欧州ではIoT機器のサイバーセキュリティを強化するための法規制が相次ぎ生まれている。中でも、日本の製造業に大きな影響を及ぼすと考えられるのが、無線機器のサイバーセキュリティ強化を求める欧州無線機器指令(RED)と欧州サイバーレジリエンス法(CRA)だ。本連載ではこのうちCRAについて、製造業各社が対応するために必要な基礎知識と方法論を3回にわたって解説する。
連載第2回の本稿では、CRAで求められる具体的なサイバーセキュリティの要求事項(整合規格)に関する最新状況を整理する。
●CEマーキングと整合規格についておさらい
本題に入る前に、前提知識となる「CEマーキング」についておさらいしておこう。CEマーキングは、欧州連合(EU)で製品を販売するに当たり、安全、健康、環境保護などの基準を満たしていることを示すマークのことで、適用される製品は電気機器、産業機器、医療機器、玩具など多岐にわたる。
製品にCEマーキングを付与するためには、技術的な要件に適合している必要があり、この基準は「整合規格」(Harmonized Standard)と呼ばれる。整合規格を策定できるのは欧州標準化委員会(CEN)、欧州電気標準化委員会(CENELEC)、及び欧州電気通信標準化機構(ETSI)で、整合規格が策定された場合には、欧州官報(Official Journal)で告知される。
CEマーキング制度導入と同時に「欧州統一規格制度」が策定された。欧州統一規格は「EN規格」(European Standard)と呼ばれ、国際標準化機構(International Organization for Standardization)が定める「ISO規格」、もしくは国際電気標準会議(International Electrotechnical Commission)が定める「IEC規格」に整合した内容となっており、今後、CRAの適合判定を行うためにEN規格が制定されると予想される。
また、EN規格には対になる文章として、技術的仕様を定めた「TS文書」(Technical Specification)が発行されることがある。TS文書は特定技術分野における詳細な要件、評価方法ガイドラインなどを提供する狙いがあるが、EN規格がこれらの内容を十分に包含している場合には作成されないこともある。
製造事業者としてはいち早く整合規格を手に入れ、どのような技術要件が求められるか理解し、製品開発に反映させたいところだ。しかしここ数年、欧州の認証制度、特に、サイバーセキュリティに関連する分野は整合規格の策定に遅れが目立つ。
実際に、2024年8月15日時点ではCRAについての整合規格は発表されていない。製品のサイバーセキュリティ対策には最低でも1年、長ければ2~3年の時間を要することも少なくないので、開発現場としては指をくわえて待っているわけにはいかないはずだ。
そこで本稿ではCRAと類似点が多いREDの整合規格案を参考に、製造事業者が参照すべき規格についてみていく。
●CRAのサイバーセキュリティ要件、REDを参考に考える
REDは欧州で販売される無線を利用した機器に対する法令だ。従来、主に電磁波試験、電気安全試験、無線試験が要求されていたが、2025年8月からはインターネットに接続される無線機器についてはサイバーセキュリティの要求事項が追加されることになった。CRAは無線・有線を問わず、デジタル要素を持つ全ての製品が対象になるため、将来的にREDのサイバーセキュリティに関する要求事項は、CRAのスコープに包含される見込みだ。
サイバーセキュリティの義務化についてはRED(2025年8月から適用予定)が先で、その後にCRA(適用時期は未定)という順序になる。CRAのサイバーセキュリティの法規制要件がREDよりも緩和されるというのは考えづらく、REDの整合規格について理解しておくことは有益だと考えられる。
当初REDの整合規格として有力だったのは、ETSIによるサイバーセキュリティベースライン要件である「ETSI EN 303 645」だった。しかし民生品IoT機器向けの要求事項の性格が強く、産業機器などを対象に含むREDの整合規格としては単独で役割を果たせないと判断された。
内容を補完するために産業用機器のサイバーセキュリティ規格である「IEC62443-4-2」と組み合わせて使うことが考えられたものの、両規格で重複する内容があるという問題があった。そのため両規格の要求事項(ETSI EN 303 645では5.1~5.13の項目、IEC62443-4-2はFoundational Requirements 1~7の項目)から、どの項目を評価に用いるかを関連付けるマッピング文章「ETSI TS 103 929」が発行された。
ETSI TS 103 929では、ETSI EN 303 645およびIEC62443-4-2の具体的要求項目について、「項番ごとに評価の対象として用いる(Y)」「評価の対象としない(N)」「一部評価の対象にする(P)」という形でマッピングを行った。(P)についてはどの程度評価の対象にするかが明確になっていなかったため、これらを整理し「prEN18031シリーズ」という規格がまとめられた。
なお、「pr」というのは「Provisional」の略で、正式なEN規格として採択される前の、暫定的なドラフト規格であることを意味する。EN18031シリーズについては、欧州電気標準化委員会(CEN-CENELEC)のワーキンググループ(JTC13/WG8)での議論がほぼ終結し、2024年9月にはprが取れた正式版が発表される見込みだ。
ただし、EN18031の規格については内容のまとめかたが網羅的で、ボリュームが多いため使いづらい面がある。現時点ではETSI EN 303 645およびIEC 62443-4-2をそれぞれ用いて、暫定的な要求事項のベースとして使う方が、事前準備作業をスムーズに行えるかもしれない。
ちなみにREDと同様、CRAについても欧州ネットワーク情報セキュリティ機関(ENISA:European Network and Information Security Agency)という組織からマッピング文章が発行されている。ただし、全38もの規格を参照する必要があるなどREDのマッピング文章以上に対応のハードルが高く、開発現場で使うには現実的ではないだろう。
とはいえ内容を確認してみると、このマッピング文章でも多くの項目で参照されているのはETSI EN 303 645およびIEC 62443-4-2であり、当面はこの2つの規格を基に対策を進め、最終的な整合規格が出た際に、両規格との差分について対応するのが現実的な戦略だろう。
また、マッピング文章の中で言及されている規格のうち、ETSI EN 303 645およびIEC 62443-4-2以外では、ISO/IEC27002(情報セキュリティ、サイバーセキュリティ及びプライバシー保護)やISO/IEC30111(脆弱性のハンドリングプロセス)、ISO/IEC29147(脆弱性の公開)なども、その内容から重要になってくる可能性がある。
以上、CRAの整合規格を取り巻く現状について、今までの経緯を中心にまとめた。連載第3回では、これらの整合規格に適応するため、製造事業者がとるべき具体的なアクションについて、開発および組織づくりの観点から解説する。
●著者プロフィール:貝田 章太郎(かいだ しょうたろう) KPMGコンサルティング マネジャー
IoTに関連するサイバーセキュリティ業務に長年従事。医療機器、体外診断機器、産業用ロボット、サイバーレジリエンス法、欧州無線指令(RED)、GDPRなどの法規制、および要求事項に精通している。またIoTが接続するクラウドのセキュリティ対策、プライバシー対策、情報セキュリティに関する業務経験も豊富。KPMGコンサルティング参画前は、欧州系第三者認証機関において、アジア地域のサイバーセキュリティ業務を統括。認証に必要なペネトレーションテストの設計などを数多く手掛ける。