2026年から報告義務が開始されるEU CRA、しかし2027年の施行開始に際して求められるのは既知の脆弱性が無いことを証明するための技術文書です。それはSBOMも含め、製品がどのような構成になっており、どのように開発されて検証した結果、既知の脆弱性が無いと説明する文書を求められているのです。また、この観点は、EUではサイバーセキュリティ要件を伴う新しいCEマーキングに適合するために必要なものとなることを忘れてはなりません。本講演では、多くの法規が求める「リスクの分析」を基点として、どのようなテストによって何を検証する必要があるのかについて概説します。