お客様の素早い設計とより早い製品化を実現する、技術情報と専門知識をご紹介します。
重要: このページには 当社の製品に関するセキュア情報が 記載されています サインイン 承認されたリソースにアクセスします。
重要: このページには当社製品に関する安全な情報が記載されています。
セキュア情報を表示する重要: セキュアなコンテンツを表示するには認証が必要です。
パスワードの再入力サイバー・レジリエンス法 (CRA) は、2024年11月に欧州委員会によって批准された画期的な法律です(Regulation (EU) 2024/2847)。この法律は2027年12月に全面施行される予定です。デジタル要素を含む製品またはサービスをEU域内で販売するすべての企業が、CEマークを取得するためにこの法律に準拠することを義務付けるものです。
機能に関するセキュリティ要件。ヨーロッパ域内における製品とサービスのセキュリティ基準を規定する。
企業が以下のようなセキュリティに関する慣行と手順に従うことを求める要件。
NXPはセキュリティと規制遵守を重要視しており、お客様の取り組みをサポートして、お客様のニーズと法規制要件を達成できるよう最大限努力します。
NXPは、適用されるすべての法律および規制を遵守することを約束します。これには、半導体製品に適用されるサイバー・レジリエンス法 (CRA) が含まれます。NXPはCRAの施行に向けて積極的に準備を進めています。CRAは2027年12月11日から施行される予定ですが、現在も一部の内容が補足され、具体化が進められていますので、ご注意ください。NXPはこの法律制定作業を注視し、確実な規制順守を目指しています。NXPはこの取り組みの一環として、NXPの製品ファミリが当該CRAクラスにどのように準拠することになるのか、明確な発表を行う予定です。
CRAが施行されるその日から、ヨーロッパで販売されるすべてのNXP製品がCEマークを取得する予定です。NXPには、IEC 81001-5-1、IEC 62443-4-1、ISO 21434などのISOおよびIECの業界認定に準拠し、安全な開発プロセスを使用して医療、自動車、産業の各分野で同様の要件を達成してきた経験があります。
CRAで求められる義務について、明確なガイダンスをご提供します。NXPのセキュリティ・バイ・デザイン・ソリューションが、メーカーが規制を効率的に遵守して長期的なレジリエンスを達成するために役立つことをご紹介します。
NXPの法令順守とセキュリティ認定は、NXPのEdgeLock® Assuranceプログラムによって支えられ、幅広いセキュリティ法令順守認定によって検証されています。NXP全体のセキュリティ認定については、こちらをご覧ください。
NXPのプロセスは、以下のようなCRAの基本原則をサポートしています。
NXPのセキュリティ開発プロセスと情報セキュリティ管理システム (ISMS) の包括的な概要のページで、NXP全体のビジネス創造&管理 (BCaM) フレームワーク、NXPのセキュリティ成熟度プロセス (SMP)、包括的な製品セキュリティ・プログラムについて説明しています 。
NXPの開発プロセスは、ISA/EIC 62443 4-1 ML3(インダストリアル制御システム)、ISO/SAE 21434(自動車)、IEC 81001-5-1(医療)などの業界標準に応じて検証し認定された、セキュリティ・バイ・デザインの基本原則に基づいて構築されています。
NXPの製品には、開発時に最先端のツールを使用した厳格なセキュリティ・テストが実施されます。一部の製品には外部パートナーのテストも実施されます。詳細については、NXPのEdgeLock Assurance認定プログラムをご覧ください。
NXPには専任の製品セキュリティ・インシデント対応チーム (PSIRT) が存在し、指定されたプロセスに従って活動して、セキュリティの脆弱性やインシデントに即座に対応しています。このチームが、報告された脆弱性の影響、重大度、対応策についての明確なガイダンスを提供します。
NXPは、欧州の標準化団体や業界団体(CENELEC、ETSI、GlobalPlatform、Auto-ISAC、Matterなど)に積極的に参加しており、現在進行中のCRAの策定にも協力しています。この関与により、NXPのプロセス、手順、慣行を確実に規制に適合させ、最新の状態に保つことができます。
NXPは、お客様のセキュリティ・アプリケーションをサポートする幅広いデバイス製品を用意しており、その充実したセキュリティ機能をサポートする使いやすいツール群と広範なパートナー・エコシステムを提供しています。
| 求められるセキュリティ機能 | サポートのためのセキュリティ機能 | 対応する保護機能 |
|---|---|---|
| 製品の構成 |
|
|
| 製品の認証 |
|
|
| 製品へのアクセス |
|
|
| データ保護 |
|
|
| 製品の監視とサイバー状態の認識 |
|
|
| 脆弱性の修正と製品アップデート |
|
|
|
|
|
特定されたリスク、適用される脅威モデル、さらに特定のユースケースに定められたセキュリティ対策に基づいて、適切な保護手段を選択する必要があります。特定のセキュリティ機能の可用性については、NXP製品のデータシートまたはセキュリティ・マニュアルをご覧ください。
