サイバーレジリエンス法（CRA）と新PLDで変わるソフトウェア責任-SBOMとSonatypeで始めるサプライチェーン対策

目次

• はじめに
• CRAと新PLDが意味するもの
  • 1：サイバーレジリエンス法（CRA）の概要
  • 2：新製品責任指令（PLD）と「ソフトウェア＝製品」
  • 3：無過失責任と説明責任の重み
• CRA時代に求められる技術要件と準備ステップ
  • 1：SBOMと継続的なサプライチェーン監視
  • 2：証跡・ログ・アテステーションの自動収集
  • 3：OSS活用とサプライチェーンガバナンス
• Sonatypeプラットフォームで実現できること
• 日本企業が今から始めるための実務ステップ
• まとめ

はじめに

EUでは、サイバーレジリエンス法（Cyber Resilience Act：CRA）と 新しい製品責任指令（Product Liability Directive：PLD）が相次いで成立し、 「ソフトウェアメーカーがどこまで責任を負うのか」というルールが 大きく書き換えられつつあります。

CRAは、デジタル要素を持つ製品に対して、 ライフサイクル全体にわたるサイバーセキュリティ要件を課すEU規則です。 一方、新PLDはソフトウェアやAIなどの「デジタル製品」を明確に対象に含め、 セキュリティ欠陥による被害について 無過失責任（strict no-fault liability）を適用することを打ち出しています。

本記事では、これらの規制がソフトウェア開発・提供企業に何を求めているのかを俯瞰しつつ、 ソフトウェアサプライチェーンセキュリティ製品である Sonatypeプラットフォームを活用した対応の考え方を コンパクトに整理します。

※本記事は法的助言ではなく、技術・運用面から見た整理です。 詳細な解釈・適用は、必ず法務・弁護士にご相談ください。

CRAと新PLDが意味するもの

1：サイバーレジリエンス法（CRA）の概要

• CRAは、ネットワークや他の機器と接続される あらゆる「デジタル要素を持つ製品」について、 企画・設計・開発・保守の全工程でサイバーセキュリティを確保すること を義務付けるEU規則です。
• 製造者は、リスクアセスメント、セキュア・バイ・デザイン／デフォルトの設計、 脆弱性管理、ライフサイクルを通じた更新提供などの要件を満たしたうえで、 CEマーキングを付して市場に出す必要があります。
• 重要・クリティカルな製品カテゴリーについては、 第三者による適合性評価が求められ、 違反した場合は重い制裁が科される可能性があります。
• 脆弱性が悪用されたインシデントについては、 短時間での速報と詳細報告が求められるなど、 報告タイムラインも厳格化される方向です。

2：新製品責任指令（PLD）と「ソフトウェア＝製品」

• 新PLDは、従来は主に「物理的な製品」を対象としていた 製造物責任ルールを見直し、 ソフトウェア・AI・デジタルサービスを明示的に“製品”として位置づけ ました。
• その結果、アプリケーション、OS、SaaS、AIモデルなどの不具合や脆弱性も、 一定の条件のもとで「欠陥」とみなされ、 データ損失や物的損害に対する賠償請求の対象となり得ます。
• データの破壊・毀損も補償対象に含まれるなど、 デジタル時代を前提としたルールにアップデートされています。

3：無過失責任と説明責任の重み

• 新PLDでは、ソフトウェアについても 無過失責任（strict liability）が適用されます。 利用者側は「メーカーに過失があった」ことを証明しなくても、 欠陥と損害・因果関係を示せばよい場面が増えます。
• 特に、CRAやNIS2などのサイバーセキュリティ規制に違反していることが示されると、 それ自体が「欠陥」の推定につながる可能性があり、 訴訟リスクは従来より大きくなります。
• さらに、ソフトウェアやサイバーセキュリティ欠陥に関する責任について、 EULA等での免責・責任制限が認められにくくなる方向性が示されており、 「現状有姿（as is）で一切責任を負わない」という従来の慣行は 通用しにくくなっていきます。

CRA時代に求められる技術要件と準備ステップ

1：SBOMと継続的なサプライチェーン監視

• CRAは、ソフトウェアサプライチェーン上のコンポーネントや脆弱性を把握し、 適切に管理することを強く求めています。 その前提として、 Software Bill of Materials（SBOM）の整備が 事実上の必須要件になりつつあります。
• SBOMは「どのソフトウェアに、どのOSS／ライブラリ／AIモデルが含まれているか」 を一覧化したもので、 新たな脆弱性やライセンス変更が発生したときに 影響範囲を素早く特定するための地図になります。
• Sonatype SBOM Managerは、SBOMの自動生成・取り込みと一元管理を行い、 規制対応や顧客監査に活用しやすい形でのレポーティングを支援します。

2：証跡・ログ・アテステーションの自動収集

• CRAや新PLDでは、 「適切なリスクアセスメントを行ったか」 「脆弱性情報をどう扱ったか」 「いつどのアップデートを提供したか」 といったプロセスの証跡が重要になります。
• これを人手だけで行うことは現実的ではありません。 ビルドログやセキュリティテストの結果、アーティファクトの出所情報、 SBOM・VEX（脆弱性説明文書）などを、 自動的に収集・保管する仕組みが必須となります。
• Sonatypeプラットフォームは、リポジトリ・ビルド・SCA・SBOM管理を一体的に扱うことで、 「いつ・どのコンポーネントを・どのポリシーでチェックしたか」という履歴を システム側で残し、 監査・規制対応に転用しやすい形で保持することを支援します。

