2026年5月16日、東京都千代田区大手町の「大手センタービル」4階 一般社団法人 電子情報技術産業協会 402・403会議室にて、欧州サイバーレジリエンス法(以下、CRA)第14条に基づく報告義務の適用開始を目前に控え、国内企業が今から実施すべき対応事項を整理することを目的に、欧州CRA第14条(報告義務)直前対策セミナーを開催しました。
本セミナーでは、CRA第14条の報告義務を中心に、EN 40000シリーズなどの標準化動向、PSTI法やJC-STARを含む国内外の制度動向、開発プロセスにおける実装上のポイント、直前期に取り組むべき実務対策について、法制度・標準化・開発・訓練の各観点から解説しました。
当日は、定員80名のところ81名にご参加いただき、定員を超える参加となりました。CRA第14条対応への関心の高さが示されるとともに、報告義務の適用開始を見え据えた具体的な準備の必要性を共有する機会となりました。
【セミナー開催の背景】
CRAは、デジタル要素を含む製品に対して、設計・開発・製造・運用にわたるサイバーセキュリティ要件を定める欧州の法制度です。なかでもCRA第14条では、積極的に悪用された脆弱性や重大インシデントに関する報告義務が定められており、対象となる製品・サービスを提供する企業には、インシデント検知、影響評価、報告判断、社内外連携などの実務体制整備が求められます。
一方で、CRA対応は単に法令分を確認するだけでは十分ではなく、EN 40000シリーズをはじめとするCRA関連標準の動向を把握し、実際の開発プロセスや脆弱性対応フローへの落とし込みが必要となります。
こうした背景を踏まえ、GMOサイバーセキュリティ byイエラエは、CRA第14条の義務化を目前に控えた国内企業に向けて、制度理解から実務対応、訓練までを横断的に整理する場として、本セミナーを開催しました。
【セミナーの概要】
| セミナー名 | 欧州CRA第14条(報告義務)直前対策セミナー |
|---|---|
| 開催日 | 2026年5月18日(月) |
| 会場 | 一般社団法人 電子情報技術産業協会 402・403会議室 |
| 主催 | GMOサイバーセキュリティ byイエラエ株式会社 |
| 共催 | DEKRAサーティフィケーション・ジャパン株式会社 アイティアクセス株式会社 |
| 定員 | 80名 |
| 参加者数 | 81名 |
| 対象者 | 製品・サービス提供企業のセキュリティ部門、開発部門、品質保証部門、法務・コンプライアンス部門、事業責任者など |
【セミナーのプログラム】
| 時間 | 内容 | 登壇者 |
|---|---|---|
| 14:00-14:15 | 開会挨拶 | GMOサイバーセキュリティ byイエラエ株式会社 伊藤 公祐 |
| 14:15-15:30 | 欧州CRAの最新状況と今何をすべきか | DEKRA testing and certification, Co., Ltd. Daniel Liu氏 |
| 15:30-15:45 | 休憩 | – |
| 15:45-16:05 | 経産省のサイバーセキュリティ政策と欧州との協力 | 経済産業省 商務情報政策局サイバーセキュリティ課 北島 みづき氏 |
| 16:05-16:25 | CRA対応に向けた実装の手引き | アイティアクセス株式会社 大貫 良一氏 |
| 16:25-16:45 | CRA第14条(報告義務)発効に備えて今やれることとは? | GMOサイバーセキュリティ byイエラエ株式会社 伊藤 公祐 |
| 16:45-17:15 | QAセッション | – |
| 17:15-17:30 | 閉会挨拶 | GMOサイバーセキュリティ byイエラエ株式会社 伊藤 公祐 |
【各講演の内容】
欧州CRAの最新状況と今何をすべきか
DEKRA testing and certification, Co., Ltd. Daniel Liu氏
Daniel Liu氏は、欧州CRAの最新動向を踏まえ、CRA第14条に定められる報告義務の考え方や、企業が対応にあたって確認すべき論点について解説しました。講演では、既存の規格とCRA要求事項の関係に加え、EN 40000シリーズの内容にも触れ、法制度上の要求を実務に落とし込む際の整理のポイントが示されました。
経産省のサイバーセキュリティ政策と欧州との協力
経済産業省 商務情報政策局サイバーセキュリティ課 北島 みづき氏
北島 みづき氏は、経済産業省におけるサイバーセキュリティ政策の取り組みと、欧州を含む海外制度との連携・協力の方向性について講演しました。CRAやPSTI法など海外の法制度と、国内における規格・制度との整合性に関する考え方を紹介し、JC-STARを含む国内の取り組みについても説明しました。
CRA対応に向けた実装の手引き
アイティアクセス株式会社 大貫 良一氏
大貫 良一氏は、CRA対応を開発現場に実装する観点から、開発プロセスにおける対応ポイントについて講演しました。CRA適用を見据えた製品開発では、設計段階からセキュリティ要件を組み込み、脆弱性の特定、修正、記録、報告に至る一連の流れをプロセスとして定着させることが求められます。講演では、開発部門、品質保証部門、セキュリティ部門が連携し、実装可能な手順としてCRA対応を整備していく必要性が説明されました。
CRA第14条(報告義務)発効に備えて今やれることとは?
GMOサイバーセキュリティ byイエラエ 伊藤 公祐
伊藤 公祐は、CRA第14条の義務化を目前にして、企業が今から着手すべき実務対応について解説しました。報告義務に対応するためには、脆弱性やインシデントの発生時に、誰が、どの情報を、どの基準で判断し、どのタイミングで報告するのかを事前に整理しておくことが重要です。講演では、事前アンケートの回答内容をもとにCRA第14条に基づく報告義務の発効までにできることと心構えについて説明し、GMOサイバーセキュリティ byイエラエが提供する「CRA第14条 脆弱性対応集中講座」と「CRA第14条脆弱性報告演習」を紹介しました。
講演後のQAセッションでは、CRA第14条の報告義務をはじめ、標準化動向、国内外制度との関係、開発プロセスへの組み込み、社内体制整備など、実務対応に関する関心が共有されました。
【今後の取組み】
GMOサイバーセキュリティ byイエラエは、CRA第14条の報告義務への対応を進める国内企業に向けて、制度理解、現状評価、社内プロセス整備、訓練実施までを含む実務支援を継続してまいります。特に、報告義務の発効を目前に控えていることから、以下2つのサービスを提供いたします。
CRA第14条 脆弱性対応集中講座
CRA第14条の報告義務に関する基礎知識、対応に必要な社内体制、報告判断に必要な情報整理、関係部門間の役割分担などを短期間で学ぶ講座です。法制度の理解に加え、実務で必要となる判断軸や対応手順の整理を支援します。
CRA第14条脆弱性報告演習
脆弱性の悪用や重大インシデントの発生を想定し、報告義務への対応を実践的に確認する訓練です。検知、初動対応、影響評価、報告要否の判断、社内外連携、記録作成などの一連の流れを演習形式で確認し、企業ごとの対応体制の実効性向上を支援します。
今後とも、製品・サービス提供企業がCRAをはじめとするサイバーセキュリティ関連法規制に適切に対応できるよう、専門的な知見と実践的な支援を提供してまいります。
