5やペネトレーションテスト※6などを実施し、潜在的な脆弱性や攻撃経路などを洗い出します。

（6）ドキュメント作成支援

CEマーク取得に向けた技術文書の作成支援など、お客様の要望に沿った資料作成を支援します。

※1 自動車・航空機・医療機器などは、すでに同等の国際標準や法規類でカバーされているためCRAの対象からは除外。

※2 1ユーロ＝184.86円（2026年5月14日現在）で換算。

※3 EUで販売される指定の製品がEUの基準に適合していることを表すマークのこと。

※4 産業制御システムのサイバーセキュリティに関する国際規格群「IEC 62443-4」の二部構成のうちの第一部で、製品を開発・製造する組織に求められるセキュアな開発プロセスの要求事項を定めた規格のこと。

※5 製品における潜在的な脆弱性や攻撃対象となる要素や経路などを、設計・開発の初期段階から体系的に特定・評価・緩和するプロセスのこと。

※6 セキュリティの専門家が実際のハッカーが用いる同等の攻撃手法により、不正侵入や情報窃取が可能か検証するサービスのこと。

■株式会社ベリサーブについて

設立：2001年7月24日

代表者：代表取締役社長　鴫原 忠大

本社：東京都千代田区神田三崎町3-1-16 神保町北東急ビル

事業内容：ソフトウェア事業

1.ソフトウェアテスト・品質関連事業

2.サイバーセキュリティ関連事業

3.コンサルティング関連事業

4.ソフトウェア開発関連事業

5.その他事業

URL：https://www.veriserve.co.jp/

【本サービスに関するご相談窓口】

https://www.veriserve.co.jp/engage/contact/cra

【リリースに関するお問い合わせ先】

広報部 広報課　太田、三宅

TEL：050-3640-8194

MAIL：press@veriserve.co.jp

※掲載されている製品名、会社名、サービス名は、当社の商標または登録商標です。