欧州サイバー・レジリエンス法(CRA)
への対応
セキュリティの
専門知識 30年 以上
セキュリティの
有効化 5,000種 以上の製品
セキュリティの
イノベーション 200件 以上の特許
STは、CRAへの準拠およびコンプライアンス全体を通じたお客様サポートの準備が整っています。
欧州サイバー・レジリエンス法(CRA)とは
欧州サイバー・レジリエンス法(CRA)は、欧州連合(EU)域内で販売されるデジタル要素を備えた製品に対し、サイバー・セキュリティ要件に関する必須要件を定める法規です。STは、包括的なソリューション、専門家によるガイダンス、認証実績を提供し、お客様がより迅速かつ効率的にCRAコンプライアンスを実現できるようにサポートします。
CRAに基づくメーカーの義務
セキュア・バイ・デザイン
最初からセキュリティを重視し、サイバー・セキュリティの脆弱性を最小限に抑えた製品の設計
リスク・アセスメントの実施義務
適合性
自社または第三者が必須要件に照らして製品を評価
EU適合宣言書の発行とCEマークの貼付
脆弱性対応
脆弱性対応手順および方法の規定
実際に悪用されている脆弱性の報告
メンテナンス
最後の販売から5年以上のサポート期間
最低10年間のセキュリティ・アップデート
CRA要件への適合に対するSTのサポート
セキュア・バイ・デザイン製品
- CRAの必須要件(附属書IパートI)を満たす製品の提供
- プロセス・レベルの認証(Common Criteria、SESIP、PSA、ISO 21434)による、体系的なセキュリティ・アプローチの実証
- 製品分類支援および適合性評価ガイダンス
適合に関するドキュメント & サポート
- STの目標は完全な品質保証(モジュールH)に基づく適合性評価
- 包括的な技術文書とセキュリティ開発エコシステム
- ドキュメント、ウェビナー、技術リソースによるお客様のサポート
脆弱性対応の確立
- 協調的脆弱性開示に関するISO/IEC 29147および30111規格に準拠したPSIRTの設置
- 製品ライフサイクル全体を通じてセキュリティを統合するDevSecOps手法
- 脆弱性監視およびソフトウェア設定の自動化
メンテナンス
- 規定のサポート期間全体を通じたセキュリティ・アップデートによる長期的な製品サポート
- 一部製品に対するセキュア・プロビジョニング / 更新メカニズム
CRAの施行スケジュール
2024年12月10日
CRA最終文書の公表
2026年6月11日
適合性評価機関の届出開始
2026年9月11日
報告義務の適用開始
24時間 / 72時間以内の脆弱性報告義務
2027年12月11日
全面施行
EUで販売されるデジタル要素を備えたすべての製品に対し、必須要件を満たすことを義務付け
2024年12月10日
CRA最終文書の公表
2026年6月11日
適合性評価機関の届出開始
2026年9月11日
報告義務の適用開始
24時間 / 72時間以内の脆弱性報告義務
2027年12月11日
全面施行
EUで販売されるデジタル要素を備えたすべての製品に対し、必須要件を満たすことを義務付け
STの認証
セキュリティ認証
- Common Criteria(EUCC)
- EMVCo
- SESIP
- PSA認証済み
- ISO 21434(自動車サイバーセキュリティ)
プロセス認証
- ISO 9001
- ISO 27001
- TISAX(自動車サイバーセキュリティ)
その他の対応プロセス
- ISO/IEC 29147:脆弱性情報の開示
- ISO/IEC 30111:脆弱性対応手順
欧州無線機器指令(RED)およびCRA
欧州無線機器指令2014/53/EUは、ヨーロッパ市場における無線機器の販売を規制しています。2022年に改正されたREDには、2025年8月1日から適用されるサイバー・セキュリティ要件が含まれており、ネットワーク・インタフェースの保護、ユーザ・データの保護、脆弱性管理プロセスの実施をメーカーに義務付けています。REDは、特に無線対応デバイスに重点を置くことでサイバー・レジリエンス法を補完します。
CRA / REDに関するSTのリソース