3：OSS活用とサプライチェーンガバナンス

• CRAは、経済活動と無関係な「純粋なOSSプロジェクト」については 規制対象外とする一方で、 商用製品に組み込まれたOSSについては 製品メーカーが全面的な責任を負うことを明確にしています。
• そのため、「どのOSSを、どのバージョンで、どのような条件で使っているか」を 説明できることが、今後ますます重要になります。
• SBOMに加え、SCA（Software Composition Analysis）ツールで ライセンスと脆弱性リスクを継続的にモニタリングし、 「利用しているOSSの健全性」を常時把握することが、 CRA時代のOSSガバナンスの出発点となります。

Sonatypeプラットフォームで実現できること

ここからは、CRA／新PLDが求める要件に対して、 Sonatypeの各製品がどのような役割を果たせるかを整理します。

• Nexus Repository Pro：アーティファクトの一元管理とトレーサビリティ
  社内外のバイナリ、コンテナイメージ、ライブラリを中央集約し、 「どこから取得し、どのビルドで利用したか」を追跡可能にします。
  不具合発覚時の影響範囲特定やリコール対応のスピードを高めます。
• Sonatype Repository Firewall：悪意あるコンポーネントの入口でのブロック
  OSSマルウェアや既知の高リスクコンポーネントを、 開発者の手元に届く前にリポジトリの手前でブロックします。
  「そもそも危ないものを取ってこない」ことで、 CRAが求めるリスク低減とサプライチェーン保護を実現します。
• Sonatype Lifecycle：SCAによる脆弱性・ライセンスリスクの可視化
  ビルド時・Pull Request時・IDE上など、 SDLC全体でOSSコンポーネントの脆弱性とライセンスリスクを自動スキャンします。
  これにより、「既知の悪用可能な脆弱性を含んだ状態で製品を出荷しない」体制を作ることができます。
• Sonatype SBOM Manager：SBOM管理・レポート基盤
  SBOMを自動生成・取り込みし、 各種規制や顧客要求に沿った形でのSBOM管理とレポーティングを提供します。
  VEXワークフローやライセンス義務管理も備え、 監査・規制対応に「そのまま出せるレベル」の証跡を蓄積できます。
• Sonatype Lift：独自コードの静的解析と品質・セキュリティ向上
  OSSだけでなく自社コードに潜む脆弱性や品質問題も検出し、 Pull Request上で開発者にフィードバックします。
  ライブラリと自社コードの両面からリスクを下げることが重要です。

日本企業が今から始めるための実務ステップ

「うちはEU向けのビジネスは少ないから関係ない」と考えてしまいがちですが、 今回の規制で定義された考え方は、 EU以外の調達要求や監査にも波及していくと見られています。

ここでは、企業規模を問わず取り組みやすいステップを整理します。

• 1. EUとの関わり方・リスクの棚卸し
  自社製品・サービスのうち、EU市場向けに提供しているもの、 EU拠点経由で再販されているもの、 EU企業向けにOEM提供しているものを洗い出し、優先度を付けます。
• 2. 重要アプリケーションのSBOM作成
  すべてを一度にやろうとせず、 まずは売上・影響の大きい製品／SaaSからSBOMを作成します。
  Sonatype SBOM Managerを使うことで、 既存のCI/CDやリポジトリと連携しつつ自動生成・集約が可能です。
• 3. リポジトリとSCAによる「入口」と「出口」のコントロール
  Nexus Repository Proでアーティファクトの出入り口を統合し、 Repository FirewallとLifecycleで 「危険なコンポーネントはそもそも使わない」 「使ってしまった場合もビルドで止める」仕組みを作ります。
• 4. 証跡を残すプロセス設計
  セキュリティレビューや脆弱性対応がメールやチャットだけで完結している場合は、 いつ・何を・誰が判断したかを後から追えません。
  Sonatypeのポリシーログやレポートを活用して、 「どの時点でどの脆弱性をどのように判断したか」を システム側に残すようにします。
• 5. 法務・コンプラ部門との連携
  CRAやPLDの具体的な適用範囲やリスク評価は、 最終的には法務・コンプライアンス部門の判断が必要です。
  その際、SonatypeのレポートやSBOMを 「説明用の材料」として活用できるように、 部門間でフォーマットや粒度をすり合わせておくとスムーズです。

まとめ

サイバーレジリエンス法（CRA）と新製品責任指令（PLD）は、 「ソフトウェアを作る側・提供する側がどこまで責任を負うのか」 という前提を大きく変えつつあります。

とりわけ、ソフトウェアやAIも物理製品と同じ 無過失責任の対象となり、 セキュリティアップデートや脆弱性管理の不備が 「製品の欠陥」と評価され得る点は、 すべてのソフトウェア企業にとって無視できない変化です。

こうした環境では、「とりあえずSBOMを一度出せばよい」というレベルでは不十分です。
日々の開発・運用のなかでサプライチェーン全体を継続的に管理し、 そのプロセスと結果を証跡として残すことが求められます。

Sonatypeプラットフォームは、 リポジトリ管理・SCA・Firewall・SBOM管理・コード解析を一体的に提供することで、 CRA／PLD時代に必要とされる 「セキュアなソフトウェアサプライチェーン」と 「説明責任を果たせる証跡」の両方を支える基盤となり得ます。

当ブログでは今後も、さまざまな調査結果や製品を実務にどう結びつけるかという観点で情報を発信してまいります。
ぜひブックマークのうえ、最新記事をお見逃しなく！