コラム

Column

ご挨拶

EUCCとは何か?CRAとの違いや認証要件を分かりやすく解説

セキュリティ認証 コラム 特集

近年、CRA(サイバーレジリエンス法)への関心が高まる中で、「EUCCとは何?」「CRAとどう違うのか?」と疑問を持つ方も多いのではないでしょうか。

EUCC(EUサイバーセキュリティ認証制度)はEUが策定した制度で、ICT製品の認証方法の取り決めです。(※)

この記事では、EUCCの定義や目的、CRAとの関係性、認証の仕組みや企業に求められる対応などを整理し、認証取得のメリットと実務での備えについて解説します。

※出典:経済産業省「IoT 製品に対するセキュリティ適合性評価」(3.1.3)

 

EUCCとは何か?

EUCC(EU Cybersecurity Certification Scheme on Common Criteria)は、EU内で製品のサイバーセキュリティ強化を図るための認証制度です。(※)

ここでは、その定義や背景、ほかの制度との違いについて解説します。

※出典:enisa「EUCC認証スキーム

 

EUCCの定義と目的

EUCCは、EUが策定したICT製品向けのサイバーセキュリティ認証制度です。製品やサービスのセキュリティ性能を共通基準で評価し、信頼性を可視化することを目的としています。

EU域内におけるセキュリティ基準の統一により、合否選定の透明性と効率性が高まり、企業と消費者の両方にとって利便性の高い仕組みとなっています。

 

EUCCが策定された背景

EUCCは、サイバー攻撃の複雑化や加盟国内で異なる認証制度が混在している状況を受けて策定されました。これまでは各国の個別制度が使われており、グローバル展開する企業にとって対応の負担が大きい状況でした。

EU全体で統一された認証制度を整備することで、国境を越えた製品流通をスムーズにし、サイバーセキュリティ全体の底上げを図る狙いがあります。

 

EUCCとほかのサイバーセキュリティ認証との違い

EUCCは、製品のセキュリティ機能を対象とした認証制度です。ISO/IEC 27001のように、組織の管理体制を評価する制度とは異なります。(※)

EUCCはEU域内で法的な裏付けを持ち、リスクに応じた複数の保証レベルを用意している点が特徴です。また、将来的にはCRA(サイバーレジリエンス法)(※)との連携も視野に入れており、EU市場での信頼性確保に重要な役割を果たすと考えられています。

※出典:

総務省「情報セキュリティ対策に関連する 既存の基準・ガイドライン」(Page-8)

経済産業省「経済産業省のサイバーセキュリティ政策について」(Page-12)

 

EUCC認証の仕組みと要件

EUCC認証の全体像を理解するために、評価基準と対象範囲、セキュリティレベル、取得プロセスの核要素について解説します。

 

評価基準と適用対象製品の範囲

EUCCは、ISO/IEC 15408(Common Criteria)とISO/IEC 18045に基づく評価基準を適用します。(※)

ISO/IEC 15408とは、ICT製品やシステムのセキュリティ機能が適切かどうかを評価するための国際標準規格で、実際の評価の仕組みを定めているのがISO/IEC 18045です。(※)

ICT製品や保護プロファイルに対して、この共通基準に従ったセキュリティ評価が行われます。対象には、チップ、スマートカード、ソフトウェア、ハードウェアなど幅広い製品が含まれ、自主評価は認められていません。

これにより、認証プロセスの透明性と信頼性が確保されます。EU全域で製品の評価を統一することで、企業にとって合理的かつ一貫した対応が可能です。

※出典:

経済産業省「IoT製品に対するセキュリティ適合性評価制度の 構築について」(Page-7)

経済産業省「ITセキュリティ評価及び認証」、「IT 製品の調達におけるセキュリティ要件リスト」(Page-5)

 

EUCCにおけるセキュリティレベルの分類

EUCCは「substantial」と「high」という2つの保証レベルを設けています。「substantial」は基本的な脆弱性評価で、「high」はより厳密な検査が求められるものです。

それぞれが対応している「保証脆弱性分析レベル(AVA_VANレベル)」も含めて、下表に特徴をまとめています。

保証レベル 保証脆弱性分析レベル 特徴
substantial AVA_VAN.1~2 基本的な脆弱性評価を実施し、初歩的な攻撃耐性を検証する
high AVA_VAN.3~5 詳細で洗練された脆弱性分析を通じて、高度な攻撃耐性を検証する

※出典:European Union「欧州共通基準に基づくサイバーセキュリティ認証制度(EUCC)

 

認証取得に必要なプロセス

EUCCを取得する場合、セキュリティターゲット(ST)などの文書準備や、認証機関などの評価を受ける必要があります。EUCC認証取得の主なプロセスは次のとおりです。

  1. 1. セキュリティターゲット(ST)の作成
    製品に求められるセキュリティ要件や、想定される脅威、対応策を記載した文章を作成する。
  2. 2. 認証機関(CB)と評価機関(ITSEF)の選定
    EUCCに対応した認証機関(Certification Body:CB)、評価機関(IT Security Evaluation Facility:ITSEF)を選定し契約する。
  3. 3. STに基づく技術評価の実施
    作成したSTに基づき、ITSEFが脆弱性評価や機能検証などの技術的審査を行う。
  4. 4. CBによる認証判断と証明書発行
    技術評価の結果をCBが審査し、適合が確認されれば、EUCCの認証証明書が発行される。

EUCCの認証証明書の有効期間は、最長5年です。(※)

ただし製品の運用やソフトウェアのアップデート時には、セキュリティ影響の確認や必要に応じた再評価が求められる場合があります。

また製品公開後に発見された脆弱性については、早急な対応と報告が必要です。そのため、継続的なセキュリティ監視体制の整備が重要といえるでしょう。

※出典:European Union「欧州共通基準に基づくサイバーセキュリティ認証制度(EUCC)

 

EUCCとCRAの関係性

EUCCとCRA(サイバーレジリエンス法)は、密接に関連しています。ここでは、EUCCがCRAの中でどのような位置づけになっているのか、役割の補完性、認証の重要性などについて解説します。

 

CRAにおけるEUCCの位置づけ

CRAは、製品の安全を確保するためのEU規則です。CRAの中では、EUCC認証を受けた製品は「presumption of conformity(適合の推定)」が認められ、CRAの基本要件を満たしていると判断されます。(※)

ただし、CRAではEUCC認証が義務になっているわけではありません。EUCC認証は、企業が利用できる手段の一つという位置づけです。企業は、こうした制度を活用することで安全性を証明しつつ、認証プロセスを簡潔にすることが可能となります。

※出典:enisa「EUCCとその適用可能な技術要素によるサイバーレジリエンス法の実施

 

EUCCが果たす役割と相互補完性

EUCCは、CRAで求められる「ライフサイクルにおけるセキュリティ対策」を技術的に補完します。具体的には、EUCCの認証プロセスは国際標準規格である「CC(Common Criteria)」に基づいているため、セキュリティ要件(SFR)と評価手順(SAR)を通じて製品の安全性の定量化が可能です。

これによりCRAの要求と一致するため、企業は認証制度と法規制の両方による確認を効率よく実施できます。

 

CRA対象製品におけるEUCC認証の重要性

CRAでは、デジタル要素を持つ製品を「重要(important)」「クリティカル(critical)」に分類し、それに応じたセキュリティ評価義務を課しています。(※)

EUCCは、これらの製品カテゴリに対して、信頼性のある認証手段を提供している形です。EU認定のサイバーセキュリティ認証スキームとしてEUCCが機能しており、これを取得することでCRAの義務をスムーズに満たすことができます。

企業側としては、規制対応の重複やコストの削減が可能となります。

※出典:enisa「EUCCとその適用可能な技術要素によるサイバーレジリエンス法の実施

 

EUCCが企業にもたらすメリット

EUCC認証を取得することで、企業は製品の信頼性向上、EU域内での競争力強化、セキュリティに起因するリスク軽減などが可能です。ここでは、EUCC取得のメリットについて解説します。

 

製品信頼性とブランド力の向上

EUCC認証を得た製品は、第三者による厳格なセキュリティ評価を経ていることを示します。これは、信頼性が高い製品であることを証明するため、製品のブランド価値を高める役割を果たします。

消費者や取引先は、その製品を安心して選択できるといえるでしょう。EUCC認証は、製品の長期的なイメージ構築につながります。

 

EU域内での競争力強化

EUCC認証は、EU全域で共通に認められるセキュリティ保証です。認証を受けることで複数国への市場展開が可能となり、認証コストや手続きの重複が削減されます。

その結果、企業は効率的に販売網を拡大でき、競合他社より先に顧客に製品を届けられる優位性を得ることが可能です。

 

セキュリティ対策の標準化によるリスク削減

EUCCは共通の評価基準に基づき、セキュリティ機能を検証します。そのため、製品設計時からセキュリティ要素を組み込み、脆弱性対策の体系化が可能です。また標準化された認証基準によって、市場アクセスが容易になるため、技術革新が促進されます。

こうした標準化は、セキュリティ不備によるリスクを低減し、トラブル発生時にも迅速な対応が可能となります。

 

EUCC認証を見据えた準備と対応

EUCC認証取得を目指す企業は、社内体制の整備、外部機関との連携、情報収集に至るまで計画的な取り組みが必要です。ここでは、準備と対応について解説します。

 

認証取得に向けた社内体制の構築

EUCC認証取得には、明確な社内プロジェクトの体制が必要です。認証取得責任者を明確化し、ドキュメント作成やセキュリティ要件の対応を担うメンバーを配置します。続いて、セキュリティターゲット(ST)と脆弱性対応プロセスの標準化に向けた、内部作業手順を整備することも重要です。

こうした体制がないと、プロジェクトが機能せず、認証取得までの期間が長引いてしまう可能性があります。組織されたチームは、効率的な進行と品質確保を両立できるため、結果として認証取得の成功につながります。

 

外部機関との連携の必要性

EUCC認証は、認定された評価機関(ITSEF)、認証機関(Certification Body)が実施します。そのため、信頼できる外部機関と早期に連携を開始することが重要です。自社単独で対応を進めるよりも、評価や文書整備の指導を受けながら実施したほうが効率的といえます。

例えば、評価対象の範囲や技術要件の確認では、専門家の助言が役立つためです。外部機関との連携により、品質確保と進行速度の両立が可能となり、認証取得の現実性が高まります。

 

今から始める情報収集と準備のポイント

EUCC取得に向けた準備は、ENISAの公式ドキュメントを確認することから始まります。特に最新の「state-of-the-art」は、評価手法や設計要件を理解する上での重要な基盤です。(※)

また「Evaluation methodology for Product series」などのガイドラインは、製品シリーズの評価に役立ちます。(※)

こうした情報を把握し設計初期に反映することで、後工程での修正リスクを抑えて認証準備の効率化とスケジュール短縮が実現可能となります。

※出典:

enisa「EUCC SCHEME STATE-OF-THE-ART DOCUMENT

enisa「Evaluation methodology for Product series

 

日本企業のEUCC対応に関する課題と対策

日本企業がEUCC対応を進めるには、言語・文化の壁、グローバル対応力の強化などが必要です。ここでは、課題と対策について解説します。

 

言語・文化・制度のギャップを乗り越えるには

EUCCに関する文章や基準は、英語が多く、日本企業にとっては言語のハードルがあります。また報告スタイルや文書構造の違いも、混乱する要因になる場合があるでしょう。

そのため、専門的な翻訳体制や欧州制度に詳しい人材の配置が初期の対応として重要です。例えば、社内の国際プロジェクトと連携して、文書研修やレビュー体制を整備することで、文化や制度の違いを乗り越えやすくなります。

こうした準備が、認証取得時の認識の食い違いを減らす上で効果的です。

 

グローバル市場への対応力強化の必要性

EUを含む国際市場へ製品を展開するには、EUCC認証取得が競争力に直結します。特にEUは技術安全性に強く規制を設けられている市場であり、対応を怠ると参入機会を失うことも少なくありません。

そのため、設計段階からEUのセキュリティ要件を取り込むプロセスの導入が望ましいでしょう。例えば、製品開発の初期段階から、欧州法務部や国際部門と連携し、要件を設計証書に反映することで、後工程での修正負担を軽減できます。

 

中小企業における実務的ハードルと支援策

中小企業にとって、EUCC取得は費用負担や手続きの複雑さが大きな障壁となります。そのため、まずは業界団体や商工会議所などの共同研修を活用し、専門知識を共有するのが効果的です。

また外部の認証支援サービスを利用することで、少人数でも対応が可能となります。例えば、地域の中小支援機関が実施するセミナーや、EU対応の補助制度を活用することで、経済的負担を抑えつつ実務対応を進めることが可能です。

 

まとめ

EUCCは、EUが策定した統一的なサイバーセキュリティ認証制度です。EUCCの認証を取得することで、製品の信頼性向上とEU市場へのアクセス強化に貢献します。

CRAとの補完関係も重要で、規制対応の効率化を図る上で、EUCC取得は実務上大きな意義を持ちます。企業は認証取得に向けた社内体制整備や、外部機関との連携を進め、言語、制度両面の壁を越えて早期に行動することが求められるでしょう。

日本企業にとっては、EUCCへの対応は単なる法対応にとどまらず、国際競争力の強化と長期的なブランド価値の向上に直結する重要な取り組みといえます。

 

弊社が提供する「ワンストップ型セキュリティ認証取得支援サービス」では、CRAの要求に沿った現状分析から適合評価、文書化、内部体制整備まで一括で対応しています。CRA対応を進めたい企業の信頼できるパートナーとして、実効性のある支援をご提供します。

ワンストップ型セキュリティ認証取得支援サービス

詳細資料をご希望の方は以下フォームよりメールアドレスをご登録ください。

    メールアドレス(必須)

    <個人情報の取り扱い>

    ※上記内容は、弊社の掲げる個人情報保護方針に沿って管理し、本件に関するお問い合わせ、
    お申込み等いただいた内容への対応のために利用する場合がございます。
    お客様の同意なく目的外の利用や第三者への開示、提供することはございません。
    詳細につきましては、当サイトの「個人情報保護方針」をご参照ください。

    「個人情報保護方針」に同意し、送信する
    (必須)


    [2025年09月05日 時点]

    POPULAR COLUMN
    人気コラム



    メールマガジン

    「ご登録いただいた内容は、弊社の掲げる「個人情報保護方針」に沿って管理し、本件に関するお問い合わせ、お申込み等いただいた内容への対応のために利用する場合がございます。なお、お客様の同意なく目的外の利用や第三者への開示、提供を行うことはございません。」

    CONTACT

    まずはお気軽に
    お問い合わせください!

    PAGE TOP