ホーム
アプリケーション
テクノロジー
セキュリティ
サイバー レジリエンス法 (CRA)

サイバー レジリエンス法 (CRA)

一歩ずつ共に進むパートナー

欧州連合 (EU) の CRA を理解する

CRA は、つながる世界において拡大し続けるセキュリティ脆弱性のリスクから、消費者と企業を保護することを目的としています。これは、デジタル要素を持つ 製品の設計、開発、製造のルールと、製品のライフサイクル全体にわたる脆弱性に対処するためのプロセスを示しています。TI は CRA の動向の形成や追跡に積極的に関与しており、お客様が自信を持って要件に対応し、セキュアでコンプライアンスに準拠した製品を迅速に市場に投入できるよう支援します。 

CRA の範囲

EU CRA 規則 [1] は、EU 市場に出されるデジタル要素を含む製品やコンポーネントに適用されます。これは、デジタル データを処理するあらゆるハードウェアまたはソフトウェア製品であり、他のデバイスやネットワークに接続されることを意図している、または合理的に予想されるものを対象としています。

適用範囲に含まれるもの

デジタル要素を含む製品およびコンポーネントの例:

ハードウェア:

  • ネットワーク管理システム
  • スマート家電
  • 携帯電話 / スマートフォン
  • マイクロプロセッサとマイコン

ソフトウェア:
 

  • オペレーティング システム
  • オープン ソース ソフトウェア
  • ブート マネージャ

範囲に含まれないもの

以下の既存の EU 規則が適用されるデジタル要素を含む製品 [1]:
 

CRA のタイムライン

CRA 要件

CRA 規則は、EU 市場に出されるデジタル要素を含む製品やコンポーネントに適用されます。これは、デジタル データを処理するあらゆるハードウェアまたはソフトウェア製品であり、他のデバイスやネットワークに接続されることを意図している、または合理的に予想されるものを対象としています。

製品の要件

1.適切なセキュリティ レベル
2.既知の脆弱性なしで提供される製品
3.リスクおよび該当する場合に基づきます:
        • デフォルトのセキュリティ
        • 適切なセキュリティ更新を可能にする
        • 不正アクセスからの保護
        • データ、コマンドおよびプログラムの機密性と完全性
        • データの最小化
        • 重要な機能の可用性
        • 他のデバイスへの悪影響を最小化
        • 攻撃対象領域の制限
        • インシデントの影響を低減
        • セキュリティ関連イベントの記録と監視
        • データと設定の安全かつ完全な消去および/または移行

脆弱性処理プロセス

        • SBOM を含め、依存関係と脆弱性を特定し、文書化
        • 脆弱性の追跡
        • 既知の脆弱性がないこと、また脆弱性を遅滞なく対処すること
        • デジタル製品のセキュリティをテスト
        • 修正済みの脆弱性に関する情報を公開
        • 調整済み脆弱性開示に関する方針
        • 潜在的な脆弱性に関する情報共有を促進
        • パッチは遅滞なく、無償で、通知メッセージとともに提供されます

情報とラベル付け

        • CE マーキング
       • EU 適合宣言
       • 承認された代表者の任命、安全窓口の指定
       • サイバーセキュリティ リスク アセスメントを含む技術文書
       • セキュリティ更新プログラムの入手可能性に関する情報
       • トップ レベルの依存関係を含む SBOM
       • サポートおよびサポート期間を定義する技術文書
       • リビジョンにアクセスできる公開SW アーカイブ
       • ユーザー指示セットの提供
       • 製品の識別

サイバーセキュリティへの取り組み

checkmark

数十年にわたるセキュリティの経験

当社は、製品の開発と販売において長年の実績があり、お客様の厳しいセキュリティ要件にも応えてきました。

checkmark

TÜV SÜD 認証 

当社は、自動車サイバーセキュリティに関する ISO/SAE 21434 規格への準拠について、TÜV SÜD の認証を取得しています

checkmark

CRA 開発を綿密に監視する

当社は CRA の実施およびその規格の公表について、積極的に関与しながら継続的に注視しています

checkmark

脆弱性レポートの有効化

TI の製品セキュリティ インシデント対応チーム (PSIRT) は、セキュリティの潜在的な脆弱性に対応するレポートの受け入れプロセスを管理しています

製品サイクルのガイドです

製品定義
  • 製品の使用方法を定義する
  • 適用可能な CRA クラスを定義する
  • 潜在的なリスクを評価する
設計と開発
  • 脆弱性を特定する
  • ソフトウェア部品表 (SBOM) の作成
  • CRA の技術文書を提供し
認証
  • 適合性を評価し
  • 既存の脆弱性を軽減し
  • CRA の技術文書を提供し
展開

リソース

自動車のサイバーセキュリティ プロセスに関する認証

製品のサイバーセキュリティ規格である ISO/SAE 21434 への準拠

証明書をダウンロードし
セキュリティを考慮したアプリケーションの構築

必要なレベルのセキュリティをネットワークで接続されているデバイスに達成するために、デベロッパーはどうすればよいでしょうか?この e-book(電子書籍)では、目的のセキュリティを達成できるよう設計者を支援するために TI が提供している主なセキュリティ イネーブラについて紹介します。

e-book をダウンロード

参考資料

1.欧州連合。2025 年 11 月 20 日。“規則 - 2024/2847 - EN - EUR-Lex”.2025 年 8 月 1 日にアクセス。

2.欧州サイバーレジリエンス法。「サイバー レジリエンス法 (CRA) | アップデート、コンプライアンス」。2025 年 8 月 1 日にアクセス。