ソフトウェア開発者向けCRAガイド
サイバーレジリエンス法がソフトウェア製品にどのように適用されるか。セキュア開発から脆弱性対応、SBOMおよびCEマーキングまで。
コンプライアンスの手順
適用範囲およびクラスを確認する
Art. 2 · 6データ接続を備えてEU市場に上市されるソフトウェアの大半は適用範囲に含まれ、多くの開発者向けツールは附属書IIIの「重要」カテゴリーに該当します。
- ✓CRA Fast Checkを実行して適用範囲を確認する
- ✓お客様の製品がデフォルト、重要または重大のいずれであるかを特定する
- ✓判断の根拠を文書に記録する
設計段階からセキュリティを組み込む
Annex I · I製品を、そのライフサイクル全体にわたって必須セキュリティ特性を満たすように設計・開発します。
- ✓既定で安全な構成を出荷する
- ✓認証およびアクセス制御を適用する
- ✓転送中および保存時の暗号化によってデータを保護する
- ✓攻撃対象領域および露出したインターフェースを最小化する
本番ビルドでデバッグインターフェース、既定の認証情報、または冗長なエラー出力を有効のままにしておくこと。
脆弱性対応を確立する
Annex I · IIサポート期間全体にわたって脆弱性を発見、修正および開示する文書化されたプロセスを運用します。
- ✓調整された脆弱性開示ポリシーを公表する
- ✓問題報告のための連絡窓口を提供する
- ✓不当な遅延なく脆弱性を是正する
- ✓更新が利用可能になった時点で、修正済みの脆弱性を開示する
ソフトウェア部品表を維持する
附属書I · II(1)少なくとも製品の最上位の依存関係を網羅する最新のSBOMを維持します。
- ✓機械可読な形式でSBOMを生成する
- ✓構成要素およびその既知の脆弱性を追跡する
- ✓各リリースごとに更新し続ける
無償かつ適時のセキュリティ更新を出荷する
Annex I · I(2)宣言されたサポート期間中、機能更新とは別に、無償でセキュリティ更新を提供します。
- ✓サポート期間を定め公表する
- ✓セキュリティ更新を速やかに提供する
- ✓安全なメカニズムを通じてパッチを配布する
技術文書を編集する
附属書VII適合性を実証する文書を編集し、市場監視のために利用可能な状態にしておきます。
- ✓製品の説明および意図された使用
- ✓サイバーセキュリティリスクアセスメント
- ✓適用された規格の記録
適合性を評価しCEを貼付する
Art. 32 · 36お客様のクラスに該当する適合性評価ルートを実施し、EU適合宣言を完成させます。
- ✓自己評価(デフォルト)または認証機関の利用(重要/重大)
- ✓EU適合宣言を作成・署名する
- ✓CEマーキングを貼付する
報告義務を果たし製品を維持する
Art. 13(8) · 142026年9月以降、実際に悪用されている脆弱性および重大なインシデントを通知し、製品をそのサポート期間全体にわたって維持し続けます。
- ✓24時間以内にENISAおよびCSIRTに早期警告を提出する
- ✓通知および最終報告でフォローアップする
- ✓適切な場合、影響を受ける利用者に知らせる
サポート期間は、EU市場に上市された時点から起算して、少なくとも5年(またはそれより長い場合は製品の想定される寿命)でなければなりません。その全期間を通じて、お客様は脆弱性に対応し無償のセキュリティ更新を提供しなければなりません。各更新はその後10年間利用可能な状態を保たなければならず、技術ファイルおよびEU宣言も10年間保管されなければなりません。
以下の各ツールは無償で利用でき、ここでサイドパネルとして開くため、現在の位置を見失うことがありません。
本法が適用されるかどうか、およびお客様の想定されるクラスを確認します。
ここで開く →無償コンプライアンスマトリクスすべての附属書IおよびVIIの義務をマッピングし、完了まで追跡します。
ここで開く →無償費用計算ツールコンプライアンスの一回限りおよび年間の費用を見積もります。
ここで開く →無償脆弱性アナライザーお客様のSBOMをNVDおよびEUVDと相互参照し、使用終了(End-of-Life)の構成要素を追跡します。
ここで開く →無償DoCジェネレーターお客様の製品向けにEU適合宣言(附属書V)を生成します。
ここで開く →無償分類検索ツールお客様の製品がデフォルト、重要または重大のいずれであるかを、名称により確定します。
ここで開く →無償サポート期間プランナー最低サポート期間を設定し、早期に使用終了(End-of-Life)に達する構成要素にフラグを付与します。
ここで開く →