2025年7月20日
Rui Long Lab株式会社
代表取締役
概要
本見解は、OSS-ECALがEUサイバーレジリエンス法(Cyber Resilience Act:CRA)の適用対象外であることについて、その技術的および法的根拠を明確に説明するものです。
OSS-ECALの対象用途と設計範囲
OSS-ECALは、以下のような外部ネットワーク(IP通信、Wi-Fi、CAN、Bluetoothなど)に直接接続されない電子部品を制御するためのソフトウェアとして設計されています。
1. OSS-ECALの対象
OSS-ECALは、次の電子部品を対象とした制御ソフトウェアです。
- MCU(microcontroller: マイコン)のSPI(Serial Peripheral Interface)やI2C(Inter-Integrated Circuit)などのオンボード通信を介して接続される電子部品
- MCUのGPIOやPWMなどのデジタル信号で接続される電子部品
- MCUのADCやDACなどのアナログ信号で接続される電子部品
2. OSS-ECALの設計範囲
OSS-ECAL設計範囲は、前項にあるように外部ネットワークに接続される電子部品を対象としておらず、サイバーセキュリティ機能を前提とした設計にはなっていません。
CRA提供外の根拠
CRAでは、「デジタル要素を有し、直接または間接的にネットワークに接続される製品」のみを対象と定義されています。
OSS-ECALは以下の理由からCRAの適用対象外です。
- 外部ネットワーク機能を備えていません
- 認証、暗号化、リモート更新などのサイバーセキュリティ機能を備えていません
したがって、OSS-ECAL単体ではCRAが対象とするサイバーリスクの要因とはなりません。
最終製品開発者への注意事項
OSS-ECALはCRAの適用対象外となる設計ですが、OSS-ECALを組み込む最終製品によってはCRAの適用対象となる可能性があります。これは、特に以下の条件に該当する場合です。
- 最終製品が外部ネットワーク通信可能な構成である場合
- OSS-ECALの上位ソフトウェアに通信機能や認証・暗号化などのセキュリティ機能が追加されている場合
- 最終製品がEU市場で商用目的にて流通・販売される場合
このような場合、最終製品全体に対してCRAの適合性を確保する責任は、最終製品開発者にあります。OSS-ECAL自体がCRA対象外であっても、組み込まれる最終製品全体がCRAの対象となる可能性がある点にご注意ください。
結論
OSS-ECALは、外部ネットワーク接続機能やサイバーセキュリティ機能を含まないことから、現時点においてCRAの適用対象には該当しないと判断されます。
これは、OSS-ECALが外部ネットワーク接続機能やセキュリティ機能を持たず、単体ではCRAで定義される「デジタル要素を有し、直接または間接的にネットワークに接続される製品」に該当しないためです。
最終製品開発者がCRA適合性の判断を行う際に備え、必要に応じてSBOM(Software Bill of Materials)やその他の技術資料を提供することが可能です。