　欧州ではIoT機器のサイバーセキュリティを強化するための法規制が相次ぎ生まれている。中でも、日本の製造業に大きな影響を及ぼすと考えられるのが、無線機器のサイバーセキュリティ強化を求める欧州無線機器指令（RED）と欧州サイバーレジリエンス法（CRA）だ。本連載ではこのうちCRAについて、製造業各社が対応するために必要な基礎知識と方法論を3回にわたって解説する。

　連載第2回の本稿では、CRAで求められる具体的なサイバーセキュリティの要求事項（整合規格）に関する最新状況を整理する。

CEマーキングと整合規格についておさらい

　本題に入る前に、前提知識となる「CEマーキング」についておさらいしておこう。CEマーキングは、欧州連合（EU）で製品を販売するに当たり、安全、健康、環境保護などの基準を満たしていることを示すマークのことで、適用される製品は電気機器、産業機器、医療機器、玩具など多岐にわたる。

　製品にCEマーキングを付与するためには、技術的な要件に適合している必要があり、この基準は「整合規格」（Harmonized Standard）と呼ばれる。整合規格を策定できるのは欧州標準化委員会（CEN）、欧州電気標準化委員会（CENELEC）、及び欧州電気通信標準化機構（ETSI）で、整合規格が策定された場合には、欧州官報（Official Journal）で告知される。

　CEマーキング制度導入と同時に「欧州統一規格制度」が策定された。欧州統一規格は「EN規格」（European Standard）と呼ばれ、国際標準化機構（International Organization for Standardization）が定める「ISO規格」、もしくは国際電気標準会議（International Electrotechnical Commission）が定める「IEC規格」に整合した内容となっており、今後、CRAの適合判定を行うためにEN規格が制定されると予想される。

　また、EN規格には対になる文章として、技術的仕様を定めた「TS文書」（Technical Specification）が発行されることがある。TS文書は特定技術分野における詳細な要件、評価方法ガイドラインなどを提供する狙いがあるが、EN規格がこれらの内容を十分に包含している場合には作成されないこともある。

　製造事業者としてはいち早く整合規格を手に入れ、どのような技術要件が求められるか理解し、製品開発に反映させたいところだ。しかしここ数年、欧州の認証制度、特に、サイバーセキュリティに関連する分野は整合規格の策定に遅れが目立つ。

　実際に、2024年8月15日時点ではCRAについての整合規格は発表されていない。製品のサイバーセキュリティ対策には最低でも1年、長ければ2～3年の時間を要することも少なくないので、開発現場としては指をくわえて待っているわけにはいかないはずだ。

　そこで本稿ではCRAと類似点が多いREDの整合規格案を参考に、製造事業者が参照すべき規格についてみていく。

CRAのサイバーセキュリティ要件、REDを参考に考える

　　　　　　 1|2 次のページへ