サイバー・レジリエンス法 (CRA) に対応するNXP

placeholder

サイバー・レジリエンス法 (CRA) は、欧州連合 (EU) におけるデジタル製品のサイバーセキュリティを最も広範囲に改革した施策の1つです。デジタル・コネクテッド製品の普及が進む中、CRAによって、こうしたデバイスを欧州市場に流通させているすべてのメーカーに対して厳格な義務が新たに課されることになりました。この新たな規制によって基準が厳格化され、エンジニアリング・チームはまったく新しい課題を検討する必要性に迫られています。

NXPは以前からこうした規制の変化を予期していたため、お客様がCRAに準拠するためのサポートを十分に提供できます。NXPは業界標準の確立を支援するうえで重要な役割を果たし、常に厳格なセキュリティ要件に従って製品を開発してきました。NXPはセキュアな開発環境、第三者認定、脆弱性対応、ドキュメントのサポート、ライフサイクル管理などのソリューションを提供し、CRAという新たな複雑さを乗り越えられるようお客様を支援します。

CRAが重要である理由

CRAは、EU市場に投入されるデジタル要素を持つ製品(関連するリモート・データ処理やデジタル・サービスを含む)に適用される、必須のサイバーセキュリティ要件を定めています。特に、セキュリティが安全性と同等の重要性があると見なし、サイバーセキュリティ対応をCEマーク取得の前提条件として位置付けています。その結果、メーカーはセキュリティを後付けの機能として扱うことができなくなり、プロジェクトを開始する時点からセキュリティ・バイ・デザインの手法を導入する必要に迫られています。

一般的に、この規制の対象となる製品は、直接的または間接的、論理的または物理的に他のデバイスまたはネットワークに接続し、さらにデジタル・データの処理、保存、送信も可能なハードウェア製品およびソフトウェア製品です。

完全施行は2027年12月11日に予定されており、脆弱性の報告義務は2026年9月から発効します。違反した場合、1,500万ユーロまたは世界総売上額の2.5%のどちらか高い方の罰金を科される可能性があります。

メーカーに求められる責務

メーカーがこの新しい規制に対応できるよう、CRAでは主要な責務がいくつか示されています。

  • 製品はセキュリティに配慮して設計され、デフォルトで安全な設定になっている必要があるため、製品ライフサイクル全体にセキュリティが統合されていること
  • 製品が市場に投入された時点で、出荷された製品に既知の悪用可能な脆弱性が存在しないこと
  • メーカーは少なくとも5年間、または製品の想定使用期間の間、セキュリティ・サポートを提供すること
  • メーカーは製品ライフサイクル中に悪用された脆弱性および重大インシデントを関連省庁に必ず報告すること

こうした基本的な責務の他に、CRAでは特定の機能やアーキテクチャは規定されていません。その代わりにメーカーに対して、選択したリスク対応戦略が製品に対する脅威に効果的であることを実証することによって、リスクに基づく意思決定を下すことを義務付けています。

CRAに即した開発を進めるためのNXPのアプローチ

NXPはCRAに準拠するために、包括的なセキュリティ・バイ・デザインのアプローチを採用しています。NXPは関連する基準や法規制に適合するように開発方法を調整し、独立した第三者機関の協力を得て製品評価を行っています。NXPは国際標準化団体や業界ワーキング・グループに積極的に参加することで、ベストプラクティスと新たなセキュリティ基準を継続的に社内のエンジニアリング・フローに統合しています。

また、輸出管理とサプライチェーン・セキュリティに関する強力なフレームワークを保持しているため、CRAで重視される十分に文書化されたリスクベースのセキュリティ意思決定をサポートできます。これには、すべてのセキュリティ対策が各製品の特定の脅威ランドスケープに見合うものであることを保証する、リスク分析、実装の選択肢、設計原理の明確な文書化が含まれます。

NXPは新製品とレガシー製品の両方に対応できるよう、法令順守戦略に継続的に修正を加えており、製品ドキュメントを定期的に更新し、強化したセキュリティ制御機能を統合し、カスタマイズしたサポートを提供しています。

コミュニケーションを透明化しながら継続的に改善を進めていく、こうした積極的な施策を通じて、急速に進化する法規制環境においてCRAへの準拠を安心して進められるよう、お客様を支援しています。

