開催主旨

　2024年12月に発効したEUサイバーレジリエンス法（Cyber Resilience Act：CRA）は、EU市場に製品を展開する製造業にとって事業継続と製品競争力に直結する重要な規制です。対象は、IT機器やソフトウェア製品に限定されず、ネットワーク接続機能を持つ産業機器や民生機器、組込み機器などデジタル要素を有する製品」全般に広がります。
　特に目前の対応課題となるのが、2026年9月11日から先行適用される、脆弱性および重大インシデントに関する報告義務です。製造業者には、自社製品に含まれるソフトウェア構成を把握し、脆弱性情報を継続的に監視し、製品への影響有無を判断したうえで、必要に応じて関係機関や利用者へ適切に報告・通知できる体制が求められます。
さらに、2027年12月の完全適用に向けては、SBOM（Software Bill of Materials：ソフトウェア部品構成表）の整備、脆弱性管理、セキュリティアップデートの提供、技術文書の作成、CEマーキング対応など、開発・設計・保守運用を含む広範な対応が必要になります。CRA対応は、単なる法務・文書対応にとどまらず、製品ライフサイクル全体を通じて、サイバーセキュリティを実装・維持する取り組みへと発展していきます。
　一方、製造業の実務現場では、「何から着手すべきか分からない」「SBOMや脆弱性スキャンは実施したが、検出結果の影響判定が難しい」「CVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）の件数が多く、開発部門だけでは対応しきれない」「既存製品を継続販売するために、最低限どこまで整備すべきか判断できない」といった課題が顕在化しています。特に組込み製品では、OS（Operating System：基本ソフトウェア）、BSP（Board Support Package：基板やSoCを動作させるための基本ソフトウェア群）、デバイスドライバ、OSS（Open Source Software：オープンソースソフトウェア）、旧バージョン環境などが複雑に絡み合います。そのため、ツールによる検出結果をそのまま判断するだけでは、過検知や不要な修正、開発工数の増大につながる恐れがあります。

　本セミナーでは、CRA対応の全体像を整理したうえで、2026年9月の報告義務開始に向けて製造業が優先的に整えるべき実務対応を解説します。具体的には、対象製品の整理、報告プロセス・体制構築、SBOM／CVE確認、脆弱性のトリアージ、報告要否の整理、インシデント発生時の代替策・緩和策検討など、現場で必要となる対応の進め方を紹介します。
　併せて、ミラクシア エッジテクノロジーが提供する脆弱性対応支援サービスをもとに、体制整備から監視・評価、インシデント対策、必要に応じた修正・実装伴走までを一気通貫で支援するワンストップ対応の考え方を説明します。CRA対応に必要な取り組みを段階的に整理し、限られた期間・リソースの中で、既存製品の継続販売と将来の完全適用に向けた準備を両立するための実践的な進め方を提示します。
　また、CRAの技術要件対応として重要となるセキュリティアップデート実装に焦点を当て、組込みLinux向けOSSであるSWUpdate（組込みLinux向けソフトウェア更新ツール）の活用、A/Bアップデート、署名検証、ロールバック、ダウングレード防止、ハードウェア支援による高速化など、安全かつ現実的にアップデート機能を製品へ組み込むための技術ポイントを解説します。
　組込みソフトウェア、BSP、Linux、デバイスドライバ、量産開発に強みを持つミラクシアならではの視点から、CRA対応を「規制対応のための作業」で終わらせず、製品に実装できるセキュリティ対策として具体化するための実践的な内容を提供します。法務・コンプライアンス部門だけでなく、製品開発、設計、品質保証、保守運用、PSIRT（Product Security Incident Response Team：製品セキュリティインシデント対応チーム）に関わる皆様にとって、2026年の報告義務開始に向けた第一歩を整理いただける内容です。