EUの新規制「CRA」対応指南、メーカーは製品の脆弱性対応にどう取り組むべきか

　「EUサイバーレジリエンス法（CRA）」は、EU域内で販売される幅広い製品を対象にしたサイバーセキュリティ規制だ。当然、EU圏に製品を提供する国内メーカーも順守しなければならない規制であり、CEマーキングの取得義務化、違反した場合の罰則強化が特に影響の大きいポイントとして挙げられる。

　このCRAに対して、メーカーは製品の脆弱性をいち早く発見し、迅速に対処できるような環境を構築する必要がある。しかし、開発環境、管理手法、対応方針のばらつきなど、統一的な脆弱性対応の実現には多くの課題も存在する。

　こうした脆弱性対応の強化には、開発部門だけでなく、全社横断で脆弱性対応を統括する体制の整備が不可欠であり、製品におけるSBOM生成から管理、脆弱性確認まで包括的に対応できるツールも有効になる。また、増え続ける脆弱性を早期に把握するためのデータナレッジ提供などもポイントになるだろう。そこで本資料では、CRAに対応して脆弱性対応を高度化するための方法と、その実現に効果的なツールを紹介していく。