NXPは、CRAのセキュリティ目標を達成するために必要な堅牢性、完全性、耐障害性を備えたデバイス保護機能をデバイスのライフサイクル全体にわたって維持できるようにする、一連の統合セキュリティ・テクノロジを提供しています。
機密性の高い資産とセキュリティ機能をハードウェア・レベルで分離することで、ソフトウェアのみのソリューションと比較してはるかに強固な保護を実現します。このハードウェアに基づく分離によって、製品に対する不正なアクセスや操作を防ぎ、セキュア・バイ・デザイン原則を徹底し、デバイスのライフサイクル全体にわたって攻撃に対するレジリエンスを高めることができます。このメカニズムは、CRAのデータ保護に関する必須のサイバー・セキュリティ要件(1(2) d、e、g、h、k、m)に対応するものです。
CRAの必須のサイバー・セキュリティ要件を満たし、第三者機関の認定を受けた、堅牢なOEM向けセキュリティ基盤です。OEMは暗号化エンジンに組込まれた改ざん防止キーと資格情報ストレージ、さらにセキュア・アテステーションと更新検証のサポートを利用して、最終製品にセキュア・バイ・デフォルトを実装できます。さらに、EdgeLockセキュア・エレメント/オーセンティケータ・ファミリはコモン・クライテリア認定を取得しているため、最終製品の適合性評価が簡素化される場合があります。このメカニズムは、CRAのデータ保護に関する必須のサイバー・セキュリティ要件(1(2) d、e、g、h、k、m)に対応するものです。
追跡可能で改ざんが困難な制御された方法で、デバイスの固有ID、証明書、資格情報を確実にプロビジョニングすることにより、セキュアなサプライチェーン慣行に関するCRAの必須のサイバーセキュリティ要件(1(2) b、c、d、e、f、h、m)をサポートします。
デバイスへの干渉を試みる行為を検知し、それに対応するメカニズムを実装します。これは、不正なアクセスや操作の防止に関するCRAの必須のサイバーセキュリティ要件(1(2) d、e、f、j、k)をサポートするもので、セキュリティ・インシデントの影響を軽減し、製品全体のレジリエンスを強化します。
将来の量子コンピューティング攻撃に耐えるように設計された暗号化アルゴリズムを導入します。これは、CRAの必須のサイバーセキュリティ要件(1(2) d、e、f、h、k、m)に適合します。
新しい規制によって生じる課題を検討し、お客様がNXPの支援を受けてCRAの順守を達成するための方法を紹介します。
|
CRAがどのように製品のセキュリティに対する期待を再構築しているのか、またNXPがどのようにして、規制準拠に対応したスケーラブルなソリューションを通じて、メーカーが自信を持って新しい規制の時代に適応できるよう後押ししているのかがわかります。 |
トレーニング・プレゼンテーション |
2026年1月1日 |
|
|
AN14671:EdgeLock DiscreteポートフォリオでCRA規制への準拠を容易に EdgeLock Discreteポートフォリオが、CRA要件の実装においてOEMをどのようにサポートできるかをご覧ください |
アプリケーション・ノート |
2025年10月13日 |
|
|
NXPとPHYTECが、ハードウェア・ベースのセキュリティ、セキュアな設計原則、ライフサイクル管理を統合することで、セキュアな組込みシステムをどのように実現しているかをご覧ください。 |
ホワイト・ペーパー |
2025年7月10日 |
|
|
セキュアな製品の設計およびライフサイクルに関するCRAの要件を満たす方法について解説します。 |
ホワイト・ペーパー |
2025年7月10日 |
|
|
i.MX 93が、CRA要件の実装においてOEMをどのようにサポートできるかをご覧ください |
アプリケーション・ノート |
2025年6月25日 |
|
|
MCX Nが、CRA要件の実装においてOEMをどのようにサポートできるかをご覧ください |
アプリケーション・ノート |
2025年6月20日 |
|
|
レジリエンスとコンプライアンスのために、NXPが拡張性に優れたモジュール型セキュリティ・ソリューションと実用的な導入および強固な規制準拠サポートをどのように提供しているのかご紹介します。 |
トレーニング・プレゼンテーション |
2025年1月1日 |
|
|
世界中でセキュリティ規制が厳格化されており、重要な要件について理解することが不可欠になっています。NXPが準拠の簡素化と、デバイスやソフトウェア全体にわたる製品のセキュリティの強化をどのように支援しているのかを解説します。 |
トレーニング・プレゼンテーション |
2024年3月1日 |
|
|
ドキュメント・ライブラリでは、すべてのドキュメントを閲覧できます。 |
|||
NXPが提供するすべての情報は、NXPが保有する情報の限りにおいて正確であり、その情報によってNXPが新たな責務を負うことも、既存の責務が増えることもありません。すべての情報は「現状のまま」で提供され、NXPは明示的にも暗黙的にも、情報の正確性、完全性、製品が特定の用途に適していること、および情報、試験結果、分析、評価が顧客による追加のテストまたは変更なしに信頼性が担保されることについて、一切の表明または保証を行いません。NXPは、NXPが提供する任意の情報または支援に関連または付随して生じた損害または損失について、一切の責任を負いません。お客様のアプリケーションと製品の設計と運用に関する責任と、お客様のアプリケーションと製品に関連するリスクを最小限に抑えるために適切な設計と保護措置を実施する責任は、お客様が負うものとします。
