日本の製造業にも影響大？ 新たな法規制「欧州サイバーレジリエンス法」対応に必要な要件は 先行する規制から考える

　なお、「pr」というのは「Provisional」の略で、正式なEN規格として採択される前の、暫定的なドラフト規格であることを意味する。EN18031シリーズについては、欧州電気標準化委員会（CEN-CENELEC）のワーキンググループ（JTC13／WG8）での議論がほぼ終結し、2024年9月にはprが取れた正式版が発表される見込みだ。

　ただし、EN18031の規格については内容のまとめかたが網羅的で、ボリュームが多いため使いづらい面がある。現時点ではETSI EN 303 645およびIEC 62443-4-2をそれぞれ用いて、暫定的な要求事項のベースとして使う方が、事前準備作業をスムーズに行えるかもしれない。

　ちなみにREDと同様、CRAについても欧州ネットワーク情報セキュリティ機関（ENISA：European Network and Information Security Agency）という組織からマッピング文章が発行されている。ただし、全38もの規格を参照する必要があるなどREDのマッピング文章以上に対応のハードルが高く、開発現場で使うには現実的ではないだろう。

　とはいえ内容を確認してみると、このマッピング文章でも多くの項目で参照されているのはETSI EN 303 645およびIEC 62443-4-2であり、当面はこの2つの規格を基に対策を進め、最終的な整合規格が出た際に、両規格との差分について対応するのが現実的な戦略だろう。

　また、マッピング文章の中で言及されている規格のうち、ETSI EN 303 645およびIEC 62443-4-2以外では、ISO/IEC27002（情報セキュリティ、サイバーセキュリティ及びプライバシー保護）やISO/IEC30111（脆弱性のハンドリングプロセス）、ISO/IEC29147（脆弱性の公開）なども、その内容から重要になってくる可能性がある。

　以上、CRAの整合規格を取り巻く現状について、今までの経緯を中心にまとめた。連載第3回では、これらの整合規格に適応するため、製造事業者がとるべき具体的なアクションについて、開発および組織づくりの観点から解説する。

●著者プロフィール：貝田 章太郎（かいだ しょうたろう）　KPMGコンサルティング　マネジャー

IoTに関連するサイバーセキュリティ業務に長年従事。医療機器、体外診断機器、産業用ロボット、サイバーレジリエンス法、欧州無線指令（RED）、GDPRなどの法規制、および要求事項に精通している。またIoTが接続するクラウドのセキュリティ対策、プライバシー対策、情報セキュリティに関する業務経験も豊富。KPMGコンサルティング参画前は、欧州系第三者認証機関において、アジア地域のサイバーセキュリティ業務を統括。認証に必要なペネトレーションテストの設計などを数多く手掛ける。