セキュアな開発と認定による統合リスクの軽減

NXPにおけるCRA対応の開発手法は、製品ライフサイクル全体にわたるセキュアなエンジニアリング慣行を基本としています。NXPはセキュリティ・バイ・デザイン手法の一環として、設計、製造、長期的なライフサイクル管理に至るまで、開発のあらゆる段階にセキュリティ慣行を取り入れています。こうしたセキュアな開発慣行は第三者機関による認定を受けており、自動車分野に関してはISO/SAE 21434、インダストリアル分野に関してはIEC 62443-4-1、医療分野に関してはIEC 81001-5-1を取得しています。

こうしたプロセス認定を補完する目的で、一部のNXP製品は独立した第三者機関からSESIP (EN 17927) またはコモン・クライテリア (ISO 15408) に基づく評価を受けています。この評価によってセキュア・ブートや暗号化処理などの基本的なセキュリティ機能が検証されているため、メーカーはCRA準拠に向けた明確で確実な道筋を得ることができ、主要なセキュリティ機能の冗長性評価が不要になります。

このセキュアな開発プロセスと認定によってデバイス・メーカーの統合リスクが減り、適合性評価を効率化し、CEマークとCRA販売後責務に求められるセキュリティ・ドキュメント・パッケージを強化できます。

CRAへの報告のための脆弱性の対処

脆弱性の取り扱いは、製品出荷後も通常のエンジニアリング業務に影響を与えるため、CRAで最も影響の大きな要件の1つです。今後、メーカーはCRAに従い、脆弱性を文書化して報告し、インシデント対応の明確な手順を維持し、迅速に修正を提供することが期待されることになります。

NXPは脆弱性を迅速に解決するために、数年前から専任の製品セキュリティ・インシデント対応チーム (PSIRT) を運用しています。このチームはNXP製品のセキュリティ脆弱性を管理することを使命とし、脆弱性レポートの提出、技術調査の実施、重大性と影響の評価などを実施する一方、お客様に明確なリスク減少ガイダンスを提供します。

このインフラはお客様がCRAに準拠した市場投入後プロセスを構築するために役立つだけでなく、デバイス・メーカーが長期的なライフサイクル管理を達成するための基盤となります。より多くのシステムが相互接続され、ソフトウェア定義の度合いが高まるにつれて、法規制の順守を維持するために、こうした継続性が欠かせなくなってくるでしょう。

コンプライアンスを強化するドキュメントとリソース

CRAの規制で明確なことは、ドキュメントを非常に重視していることです。関連省庁の要請があれば、メーカーはリスク評価、ソフトウェア部品表 (SBOM)、実装の正当化、証明書、評価報告書を提供することが期待されます。しかし、製品ライフタイム全体でこうした広範なドキュメントを作成し管理するために必要な労力は過小評価されがちです。

CRAでは新しいドキュメントの作成義務が導入されますが、特にいくつかの要件、たとえばセキュリティ・ターゲットの準備や外部標準へのマッピングの開発などは、エンジニアリング部門で今日すでに実施されている業務を基に構築されています。NXPはこうした取り組みをサポートするために、包括的な技術資料とドキュメントを提供しています。お客様はNXPから、製品とプロセスのための証明書、アプリケーション・ノート、さらにEN 18031/RED、ISO 21434、IEC 62443-4-2、EN 303 645、NIST 8425などの標準へのマッピングを入手できます。

CRA対応製品のためのNXPセキュリティ・テクノロジ

NXPはプロセスやドキュメントだけでなく、製品の堅牢性、完全性、ライフサイクル・レジリエンスを強化する、幅広いセキュリティ・テクノロジも提供しています。メーカーはこうしたテクノロジを利用して、セキュア・バイ・デザイン・アーキテクチャの導入、重要資産の保護、使用可能期間が終わるまでの製品レジリエンスの確保を実現できます。

