【第3回】製品出荷後に求められる「脆弱性管理」と「インシデント報告」の厳格なルール

はじめに

従来のハードウェアビジネスは「売り切り型」が主流でした。しかし、CRA（欧州サイバーレジリエンス法）の施行により、このビジネスモデルは通用しなくなります。CRAは、製品が市場に流通している期間中、継続してサイバーセキュリティを維持することをメーカーに義務付けています。

本記事では、品質保証部門や運用サポート部門が直視すべき、CRA附属書IパートIIに規定される「脆弱性対応に関する要件」と「厳格なインシデント報告義務」について解説します。

お問い合わせはこちら

●脆弱性対応に関する必須要件（Annex I Part II）
●製品のサポート期間（想定製品寿命）の設定
●24時間・72時間・14日/1ヶ月：極めて厳格な報告義務のタイムライン
●報告タイムライン
●まとめ

脆弱性対応に関する必須要件（Annex I Part II）

メーカーは製品出荷後も、自社製品に組み込まれたソフトウェアやハードウェアの脆弱性を継続的に監視し、対応する体制を維持しなければなりません。主な要件は以下の通りです。

（１）セキュリティアップデートの無償提供

脆弱性が発見された場合、それを修正するためのパッチやアップデートを遅滞なく、かつユーザーに対して「無償」で提供しなければなりません。

（２）自動アップデート機能の実装

可能であれば、セキュリティアップデートが自動的に適用される機能を製品に組み込むことが求められます（ただし、ユーザーが設定でオプトアウト＝拒否できる権利を担保する必要があります）。

（３）脆弱性の公開と情報提供

パッチが提供された後、その脆弱性の詳細や修正内容について透明性をもって公開し、ユーザーに適用を促す義務があります。

製品のサポート期間（想定製品寿命）の設定

メーカーは、製品を市場に投入する際、製品の使用実態などを考慮して「想定される製品寿命（Expected product lifetime）」を定義する必要があります。CRAでは、原則として「最低5年間」（想定寿命がそれより短い合理的な理由がある場合を除く）のサポート期間が義務付けられており、その期間中は継続して脆弱性対応やアップデートの提供を行う必要があります。

24時間・72時間・14日/1ヶ月：極めて厳格な報告義務のタイムライン

CRAの中で、企業のコンプライアンス対応として最もハードルが高いとされているのが、インシデントと脆弱性の「報告義務」です。この報告義務は、2026年9月11日から先行して適用が開始されます。

自社製品に関わる「悪用された脆弱性（Actively exploited vulnerability）」や、製品に影響を及ぼす「重大なインシデント（Severe incident）」をメーカーが認識した場合、以下のタイムラインで各国の関連当局（CSIRT等）および欧州ネットワーク情報セキュリティ庁（ENISA）に報告しなければなりません。

報告タイムライン

（１）早期警告（初報）－認識から24時間以内

インシデントや悪用された脆弱性を認識してから24時間以内に、第一報を提出する義務があります。この段階では、インシデントが他の加盟国に波及する可能性があるかどうかの見立てなどが含まれます。

（２）詳細報告－認識から72時間以内

インシデントや脆弱性の性質、影響範囲、および想定される被害について、より詳細な評価と情報を提出します。

（３）最終報告（対応完了報告）－ 14日または1ヶ月以内

悪用された脆弱性：パッチの開発など、是正・軽減措置が利用可能になってから14日以内に最終報告書を提出します。

（４）重大なインシデント

是正・軽減措置が実施されてから1ヶ月以内に最終報告書を提出します。

このタイムラインを守るためには、脆弱性やインシデントを検知・評価し、関係部署を巻き込んで報告書を取りまとめるプロセスが完全に自動化・組織化されている必要があります。

まとめ

第3回では、出荷後の厳しい脆弱性管理と報告義務について解説しました。

第4回では、これらの要件を満たしたことを証明し、欧州市場で販売するための「適合性評価とCEマークの取得プロセス」について解説します。