エキスパート ヴェス
-
製品セキュリティ・ライフサイクルコンサルティング ソフトウェア開発から市場投入後の運用まで。
製品ライフサイクル全体のセキュリティを、
ソフトウェア品質のプロの目線でご支援いたします。
-
Solution
製品セキュリティ・ライフサイクルコンサルティング
サイバーセキュリティに関する各種法規やガイドラインが共通して求めているのは、設計・開発から市場投入後の運用までを含めた、製品ライフサイクル全体でのセキュリティ対策です。たとえば EU Cyber Resilience Act(CRA) や、JC-STAR制度においても、 製品の企画・設計段階から運用・脆弱性対応までを見据えた取り組みが求められています。
ヴェスは、長年にわたりソフトウェア品質の向上を支えるパートナーとして、 開発現場に寄り添いながら品質確保の支援を行ってきました。その経験と実績を基盤に、設計・開発段階におけるセキュリティ実装から、 リリース後の脆弱性管理を担うPSIRT体制の構築・運用まで、セキュリティ品質の観点においても“現場にとってのベストパートナー”として、 製品セキュリティ対策をトータルに支援します。
EUサイバーレジリエンス法(CRA)とは
2026年9月から脆弱性インシデントの報告義務が発生するEUサイバーレジリエンス法(CRA)とは、デジタル要素を含む製品が市場に投入される際、 脆弱性を最小限に抑え、製品ライフサイクル全体を通じてセキュリティを確保することを製造業者に求める規制です。 ルータやIoTデバイス、ソフトウェアなどが対象となり、リスクレベルに応じて自己宣言による評価または認証機関による評価で適合性を確認し、 安全なデジタル製品の開発・流通を促進します。
つまり、日本の製造業者においてもEUに製品を販売する場合、自社の製品がCRAに準拠しているのはもちろん、 その報告義務やインシデントが起きた際の対応なども義務付けられることになります。
EUサイバーレジリエンス法(CRA)タイムライン
EUサイバーレジリエンス法(CRA)における適用開始までの全体スケジュールを見ると、CRAの発行がなされた2024年11月からすでに準備期間が始まっていることがわかります。 2026年9月には第14条に基づく脆弱性報告義務が適用開始となるため、製造業者は製品に関する脆弱性管理体制の整備や、指定機関への脆弱性報告体制(第14条)を構築する必要があります。
さらに、2027年12月からは第13条の義務が全面適用されます。そのため並行して、第13条で定められた製造業者の義務への対応が本格化に合わせた、不正アクセスや脆弱性への対応設計、 対策状況を示す技術文書の作成、リスク評価および適合性評価手続きの実施、EU適合宣言やCEマーキング対応などが求められます。 CRAは段階的な対応を前提としており、早期からの準備が、円滑な市場投入と規制対応の鍵となることを示しています。
EUサイバーレジリエンス法(CRA)対応支援
CRA対応の準備期間はすでに始まっています。2026年は「報告義務への対応体制整備」、2027年は「製品・開発・ガバナンスを含めた全面対応」が求められます。
ヴェスでは、PSIRTの体制を構築する「PSIRT構築支援」、製品のセキュアな開発を進めるための「セキュア開発ライフサイクル構築・導入支援」、 そしてCRAに関するプロジェクト全体を支援する「プロジェクト推進支援」を提供しています。
PSIRT構築支援
- アセスメント
- ガバナンス・運用設計、ドキュメント整備
- 脆弱性マネジメント基盤整備
- トレーニング
セキュア開発ライフサイクル構築・導入支援
- アセスメント
- 運用規定・開発ガイドライン・技術文書整備
- アーキテクチャ脅威分析
- 技術実装・検証
- 人材育成
プロジェクト推進支援
- 従業員向け教育
- PMOサービス
- 運用要員
- プロフェッショナルサポート
PSIRT構築支援サービス
CRAで求められるインシデント検知・対応・報告体制の整備を目的に、PSIRTの構築を支援します。 SBOMソリューションの提供・導入支援からインシデント対応方針やエスカレーションルールを整理し、訓練・演習を通じて実効性を確保。 CRAに対応したインシデント対応体制の早期立ち上げを実現します。
CRA対応関係- 第10条
- 脆弱性・インシデント対応体制
- 第11条
- インシデント報告義務
- Annex I
- インシデント管理・対応プロセス
- PSIRT成熟度レポート
- CRA(その他RE指令、J-CRAT等)要求事項とのFit&Gapレポート
ドキュメント整備
- PSIRT運用規程
- VDP定義文書
- 脆弱性対応フロー
- インシデント対応Playbook
基盤整備
- SBOMライセンス提供/導入
- 構築支援
- 脆弱性報告テンプレート
- サプライチェーン連携フロー図
- 社内訓練実施
- ファシリテーション
- 訓練結果レポート
セキュア開発プロセス構築支援
製品の企画・設計から運用まで、Security by Designを前提としたセキュア開発プロセスの構築を支援します。 脅威分析、セキュリティ要件定義、テスト・脆弱性管理までを一貫して整備し、CRAに準拠した製品開発体制の確立を支援します。
CRA対応関係- 第13条
- 製品のセキュリティ要件
- 第14条
- 脆弱性への対応・是正
- Annex I
- セキュア設計・開発・テスト要件
開発ガイドライン整備
脅威分析
| サービス | 概要 | 成果物例 |
|---|---|---|
| アセスメント |
|
SDLC成熟度評価、各種法令・規制Fit & Gap分析 |
| 運用規定・ 開発ガイドライン整備 |
|
セキュアSDLC規程、要件定義、その他各種技術文書 |
| アーキテクチャ 脅威分析 |
|
脅威分析レポート |
| 技術実装・検証 |
|
セキュリティ設計レビュー、CI/CD連携、脆弱性診断サービス・ツール提供、開発者向けトレーニング |
| 人材育成 |
|
教育・演習用資料 |
プロジェクト推進支援
お客様のCRA対応プロジェクト推進を支援します。ポリシー策定、役割定義、推進体制(PMO)の構築を通じ、部門横断での準拠活動と監査・報告対応を可能にします。
CRA対応関係- 第9条
- リスク管理および組織的対策
- 第15条
- 継続的な遵守・文書化
- Annex I
- ガバナンス・管理体制要求
教育|理解促進
CRA法規・各種ガイドラインを
「自社でどう対応すべきか」まで落とし込む
- CRA等法令/規制解説Webinar
- 社内向け説明コンテンツ提供
- ファシリテーション支援
PMOサービス
CRA対応を計画倒れにしないための
推進・管理・調整を一括支援
- CRA対応計画策定支援
- PJ進捗/課題管理
- 組織横断調整・PJ会議運営
- 社内説明資料の整備
プロフェッショナルサービス
高度な専門性が求められる領域を
技術面から強力にバックアップ
- セキュア開発支援
- 脆弱性評価/セキュリティテスト
- セキュリティ開発マネジメント支援
運用要員派遣
現場で”実際に手を動かす”リソースを提供
- PSIRT要員
- セキュア開発/テスト要員
- セキュリティ実務の業務委託
- 株式会社ヴェス
-
- 本社
- 東京都渋谷区恵比寿 4-20-3
恵比寿ガーデンプレイスタワー8階 - TEL:03-6277-0440
- FAX:03-5794-3742
- 登録事業所:
- 首都圏ソフトウェア検証センター
- 滝沢ソフトウェア検証センター
