CRAなど法規制や規格対応の実情とは？【関西コミュニティ（KISC） 活動レポート】

はじめに

マクニカでは、セキュリティの企画・導入・文化浸透を担う人たちが集まって互いの知見を共有し、現場の課題に取り組むためのコミュニティ「関西情報セキュリティコミュニティ（通称：KISC）」を運営しています。

2025年4月に、自社サービスや製品をリリース・運用するためのお悩みや知見を共有する分科会「製品セキュリティ分科会」を発足し、2025年9月17日(水)に第2回目となるMeetupを弊社大阪オフィスにて実施しました！今回はその様子をお届けします。

　製品セキュリティ分科会vol.1のレポートはこちら：
　「製品セキュリティの組織体制や人材の在り方とは？【関西コミュニティ（KISC） 活動レポート」

目次

・取り組み事例紹介
・グループディスカッション①PSIRTなど製品セキュリティ組織体制の構築・役割設計
・グループディスカッション②脆弱性管理
・まとめ

取り組み事例紹介

今回の分科会では、まず参加者13名の自己紹介からスタートしました。

続いて、参加者から代表して、製品開発におけるセキュリティ対応の事例をご紹介いただきました。

組織体制の構築やPSIRT発足の背景、経営層をどのように巻き込んでいったかといった貴重な経験を共有いただきました。

今回のメインテーマである法規制対応、特にEUサイバーレジリエンス法（CRA）への対応については、ビジネス判断・体制整備・製品対応それぞれの難しさの中で、業界団体との連携やツール活用によるSBOM整備など、自社に最適な進め方を模索されているリアルな実践知をお話しいただきました。

Q&Aセッションでは、ツールの具体的な運用方法、組織評価の仕組み、脆弱性トリアージの手法など、実務に直結するノウハウが数多く共有され、非常に有意義なディスカッションとなりました。

グループディスカッション①PSIRTなど製品セキュリティ組織体制の構築・役割設計

取り組み事例の発表を受け、参加者は3つのテーブルに分かれてディスカッションを行いました。

前半のテーマは「PSIRTなど製品セキュリティ組織体制の構築・役割設計」。

PSIRT体制づくりの課題や、サプライヤー管理、教育などについて活発な意見交換が行われ、各テーブルで「自社の現状」「学び」「今後チャレンジしたいこと」を共有いただきました。
議論ではまず、どの部門がPSIRTを主導すべきかという体制設計の難しさや、設計部門が受け身になりがちな現状が共有されました。さらに、サプライヤー管理におけるセキュリティ要求の明確化や契約面での取り決めの重要性が指摘され、実務的な工夫が話題となりました。

また、部門間でのセキュリティ意識の差や、特にハード部門への教育の難しさを課題とする声も多く聞かれました。一方で、PSIRTの社内認知を高める取り組みや、部門横断での教育プログラム実施など、前向きな実践事例も紹介されました。

さらに、全社的な規制対応や予算確保の難しさ、海外拠点やベンダーとの連携の課題といった、より経営的・グローバルな視点での課題も議論に上がりました。

全体を通じて、各社が共通して直面する「組織としての責任の明確化」「セキュリティ文化の定着」「現場と経営をどうつなぐか」といったテーマが浮き彫りとなり、今後のPSIRT体制の成熟に向けた多くの示唆が得られるディスカッションとなりました。

グループディスカッション②脆弱性管理

2つ目のディスカッションテーマは「脆弱性管理」。各社の現場で直面する課題や工夫について、実務的な知見の交換が活発に行われました。

まず、古い製品における脆弱性対応の難しさや、SBOM（ソフトウェア部品表）の粒度設定・トリアージ手法、さらにツール選定やコストの課題など、日々の運用に直結するテーマが議論されました。

また、SBOMを設計者が活用するメリットや、サプライヤーから受領したSBOMをどのように管理・更新していくかといった、今後の運用体制を見据えた具体的な課題も共有されました。

一方で、OSS（オープンソースソフトウェア）の脆弱性について顧客へ説明する難しさや、SBOMでのハッシュ値活用の有効性、商用コンポーネントにおける脆弱性管理の難易度など、開発現場ならではのリアルな悩みや工夫も多く語られました。

全体として、SBOMの整備や活用が進む一方で、コスト・運用負荷・説明責任のバランスをどう取るかが共通の関心事として浮かび上がり、今後の実務推進に向けたヒントが多く得られました。

まとめ

EUサイバーレジリエンス法（CRA）は、整合規格もまだ整っていない中で「どこまで対応すべきか」が見えづらく、各社とも手探りの状態が続いています。
法規制対応や製品セキュリティ強化の進め方も企業によって状況が異なり、唯一の正解を出すことは容易ではありません。
そんな中で今回のMeetupでは、実務者同士が現場のリアルを共有し、互いの取り組みから学び合う濃密な議論が繰り広げられました。

事務局として特に印象に残ったポイントは、以下の3点です。

1. ステークホルダーを巻き込む力
   事業部・コーポレート部門・海外拠点など、複数部門を横断した組織展開が成果につながるケースが共有されました。また、CRAをはじめとする法規制が事業に与えるインパクトを"経営層を動かすきっかけ"として活用するなど、上層部の理解を促すヒントが多く得られました。
2. SBOM運用・ツール選定における実務的課題
   商用ツールの導入・運用コスト、SBOMの粒度設計、サプライヤーに求める範囲など、「実際どう運用するか」という現場視点での課題意識が多く語られました。
   理想論ではなく、現実的なラインを探る実践知が共有された点が印象的でした。
3. 組織間の理解格差と教育・運用の工夫
   ソフト・ハード部門間でのセキュリティ理解度の違いや、現場任せの運用の難しさを踏まえ、教育や認知向上、最小限で始めるための社内基準づくりなど、"人と組織"の側面から改善に取り組むヒントが多く交わされました。

今後もマクニカでは、製品セキュリティに携わる実務者同士が率直に学び合える場として、継続的にMeetupを開催していく予定です。
参加をご希望の方は、ぜひ以下のサイトからご登録ください！

▼関西情報セキュリティコミュニティ参加申し込みはこちら

▼東京情報セキュリティコミュニティ参加申し込みはこちら

▼名古屋情報セキュリティコミュニティ参加申し込みはこちら

▼SD-Streamにてコミュニティについての動画公開中、ぜひご視聴ください