CRAへの適合を正式に表明できる企業はまだありませんが(認証機関がまだ認定されていないため)、SESIP認定、PSA認定、コモン・クライテリア認定を取得した製品については、CRAへの適合準備ができているものとして特別に認められています。
NXPはこうした認定に加えて、EdgeLock AssuranceプログラムとIEC 62443/ISO 21434認定済み開発プロセスを組み合わせ、CRAで期待される水準の保証をすでにお客様に提供しているため、事実上、リスクの低いCRA対応サプライヤとして位置付けられています。
「市場投入」とは、製品がメーカーから初めて販売または引き渡されたこと(NXP→ディストリビュータなど)を指します。この行為によって、CRAおよびCEマークの義務が発生します。
「提供」とは、それ以降にサプライチェーン内で行われる配布(ディストリビュータ→インテグレータなど)を指します。これは複数回行われる可能性がありますが、適合義務がリセットされるわけではありません。
2027年12月以降にEU市場で販売される製品は、市場に投入された時点でCRAの要件を満たす必要があります。さらに、市場投入時点がサポート期間の起点とみなされます。
CRAへの適合は、製品がサイバー・レジリエンス法の必須のサイバーセキュリティ要件を満たし、欧州での製品販売に必要なCEマークを取得する資格があることを示すものです。
メーカーはCRAへの適合を達成するために、以下のステップを実行する必要があります。
以上すべてのステップが完全に完了している場合にのみ、製品がCRAに適合したと見なすことができます。
以下の3条件がすべて満たされている場合、その製品はCRAに準拠する必要があります。
追加のガイダンス:欧州委員会は、CRAで定められた「重要」製品クラスと「クリティカル」製品クラスについて詳細に解説した技術文書 (Implementing Regulation (EU) 2025/2392) を公開しています。これは、製品がより厳格な適合性評価を必要とする高リスク・カテゴリに該当するかどうか、メーカーが判断するために役立ちます。
いいえ。CRAクラスは最終製品に適用され、個々のコンポーネントすべてに適用されるわけではありません。次の条件を満たす限り、任意のカテゴリのコンポーネントを使用できます。
デバイスのクラスは、準拠すべき適合性評価を定めるものであり、コンポーネントの分類を定めるものではありません。
2027年12月11日以降にEU市場に投入されるユニットはCRAへの準拠が求められ、またこの日以降に継続販売されるレガシー製品も対象となります。
CRAへの準拠は1回限りで終了する活動ではありません。メーカーは以下の取り組みを継続する必要があります。
必須のサイバーセキュリティ要件はすべてのカテゴリで同じですが、以下のように証明メカニズムが異なります。
セキュア・ブートは必須ですが、これだけではCRAに適合できません。
セキュア・ブートは、CRAで求められるソフトウェア整合性を保護するために有効ですが、CRAに適合するには以下のような機能も追加で必要となります。
製品レベルのリスク評価に基づいて、各要件に対応する必要があります。メーカーは未実装の措置について、その理由を説明しなければなりません。
| 製品 | 状況 | 許可された方 |
|---|
重要: メール認証後 このページを更新.
この製品ポートフォリオに関するセキュアを入手することが可能です、 アクセス権を要求する. 詳細については セキュアなアクセス権.
注意: ご応募いただいた内容は、NXPが個別に審査いたします。
セキュアなアクセス権を得るためのリクエストは拒否されました。 If you think this has been declined in error, 再度アクセス要求してください.
アクセス詳細. 追加のセキュア(制限付き)情報は、以下の通りです。 この 製品 ポートフォリオ. アクセス権の追加申請.
We are currently processing your secure access rights request. Once processed, a notification will be sent to ${emailId}.
Some files related to your secure access rights are temporary unavailable due to a system error. Please check back.
お客様が行った更新を処理する間、お客様のセキュアな情報へのアクセスは無効化されます the updates you made to your NXPアカウント > プロフィール. 確認作業が完了したら、メールをお送りします。
表示する情報がありません。
500 残りの文字数
*承認者に対して、アクセスリクエストの正当な理由を記述してください。