2027年12月の全面適用、そして2026年9月の報告義務化へ。
アイ・エス・ビーはQtの正規代理店として、お客様が自ら進めるCRA適合プロセスを支援します。
1. EU Cyber Resilience Act (CRA) の概要とサプライチェーン
CRAは、デジタル要素を含む製品のサイバーセキュリティ基準を一元化・強化することを目的とした欧州の法律です。コネクテッドデバイスの急増やサイバー攻撃の高度化を背景に、製品のライフサイクル全体(設計から廃棄まで)にわたり、製造業者のセキュリティ責任を法的に義務付けています。
CRAの適合には、ソフトウェアコンポーネント提供者から最終的な製品製造業者、そして利用者に至るまで、サプライチェーン全体での透明性と連携が不可欠です。
・コンポーネント提供者(Qt等)
製品製造業者(お客様)に対し、SBOM(ソフトウェア部品表)の提供、セキュリティアップデートの提供、および脆弱性情報の通知を行います。
・製品製造業者(お客様)
組み込んだコンポーネントを含め、製品全体のセキュリティ適合性を確保する責任が発生します。適合プロセスを経て、製品にCEマークを貼付し、市場に投入します。
・利用者(ユーザー)
製造業者から提供されるSBOMやサポート期間、脆弱性情報などの透明性の高い情報に基づき、安全な製品の選択と運用が可能になります。
2. CRAによる影響
欧州市場へ展開する製造業者にとって、CRAは「適合しなければ市場から除外される」という強力な規制です。
・市場投入の条件
セキュリティ要件を満たした証である「CEマーク」の貼付が必須です。
・注意義務の拡大
製品出荷時だけでなく、製品寿命期間(最低5年間)にわたり、脆弱性の監視と修正パッチの提供を維持するコストと体制が必要です。
3. CRA対応のタイムライン
猶予期間は着実に減少しており、段階的な対応が求められます。
・2026年9月11日
脆弱性およびセキュリティ・インシデントの報告義務が開始。これ以降、悪用されている脆弱性は24時間以内に当局(ENISA等)への報告が必要です。
・2027年12月11日
全面適用(Full Application)。全ての技術的要件への適合と、適合性評価手順の完了が必須です。
4. CRAが要求する「セキュア・バイ・デザイン」の実務的枠組み
製品の企画段階からセキュリティを考慮し、既知の脆弱性を除いた状態で出荷することが求められます。
① セキュリティ・バイ・デザイン(設計・開発段階)
製品の企画段階からセキュリティを考慮し、既知の脆弱性を除いた状態で出荷することが求められます。
・CRAの要求
潜在的な攻撃対象領域(アタックサーフェス)の最小化、デフォルトでの安全な設定(セキュア・デフォルト)を実現すること。
・Qtソリューションの活用
静的解析ツール(Axivion)
開発段階でコード内の脆弱性(CWEなど)を自動検出し、出荷前にリスクを除きます。
テスト自動化(Squish)
セキュリティ要件を満たしているかを継続的にテストし品質を客観的に証明します。
② 脆弱性管理プロセス(市場投入後)
製品をリリースして終わりではなく、寿命が尽きるまで守り続ける仕組みが必要です。
・CRAの要求
脆弱性が発見された際の迅速な修正パッチ配布、およびユーザーへの透明性ある情報を提供すること。
・Qtソリューションの活用
SBOM(ソフトウェア部品表)の生成。QtのCMake APIを活用し、どのバージョンのどのコンポーネントを使っているかを即座にリスト化。脆弱性発生時の影響調査を劇的にスピードアップします。
③ セキュリティ・バイ・デフォルト(運用段階)
・CRAの要求
ユーザーが特別な設定をしなくても、最初から安全な状態で利用できること。
・Qtソリューションの活用
Qtが提供するセキュアな通信スタックや暗号化ライブラリ、最新のセキュリティアップデートが適用されたLTS(長期サポート版)を利用することで、製品の基礎部分の安全性を担保します。
5. Qtを活用したCRA取得までの過程と現状
※CRAの適合主体はお客様(製造業者)自身です。 Qtがお客様に代わって認証を取得するのではなく、お客様の適合プロセスを簡素化するためにQtの各機能をご活用いただきます。
・Qt Groupのゴール
2026年9月までにQtフレームワークおよび主要ツール自体がCRA要件へ完全対応することを目指しており、お客様が安心してQtをベースとした製品開発を継続できる環境を整えています。
・脆弱性早期通知(EWL)
商用ユーザー向けに提供される「Early Warning List」を活用することで、一般公開前に脆弱性情報を入手し、CRAが求める「迅速な対応」を可能にします。
6. 正規代理店アイ・エス・ビーによる支援
アイ・エス・ビーはQt Groupの公式パートナーとして、世界基準のソリューションを日本の開発現場に最適化して提供します。
・最適なライセンス提案
長期保守を見据えたLTS版の選定や、移行計画のご相談を承ります。
・技術情報の提供
日本語による迅速なサポートと、メーカー直結(Qt)の正確な情報をご提供します。
Qtを活用したCRA対応については、アイ・エス・ビーへお気軽にお問い合わせください。
お問い合わせ先
QtライセンスおよびCRAについてのお問い合わせはこちらへ
または営業担当TEL 03-6775-3280、もしくは下記メールアドレスへご連絡ください。
株式会社アイ・エス・ビー
第3ソリューション営業部
Email: