商用 Qt は、 Qt 6.8 以降の 5 年間の長期サポート(LTS)メンテナンスウィンドウ(セキュリティパッチを含む)、 SBOM 対応、顧客の技術文書作成を支援する Qt Group の適合性証跡の提供、および CVE 採番機関(CNA)としての Qt Group の役割に基づく文書化された脆弱性対応によって、これらのギャップを埋めます。
なお、 Qt Group が CRA 対応のために作成した文書は、 IEC 62443 の適合性ファイルにそのまま流用することができます。
長年にわたり、産業オートメーションにおける Qt コミュニティエディションと商用 Qt の選択は、初期コストと利便性のトレードオフとして語られてきました。 EU サイバーレジリエンス法(CRA)は、その方程式を書き換えました。
2027 年 12 月 11 日以降に EU 市場に PDE を出荷するメーカーは、スタック内のすべてのコンポーネントが CRA の必須サイバーセキュリティ要件を満たしていることを、証拠、文書、および監査可能なプロセスをもって実証しなければなりません。これには GUI フレームワークも含まれます。
原産地を問わず、 EU 市場に PDE を出荷するすべてのメーカーは義務の全責任を負います。
本記事では、 CRA が実際に何を要求しているのか、 Qt コミュニティエディションでカバーできることとできないこと、そして商用 Qt がそのギャップをどのように埋めるかを検証します。
CE marking——Conformité Européenne marking—EU の該当規制への適合に関するメーカーの宣言
CNA——CVE 採番機関
CRA——EU サイバーレジリエンス法(規則(EU)2024/2847)
CVE——共通脆弱性識別子
ES——延長サポート(Qt 商用サービス)
ESM——延長セキュリティメンテナンス(Qt 商用サービス)
GPL——GNU 一般公衆利用許諾書
GUI——グラフィカルユーザーインターフェース
IEC——国際電気標準会議(例:IEC 61508、 IEC 62443)
LGPL——GNU 劣等一般公衆利用許諾書
LTS——長期サポート
PDE——デジタル要素を含む製品(CRA の用語)
PLC——プログラマブルロジックコントローラ
SBOM——ソフトウェア部品表
SCADA——監視制御データ収集
TLS——トランスポート層セキュリティ
24h/72h/14d Incident Reporting Guide——積極的に悪用された脆弱性の認知から 24 時間以内に早期警告を発し、 72 時間以内に完全な通知を行い、是正措置が利用可能になってから 14 日以内に最終報告書を提出する義務
CRA では、原産地を問わず、 EU 市場に PDE を出荷するすべてのメーカーが完全な義務を負います。必須要件(CRA 附属書 I)には、特に以下が含まれます。
報告の起算点は、積極的に悪用された脆弱性が判明した時点であり、メーカーが対応を決定した時点ではありません。サードパーティコンポーネントに対する責任は、最終製品のメーカーにあります。産業用 HMI が Qt を使用している場合、 Qt に重大な脆弱性が発見されたとき、 HMI メーカーは Qt コミュニティエディションと商用 Qt のどちらを使用していても、その対応義務を負います。
サードパーティコンポーネントに対する責任は、最終製品のメーカーにあります。
Qt コミュニティエディションは、ほとんどのモジュールを LGPL で、一部のモジュールを GPL で配布する Qt です。プロトタイピング段階のチーム、 EU 市場に出荷されない社内専用ツール、商用配布を伴わない研究や教育プロジェクトには正当な選択肢です。