  • EdgeLockセキュア・エンクレーブ:機密性の高いアセットとセキュリティ機能をハードウェアに基づいて分離するテクノロジ。セキュリティ・バイ・デザイン原則を補強し、デバイスのライフサイクル全体にわたって不正アクセスや不正操作を防止します。
  • EdgeLockセキュア・エレメントとセキュア・オーセンティケータ:第三者認定を受けた改ざん防止機能を備えたコンポーネント。セキュアなキー・ストレージ、暗号化、アテステーション、セキュアな更新検証をサポートし、最終製品の適合性評価の効率化に役立ちます。
  • EdgeLock 2GO:NXPのセキュアな資格情報プロビジョニングとキー管理を担うOver-the-Air (OTA) サービス。実際の使用時における資格情報の保護と管理、セキュアな更新、製品ライフサイクル全体にわたる脆弱性管理をサポートし、CRA販売後義務に直接対応します。
  • 信頼性確保:セキュアIDインジェクションにより、制御された追跡可能な方法でデバイスID、資格情報、証明書を確実に処理することで、サプライチェーンの整合性に関するCRA要件をサポートします。
  • 物理攻撃および論理攻撃への耐性:不正なアクセスやデバイス操作のリスクを軽減する、組込み型の検出メカニズムと不正対策メカニズム。
  • ポスト量子暗号 (PQC):長期化した製品ライフサイクル全体で最先端の保護機能と長期間のレジリエンスを提供する、量子コンピューティングに耐える暗号化アルゴリズム。

さらに安全で、さらにセキュアな未来

CRAによって欧州のコネクテッド製品市場が大きく変わろうとしていますが、NXPはすでにこの変化を迎える準備ができています。お客様はNXPと連携することで、開発を円滑化し、セキュアな設計、検証済みの機能、長期的なライフサイクル管理のための信頼できる基盤を着実に築いていくことができます。

Embedded World 2026でのNXP

Embedded World 2026のNXPブース (4A-222) では、CRAに対応する開発について詳しくご紹介しており、NXPのテクノロジのデモを見ることができます

CRAへの準拠に関するNXPのお客様向けのサポートを確認し、詳しいガイダンスを得るには、EUサイバーレジリエンス法 (CRA) のページにアクセスし、詳細なFAQドキュメントをダウンロードしてください。

著者紹介

Carlos Serratos

Carlos Serratos

NXP Semiconductors、IoT認証エキスパート

Carlosは、IoTのセキュリティと規制準拠に関するスペシャリストです。NXPのIoT認証エキスパートとして、業界や地域を越えて政策立案者、規制当局、産業界と協力し、コンプライアンス、リスク管理、説明責任の目的のもとで信頼性向上の問題に取り組んでいます。セキュリティに関する規制準拠、方式や規格の策定、およびIoT市場での適用可能性に関する専門家です。現在は、CSA (Connectivity Standards Alliance) の製品セキュリティ・ワーキング・グループに参加し、製品セキュリティ認証および規制に関する活動の共同議長を務めています。

Camille Markarian

Camille Markarian

NXP Semiconductors、製品マーケティング、セキュア・コネクテッド・エッジ担当

Camilleはセキュリティとファクトリ・オートメーションに関する製品マーケティング・マネージャです。NXPのエッジ・プロセッシング製品全体のセキュリティの価値をアピールし、お客様が新たなサイバーセキュリティ規制を検討して、コネクテッド・エッジ・デバイスに堅牢なセキュリティ機能を導入することを支援します。また、ファクトリ・オートメーション向け製品のマーケティング活動を管轄し、NXPの産業分野向けエッジ・プロセッシング・ソリューションのポジショニング戦略や市場開拓施策に貢献しています。NXPに入社する前は、インダストリアルIoTや組込みシステムの分野で製品やマーケティングに関わる業務をこなしていました。また、テクノロジ・ベンチャーの立ち上げに共同創業者として関わり、起業家としての経験を積んでいます。

Giuseppe Guagliardo

Giuseppe Guagliardo

NXP Semiconductors、シニア・プロダクト・マネージャ

Giuseppe Guagliardoは、インダストリアルIoT&NFCセキュリティ部門のシニア製品マネージャです。インダストリアルIoT製品のセキュア・エレメント開発を管轄し、セキュリティへのアクセスと拡張性を改善しています。お客様と密接に連携して、お客様がセキュリティの脅威を理解し、進化するサイバーセキュリティ・トレンドを把握し、インダストリアルIoT向けの堅牢なソリューションを実装できるよう支援しています。IoT、エッジ・アーキテクチャ、クラウド・アーキテクチャ、ヘルスケア・テクノロジ、標準化、サイバーセキュリティに関する深い知見を持ち、その豊富な経験を生かしてシステム・エンジニアリングに貢献しています。

タグ: オートモーティブ, コンスーマ, インダストリアル, セキュリティ, テクノロジ