CRA成熟度自己評価
5つのドメインにわたる25の実践項目を評価し、Cyber Resilience Actの下で自社の製品セキュリティ体制がどの程度成熟しているかを確認してください。あわせて、次に改善すべき事項を示す個別のチェックリストが得られます。処理はすべてブラウザ内で完結し、データはローカルに保存されます。
ENISAの SME Cyber Resilience Maturity Assessment Model ↗ (ENISA、2026年7月)、出典を明記して転載。本サイトは独立系であり、ENISAまたはEUとは関係ありません。
ガバナンスと文書化
1.1文書化され承認された製品セキュリティ方針がありますか。
1.2製品セキュリティ活動(開発、脆弱性管理、アップデートなど)について、役割と責任は明確に定義されていますか。
1.3実装済みのセキュリティ機能、リスクアセスメント、設計上の判断、アップデート手順を記載した製品レベルの技術文書を維持していますか。
1.4製品セキュリティおよび関連文書の品質を定期的に見直すプロセスがありますか。
1.5CRAの執行を担当する市場監視当局、自社製品に適用される適合性評価手続き、および必要に応じて関係当局とどのようにやり取りするかを把握していますか。
リスク管理とセキュリティ・バイ・デザイン
2.1サイバーセキュリティリスクアセスメントを実施し、その結果を製品の設計、開発、構成、コンポーネント管理に関する意思決定に活用していますか。
2.2製品は当初からセキュリティ・バイ・デザインの原則に基づいて設計されていますか。
2.3製品はセキュアバイデフォルトの構成・設定で提供されていますか。
2.4製品のリリースまたはアップデート前にセキュリティチェックと試験を実施していますか。また、自動化ツールはどの程度活用されていますか。
2.5リスクが変化した場合や新たな脅威が出現した場合、リスクアセスメント、構成、およびサードパーティ製コンポーネントは見直され、更新されていますか。
脆弱性・パッチ管理
3.1顧客、研究者、社内スタッフから報告された脆弱性を受け付け、確認、記録、追跡するプロセスがありますか。
3.2サポート対象製品について、セキュリティアップデートの作成、試験、提供、および顧客への通知に関する明確なプロセスがありますか。
3.3脆弱性および依存関係の管理を支援するため、SBOMを維持・活用していますか。
3.4脆弱性とアップデートは、リスクと潜在的な影響度に基づいて優先順位付けされていますか。
3.5セキュリティアップデートが報告された脆弱性を効果的に解決していることを検証し、その検証の証跡を保持していますか。
製品ライフサイクル管理
4.1運用段階における製品セキュリティ管理について、明確なアプローチが定められていますか。
4.2サポート期間の設定、アップデートの責任、製品終了(EOL)対応、顧客とのコミュニケーションを含め、製品ライフサイクル管理が積極的に行われていますか。
4.3製品運用、インシデント後のレビュー、顧客からの意見などの経験は、製品の継続的な改善に活用されていますか。
4.4特定された製品セキュリティ上の問題に対処するための、体系的で検証された方法がありますか。
4.5製品は運用中に、セキュリティリスク、脆弱性、および新たな脅威を特定するために監視されていますか。
意識、力量とスキル
5.1社内のリソースが限られている場合の外部専門知識の活用も含め、製品を安全に設計・開発・保守するために十分なスキルが確保されていますか。
5.2製品リスク管理、脆弱性管理、セキュリティ・バイ・デザインを含め、担当スタッフはその役割に関連するサイバーセキュリティの実践について適切な研修を受けていますか。
5.3組織は、責任ある製品開発、オープンな報告、および製品リスクに対する意識を重視する文化を推進していますか。
5.4関連する外部の製品セキュリティ情報(勧告、アラートなど)を継続的に把握していますか。
5.5自社製品を安全に維持するために必要なスキルと力量をチームが備えているかを評価・検証していますか。
ENISAの SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA、2026年7月)、ENISAの法的通知に基づき出典を明記して転載。このインタラクティブ版は情報提供のみを目的としており、専門的または法的助言ではなく、正式な適合性評価に代わるものではありません。cyberresilienceact.euは独立系であり、ENISAまたは欧州連合とは関係がなく、その承認も受けていません。
