Skip to main content
  1. Qt.io/ja-jp
  2. software insights
  3. qt open source and commercial licensing towards cra in industrial automation

産業オートメーションにおける CRA 対応: Qt オープンソースライセンスと Qt 商用ライセンスの比較

執筆者: Qt Group 日本オフィス

投稿日:

2026年05月21日

読了時間:

7分

この記事は「Qt Open Source and Commercial Licensing Towards CRA in Industrial Automation」を翻訳・一部加筆したものです。

venla
Venla Pouru

Director, Industries, Qt Group

Amit Nainawat-1
Amit Nainawat 

Director, Solutions Engineering, Qt Group

EU サイバーレジリエンス法(CRA)(規則 EU 2024/2847)は 2024 年 12 月 10 日に発効しました。 2026 年 9 月 11 日以降、 EU 市場にデジタル要素を含む製品(PDE)を出荷するメーカーは CRA の脆弱性報告義務を遵守する必要があり、 2027 年 12 月 11 日以降は、初めて市場に出荷されるすべての製品に対して、サイバーセキュリティに関する必須要件の完全な適用が求められます。 CRA への準拠は任意ではありません。 CRA 第 64 条に基づく制裁金は、必須要件への重大な違反に対して、最大 1,500 万ユーロまたは前会計年度の全世界年間総売上高の 2.5%(いずれか高い方)に達します。

CRA は、オープンソースソフトウェアで構築された製品と独自ソフトウェアで構築された製品を区別しません。最終的な PDE のメーカーが、いずれの場合においても義務を負います。産業オートメーションメーカー——プログラマブルロジックコントローラ(PLC)、ヒューマンマシンインターフェース(HMI)、監視制御データ収集(SCADA)フロントエンドなど——にとって、これは Qt コミュニティエディションと商用 Qt の選択において実質的な変化をもたらします。

Qt コミュニティエディションのいくつかの構造的特性は、 CRA のもとでは重要な制約となります。まず、 Qt プロジェクトはメーカーではないため、メーカーが必要とする適合性の証跡を提供することができません。次に、 Qt コミュニティエディションのセキュリティアップデートのタイミングが CRA の報告期限と構造的に合致しておらず、ユーザーは適合性に関するすべての文書を独自に作成・維持しなければなりません。 

CRA はオープンソースソフトウェアで構築された製品と独自ソフトウェアで構築された製品を区別しません。いずれの場合もメーカーが義務を負います。 

 

商用 Qt は、 Qt 6.8 以降の 5 年間の長期サポート(LTS)メンテナンスウィンドウ(セキュリティパッチを含む)、 SBOM 対応、顧客の技術文書作成を支援する Qt Group の適合性証跡の提供、および CVE 採番機関(CNA)としての Qt Group の役割に基づく文書化された脆弱性対応によって、これらのギャップを埋めます。

なお、 Qt Group が CRA 対応のために作成した文書は、 IEC 62443 の適合性ファイルにそのまま流用することができます。

 

CRA はオープンソース活用の方程式を書き換えた

長年にわたり、産業オートメーションにおける Qt コミュニティエディションと商用 Qt の選択は、初期コスト利便性のトレードオフとして語られてきました。 EU サイバーレジリエンス法(CRA)は、その方程式を書き換えました。

2027 年 12 月 11 日以降に EU 市場に PDE を出荷するメーカーは、スタック内のすべてのコンポーネントが CRA の必須サイバーセキュリティ要件を満たしていることを、証拠、文書、および監査可能なプロセスをもって実証しなければなりません。これには GUI フレームワークも含まれます。

原産地を問わず、 EU 市場に PDE を出荷するすべてのメーカーは義務の全責任を負います。

本記事では、 CRA が実際に何を要求しているのか、 Qt コミュニティエディションでカバーできることとできないこと、そして商用 Qt がそのギャップをどのように埋めるかを検証します。 

略語一覧

CE marking——Conformité Européenne marking—EU の該当規制への適合に関するメーカーの宣言
CNA——CVE 採番機関
CRA——EU サイバーレジリエンス法(規則(EU)2024/2847)
CVE——共通脆弱性識別子
ES——延長サポート(Qt 商用サービス)
ESM——延長セキュリティメンテナンス(Qt 商用サービス)
GPL——GNU 一般公衆利用許諾書
GUI——グラフィカルユーザーインターフェース
IEC——国際電気標準会議(例:IEC 61508、 IEC 62443)
LGPL——GNU 劣等一般公衆利用許諾書
LTS——長期サポート
PDE——デジタル要素を含む製品(CRA の用語)
PLC——プログラマブルロジックコントローラ
SBOM——ソフトウェア部品表
SCADA——監視制御データ収集
TLS——トランスポート層セキュリティ
24h/72h/14d Incident Reporting Guide——積極的に悪用された脆弱性の認知から 24 時間以内に早期警告を発し、 72 時間以内に完全な通知を行い、是正措置が利用可能になってから 14 日以内に最終報告書を提出する義務

CRA が定める基準

CRA では、原産地を問わず、 EU 市場に PDE を出荷するすべてのメーカーが完全な義務を負います。必須要件(CRA 附属書 I)には、特に以下が含まれます。

  • 製品ライフサイクル全体を通じたセキュリティ・バイ・デザインおよびデフォルト・セキュリティ——出荷時に既知の悪用可能な脆弱性がないこと、安全なデフォルト設定、不正アクセスからの保護、保存・送受信・処理データの機密性と完全性の確保。
  • CRA 第 14 条に基づく脆弱性対応——積極的に悪用された脆弱性が判明してから 24 時間以内に関連 CSIRT および ENISA へ早期警告を発令し、 72 時間以内に完全な通知を行い、是正措置が利用可能になってから 14 日以内に最終報告書を提出すること(24h/72h/14d インシデント報告ガイド)。
  • 製品のサポート期間中、無償でのセキュリティアップデートの提供。(デフォルト 5 年)
  • SBOMですべてのサードパーティコンポーネントを網羅。オープンソース依存関係を含む。
  • サードパーティコンポーネントへのデューデリジェンス。フリーおよびオープンソースコンポーネントを明示的に含む。
  • 適合性を実証する技術文書(CRA 附属書 VII)。適合性評価に合格することで、メーカーは EU 適合宣言書の発行と CE マーキングの貼付が可能となります。

報告の起算点は、積極的に悪用された脆弱性が判明した時点であり、メーカーが対応を決定した時点ではありません。サードパーティコンポーネントに対する責任は、最終製品のメーカーにあります。産業用 HMI が Qt を使用している場合、 Qt に重大な脆弱性が発見されたとき、 HMI メーカーは Qt コミュニティエディションと商用 Qt のどちらを使用していても、その対応義務を負います。

 

サードパーティコンポーネントに対する責任は、最終製品のメーカーにあります。

Qt コミュニティエディションのカバー範囲とその限界 

Qt コミュニティエディションは、ほとんどのモジュールを LGPL で、一部のモジュールを GPL で配布する Qt です。プロトタイピング段階のチーム、 EU 市場に出荷されない社内専用ツール、商用配布を伴わない研究教育プロジェクトには正当な選択肢です。 

 

    こちらもお読みください。 

    航空宇宙産業

    関連記事

    航空宇宙・防衛分野での Qt:オープンソースと商用ライセンス

    航空宇宙・防衛分野での Qt:オープンソースと商用ライセンス

    記事を読む
    北京国際自動車展覧会での話題

    北京国際自動車展覧会での話題

    記事を読む