• Column
  • CRA発効で製品セキュリティはユーザー保護から社会保護・安全保障へ

CRA対応ではソフト品質と社内外の関係性構築が従来に増して問われる【第2回】

市川 幸宏、松尾 正克(デロイト トーマツ サイバー)
2026年6月24日

日本の製造業にとって、従来からの品質活動、とりわけソフトウェアに対する取り組みが弱点になってしまう可能性がある。これまでの高品質な管理をソフトウェアを含めた製品全体へ適用できるかどうかがカギになる。CRA(EU Cyber Resilience Act:欧州サイバーレジリエンス法案)は重要インフラだけが対象ではない。自社製品が当該対象か否かを改めて検討すべきだ。自社だけではなく他社との協力関係を築きながら、より良い製品開発のきっかけにしてほしい。

 製造物責任法(PL法)は、ユーザー保護の観点から、製品の欠陥や脆弱性によってユーザーに被害が発生すれば、その損害をメーカーに金銭で賠償させる。この法令は、製造業者にセーフティやセキュリティといった観点で安全な製品を作らせる一定の圧力になっている。

セキュリティ対策に不備のある製品の流通自体を阻止

 しかし、この賠償はあくまで被害発生後である。たとえ製品が欠陥や脆弱性を有していたとしても、運よく被害が発生しなければ、製造業者には賠償責任が一切発生しない。そのためPL法だけでは、安全性よりもコストダウンを優先する製造業者の排除が困難だった。

 特にセキュリティにおいては「都度賠償する方が、セキュリティ対策を講じるより安上がりだ」という誤った考え方を持つ製造業者が少なくないのが現状だ。中でもソフトウェアのセキュリティ対策に対しては、PL法が歴史的背景からソフトウェアを対象外としてきたため、取り組みは劣後しがちであった。そうした反省もあり、EU(European Union:欧州連合)ではソフトウェアも対象とした新たなPL法の制定が進んでいる。

 安全保障が厳しくなる昨今、このPL法による安全性確保には綻びが見えてきた。PL法だけでは、セキュリティ対策に不備のある、つまり欠陥を有する製品の流通を止められない。

 セキュリティ対策に不備のある製品の流通を許すと、敵国によって監視カメラや決済端末、FA(Factory Automation)機器、工作機器、通信機器、車、建設機械、医療機器、ドローンなどのデジタル製品が容易にハッキングされ、最悪、社会が麻痺してしまう。

 このような社会変化を受け、EUはCRA(EU Cyber Resilience Act:欧州サイバーレジリエンス法案)を公表し、PL法の隙間を埋めたのだ。CRAでは、ソフトウェアを含めた全てのデジタル製品を対象に、セキュリティ対策に不備のある製品を流通させた者に対して巨額の制裁金を課すことで、セキュリティ対策に不備のある製品の流通を阻止する。

 CRAはユーザー保護の強化だけでなく、社会保護を意識した法令になっている。これにより製造業者は今後、安全性よりコストダウンを優先する行為は取れなくなる。少なくとも、EUに上市する製造業者は、プロアクティブにセキュリティ対策を実施する方向に誘導されることになる。

 日本の製造業者は、この潮流を注視し対応を進める必要がある。ソフトウェアを含め、製品の安全性の考え方が旧態依然のままでは、いずれガラパゴス化し淘汰されてしまうだろう。

ハードウェアへのこだわりをソフトウェアにも適用できるか

 日本のモノづくり品質は高く、一度落とし込んだルールの改善活動には素晴らしい力を発揮する。特にハードウェアに関しては、伝統的に調達を含めて品質に対して厳しいハードルを設けるなど、品質の作り込みレベルが非常に高い。それに対して、ソフトウェア品質の作り込みはどうだろう。

 モノづくりの世界では、無料ということもありOSS(Open Source Software)の利用が進んでいる。しかし、OSSのセキュリティ品質を製造業者は、どれだけ考慮しているのだろうか。日本の製造業者には「OSSのセキュリティ品質を自ら作り込む」という意識が希薄なところが少なくない(図1)。OSSの脆弱性は世界共通であるため、それらのセキュリティ品質を高めていくことは「誰かがやってくれるだろう」と他力に期待してはいないだろうか。

図1:従来のハードウェアの品質とOSSの品質への取り組みの違い

 本来、OSSを自らの製品に組み込むのであれば、ハードウェアと同様に、OSSがいかなるものであっても自らセキュリティ品質を確保すべきであり、そのような意識を持つべきであろう。幸いOSSは、ソースコードも公開されているため、自らセキュリティ品質を確保することは可能である。

 OSSのようにソフトウェアを製品に何も考えずに実装する行為は、共通化されたソフトウェアのセキュリティ上の脆弱性を製品に実装している行為にほかならない。これはハッキングを容易にし、品質を劣化させている行為だと言える。たとえ製品の出荷時に、そのような脆弱性がなかったとしても、ハッカーは、その脆弱性を積極的に探し出し、執拗にハッキングしてくる(図2)。

図2:攻撃者が積極的に製品を攻撃することを想定する必要がある

 このようなハッカーの狙いは、重要インフラを止めるなどの政治目的かもしれないし金銭目的かもしれない。そのような事例は、海外だけでなく日本でも多数発生している。現在のハッカーは、かつてのような興味本位のアマチュアではなく、プロフェッショナルだ。プロである製造業者の製品開発者であっても、ハッカーが狙うこれらの脆弱性を詳細に把握することは大変困難である。

 従ってOSSを実装する場合は、セキュリティ品質を維持するため、例えばファイアウォールで防御するなど、脆弱性が狙われることをあらかじめ考慮して設計する必要がある。