| ドキュメント | タイプ | |
|---|---|---|
| ウェビナー | ||
| コミュニティ | ||
| 新しいIoTセキュリティ規格(SESIPレベル3) | ホワイトペーパー | |
| サイバー耐性のある鉄道部品の開発 | ホワイトペーパー | |
| ウェビナー | ||
| ウェビナー | ||
| Wiki | ||
| Wiki | ||
| Wiki | ||
| Wiki |
CRA / REDに関するSTのリソース
STのセキュリティ関連資料
| ドキュメント | ||
|---|---|---|
| STM32ソフトウェア・セキュリティ・ポリシーQ&A | Wiki | |
| STM32Trustソフトウェア・セキュリティ・ポリシー | Wiki | |
| 組み込みセキュリティ・ソリューション & 製品 | アプリケーション | |
| STM32Trustセキュリティ・フレームワーク | 開発エコシステム | |
| STSECURE - セキュア・マイコン・ポートフォリオ | 製品 | |
| セキュア・ハードウェア・プラットフォーム | プラットフォーム | |
| 組み込みLinuxのセキュリティ | ブログ |
STのセキュリティ関連資料
組み込みセキュリティ・ソリューション & 製品
STM32Trust、STSECURE製品、セキュア・エレメント、認証(PSA、SESIP、Common Criteria)、ポスト量子暗号プログラムをはじめとするSTのセキュリティ・ポートフォリオの概要
アプリケーション
STM32Trustセキュリティ・フレームワーク
STM32Trustの12種類のマイクロコントローラ / マイクロプロセッサ向けセキュリティ機能、対応認証(PSA、SESIP、Common Criteria EAL5+)、およびセキュリティ規格へのコンプライアンスに関する詳細情報
開発エコシステム
プラットフォーム
パートナー企業のリソース
| パートナー | ドキュメント | |
|---|---|---|
| Avnet Silica社 | 欧州サイバー・レジリエンス法 - OEMに与える影響と対応方法 | |
| EBV社 | 無線機器指令とサイバー・レジリエンス法 - マイコン関連のサイバーセキュリティ・アプリケーションに与える影響 |
サポート
STセキュリティ・スペシャリストで構成されるグローバル・チームは、お客様のCRA要件への対応ならびに適合ソリューションの実装をサポートします。
STコミュニティに参加
質問への回答を見つけたり、STエキスパートを含む参加メンバーと知見を共有することができます。ディスカッション・スレッドへの参加や、ナレッジ・ベースの記事およびアカデミーのオンライン・コースを利用してスキルアップすることもできます。
ST製品の潜在的なセキュリティ脆弱性を報告する
ST製品に関する潜在的なセキュリティ脆弱性の報告を行う場合は、こちらのページに記載されている手順に従って、ST PSIRTに報告してください。
よくある質問
サイバー・レジリエンス法(CRA)は、インターネットに接続されるデジタル要素のセキュリティを強化することを目的とするヨーロッパのサイバーセキュリティ法です。この法律の概要は一般に公開されており、詳細はこちらに記載されています。
CRAは、インターネットに接続されるデジタル要素を備えたすべての製品に適用され、開発ライフサイクルにおける必須製品 / プロセス要件を通じてセキュリティを強化します。製品は、それぞれのセキュリティ関連の影響に基づいて分類されます。既存の義務的なアプリケーション・セキュリティ規制の対象となる製品は除外されます。
2024年12月に発効しました。脆弱性報告義務は2026年9月に開始されます。全面施行は2027年12月です。
STのプロセスおよびセキュリティ認証済みコンポーネントは、第三者によって検証されたセキュリティの証拠を提供し、CRA認証に必要な時間とコストを大幅に削減します。
STは、オンライン・コミュニティ・フォーラム、アプリケーション・エンジニアリング、トレーニング・プログラム、ウェビナーを通じて、幅広いサポートを提供しています。