EU CRA対応ロードマップ最新動向 ― ソフトウェア脆弱性管理と適合評価のための道筋を解説

EU CRAによる2026年9月の脆弱性報告義務化、2027年12月の全面適用に向け、製品の設計・開発・保守にわたるセキュリティ対策と適合評価の取り組みが加速しています。 新たにCRA の製品カテゴリに関する実施規則である (EU) 2025/2392がOfficial Journal（OJ）に掲載されたことにより、これまでカテゴリ名のみで曖昧だった部分が大きく明確化されています。これにより適合を目指す企業にとっても、より具体的な方針を策定しやすい状況になりつつあります。 また、実際に適合評価を得るためにはソフトウェアへのセキュリティ・テストも必須となります。公開されたFAQだけではわからないセキュリティ・テストの要件についても解説いたします。 本セミナーでは、最新の技術文書とFAQを踏まえ、残りの限られた期間の中で、企業が取り組むべきロードマップの解説とサプライチェーン管理とテスト設計を実装するためのヒントをご紹介します。 講演1 CRA発効後1年間の変化を総点検！CRA最新動向と2026年9月報告義務化に向けた対応ロードマップ 2024年12月のCRA発効から約1年が経過し、2026年9月の報告義務化が目前に迫っています。 本セミナーでは、この1年間の変化を総点検し、最新の整合規格候補（prEN 40000-1-2/3）やOJ掲載の技術文書 (EU) 2025/2392 などの最新動向を分かりやすく解説します。 この情報に基づいて、報告義務化までの残された期間で、いつ、何をすべきかを明確にする対応ロードマップを解説します。 SGSジャパン株式会社 プロジェクトエンジニア 川崎寿之様 講演2 EU CRAのFAQには明記されていないセキュリティ・テスト要件を考える 2025年12月3日、欧州委員会はEU CRAについてのサマリーとFAQを公開しました。 その4.2.2項で改めて製造業者に対して脆弱性対策に関する指針を示しており、「リスク評価に基づいて、悪用可能な脆弱性を含まない」ことを求めていると説明されています。これはリスクベースのサイバーセキュリティ対策の一般的な考え方を踏襲しており、従来ブラック・ダックが提案しているアプローチでもあります。 そこで、このFAQの視点を吟味しつつ、ソフトウェアをセキュアに開発するための考え方を改めて整理します。 ブラック・ダック・ソフトウェア合同会社 シニアテクニカルマーケティングマネージャー 松岡 正人