EUサイバーレジリエンス法(CRA)の適用開始まで、残り2年を切りました。 最終製品メーカーに対し規制対応への要求が明確になる一方で、部品・モジュール・組み込みソフトウェアなどを供給するコンポーネントメーカーの立ち位置は、依然として曖昧なままです。
「自社製品は欧州で単独販売していない」という判断は、法的には正しくても、ビジネス的には大きなリスクが残ります。
2024年末に発行されたCRA(Regulation (EU) 2024/2847)は、デジタル要素を持つ製品全般を対象とするサイバーセキュリティ規制であり、 2027年12月11日から本格適用されます。メーカーには設計・開発・製造・メンテナンスの各段階で基本的なセキュリティ要件を満たすことが求められます。
しかし、この規制が最終製品のメーカー(OEM*1) だけでなく、その上流に位置するコンポーネントメーカーにも、直接的・間接的な形で影響を及ぼします。
*1:Original Equipment Manufacturer:委託者ブランド名での製造者
👉重要なのは「CRAの法的対象か否か」ではなく、「OEMがCRAに対応するために、サプライヤーへ何を要求するか」という視点です。
1. まず確認すべき:自社のコンポーネントはどのルートで欧州市場に入るか
CRAの適用範囲を理解する上で、最初に問うべきなのは「自社の製品がどのような形で欧州市場に流通しているか」です。 欧州委員会が公表したCRAのFAQ(v1.0, 2025年12月)は、以下のように整理されています。
| ケース | 上市の形態(欧州での扱われ方) | CRAの法的義務 |
| 単独上市型 | チップ、モジュール、ソフトウェアライブラリとして欧州市場で独立して販売される | CRA上の「製造者」に該当。CE適合宣言、技術文書、脆弱性対応など全義務が適用 |
| 組込み供給型 | OEMメーカーに納品され、最終製品の一部として欧州市場に入る。コンポーネント単体は欧州で流通しない | CRA上の直接義務なし。ただし最終製品メーカーから商業的に同等の対応を求められる可能性が高い |
組込み供給型に該当するコンポーネントメーカーにとって、CRAによる直接的な対応義務はありませんが、OEMの要求に応える必要がでてくるケースもあります。 自社製品の上市形態を理解しておくことで、適切な対応の優先順位を設けることができます。
2. 「法的に免責」でも「ビジネス上の安全」ではない — サプライチェーンの実態
CRAのFAQは、最終製品メーカーに対して「第三者コンポーネントを統合する際には、そのコンポーネントが製品のサイバーセキュリティを損なわないよう、デューデリジェンスを行わなければならない」と明示しています。 これは法的な義務であり、契約で転嫁することは認められていません。
では、このデューデリジェンスの中で最終製品メーカーは具体的に何を確認すればよいでしょうか。
-
コンポーネントが定期的にセキュリティアップデートを受けているか(更新履歴で確認)
-
脆弱性データベースなどで未修正の既知脆弱性が存在しないか
-
コンポーネントのサポート期間が明確か
-
追加のセキュリティテストが実施されているか
-
コンポーネントのSBOM(ソフトウェア部品表)を提供可能か
これらは法律の条文ではなく、細かく記載されていませんが、SLA*2やサプライヤーのアンケートという形で確実にサプライチェーンに降りてきます。
*2:Service Level Agreement:サービスの品質や範囲などを定めた契約書
3. OEMから明確な要求が来ていない今、何をすべきか
現時点では、多くのOEMがCRAへの対応方針を模索中で、サプライヤーへの具体的な要求の整理が追い付いていません。
「要求されていないから今は動かなくていい」という判断は短期的には合理的に見えますが、2027年の本格適用が近づくにつれ、OEMが一斉に調達要件を厳格化したとき、準備期間がほぼ残っていないという状況に陥るリスクが高まります。
では、過剰な負担を避けながら、今から着実に基盤を整えるには何から始めるべきか。 以下は、取り組みの効果を踏まえて優先順位を整理したものです。
4. 法的責任の境界線 — ここを曖昧にすると将来的なリスクになる
CRAは、「コンポーネント製造者は、製品を市場に投入した時点の設定に対して責任を負う」と、コンポーネントメーカーの責任範囲を明確に定義しています。 OEMが統合時にデフォルトセキュリティ設定を変更した場合、その責任はOEMに移転します。
例えば、デフォルトで無効化して出荷したネットワークインターフェースをOEMが有効化した場合、 その設定変更後のセキュリティ上の問題はコンポーネントメーカーの責任ではありません。 しかしこの境界線が、契約書と技術文書に明記されていなければ、後々トラブルの原因になる可能性があります。
🚨実務で注意すべき点
コンポーネントに脆弱性が発見された場合、最終製品メーカーが自らパッチを開発し、そのセキュリティパッチをコンポーネントサプライヤーに提供することも法的に想定されています(Article 13(6) )。
コンポーネントメーカーは、脆弱性報告を受け取り、脆弱性をハンドリングするためのプロセスを事前に整備しておく必要があります。
5. コンプライアンスはコストだけではなく、サプライチェーンに選定されるための条件
CRAへの対応には確かに時間とコストがかかりますが、逆に言えば、対応が十分なサプライヤーの方が選ばれやすくなる、ということでもあります。 OEMが2027年の適用に向けて自社の技術文書とリスク評価を整備する際、コンポーネントサプライヤーから提供される情報の質が、そのまま自社のコンプライアンスとコストに直結します。
明確なSBOM、サポート期間の宣言、責任境界を定義したセキュリティ文書。これらを揃えているサプライヤーは、OEMの技術文書作成負担を減らせるため、調達プロセスにおける摩擦を大幅に下げます。製品の技術的な仕様が同等であれば、OEMはよりコンプライアンス対応しやすいメーカーを選ぶでしょう。
🛣️CRAへの対応は、2027年に達成するゴールではなく、今から差をつけるプロセスである。
6. まとめ
CRAは最終製品メーカーだけでなく、サプライチェーン全体に影響を与える規制です。また、製品そのものの安全性・品質を高める重要な取り組みでもあります。
コンポーネントメーカーがセキュリティ設計、脆弱性管理、アップデート提供、サポート体制を整備することは、 最終製品全体の信頼性を高め、ユーザーのリスクを低減するうえで欠かせません。
CRAが求める基本要件は、単なる規制対応にとどまらず、安全で高品質な製品を継続的に提供するための「業界共通基準」となっています。
コンポーネントメーカーにとっては、法的義務の有無よりも、OEMが求めるセキュリティ要件に応えられる体制の有無が競争力を左右します。今から基盤を整備することで、2027年以降の調達要件の変化にも柔軟に対応でき、規制施行後の負担軽減だけでなく、ユーザー価値向上と市場競争力の強化にもつながります。
<関連ブログ>
製品のサイバーセキュリティ対策で企業が直面する共通課題
サイバーレジリエンス法 CRA-10月10日欧州評議会採択、数ヵ月以内に新規制発効予定
テュフ ラインランドでは、サイバーセキュリティに関するご相談、セミナーや技術相談、ギャップ分析、サイバーセキュリティ試験などを通じて
お客様の製品安全をサポートしています。ご不明な点はテュフ ラインランドにお問い合わせください。
✉️ お問い合わせはこちら E-Mail: Cybersecurity@jpn.tuv.com
更新日 : 4/8/2026