日本の製造業にも影響大? 新たな法規制「欧州サイバーレジリエンス法」対応に必要な要件は 先行する規制から考える:日本の製造業に対応を迫る「欧州サイバーレジリエンス法」とは(2/2 ページ)
CRAのサイバーセキュリティ要件、REDを参考に考える
REDは欧州で販売される無線を利用した機器に対する法令だ。従来、主に電磁波試験、電気安全試験、無線試験が要求されていたが、2025年8月からはインターネットに接続される無線機器についてはサイバーセキュリティの要求事項が追加されることになった。CRAは無線・有線を問わず、デジタル要素を持つ全ての製品が対象になるため、将来的にREDのサイバーセキュリティに関する要求事項は、CRAのスコープに包含される見込みだ。
サイバーセキュリティの義務化についてはRED(2025年8月から適用予定)が先で、その後にCRA(適用時期は未定)という順序になる。CRAのサイバーセキュリティの法規制要件がREDよりも緩和されるというのは考えづらく、REDの整合規格について理解しておくことは有益だと考えられる。
当初REDの整合規格として有力だったのは、ETSIによるサイバーセキュリティベースライン要件である「ETSI EN 303 645」だった。しかし民生品IoT機器向けの要求事項の性格が強く、産業機器などを対象に含むREDの整合規格としては単独で役割を果たせないと判断された。
内容を補完するために産業用機器のサイバーセキュリティ規格である「IEC62443-4-2」と組み合わせて使うことが考えられたものの、両規格で重複する内容があるという問題があった。そのため両規格の要求事項(ETSI EN 303 645では5.1〜5.13の項目、IEC62443-4-2はFoundational Requirements 1〜7の項目)から、どの項目を評価に用いるかを関連付けるマッピング文章「ETSI TS 103 929」が発行された。
ETSI TS 103 929では、ETSI EN 303 645およびIEC62443-4-2の具体的要求項目について、「項番ごとに評価の対象として用いる(Y)」「評価の対象としない(N)」「一部評価の対象にする(P)」という形でマッピングを行った。(P)についてはどの程度評価の対象にするかが明確になっていなかったため、これらを整理し「prEN18031シリーズ」という規格がまとめられた。
なお、「pr」というのは「Provisional」の略で、正式なEN規格として採択される前の、暫定的なドラフト規格であることを意味する。EN18031シリーズについては、欧州電気標準化委員会(CEN-CENELEC)のワーキンググループ(JTC13/WG8)での議論がほぼ終結し、2024年9月にはprが取れた正式版が発表される見込みだ。
ただし、EN18031の規格については内容のまとめかたが網羅的で、ボリュームが多いため使いづらい面がある。現時点ではETSI EN 303 645およびIEC 62443-4-2をそれぞれ用いて、暫定的な要求事項のベースとして使う方が、事前準備作業をスムーズに行えるかもしれない。
ちなみにREDと同様、CRAについても欧州ネットワーク情報セキュリティ機関(ENISA:European Network and Information Security Agency)という組織からマッピング文章が発行されている。ただし、全38もの規格を参照する必要があるなどREDのマッピング文章以上に対応のハードルが高く、開発現場で使うには現実的ではないだろう。
とはいえ内容を確認してみると、このマッピング文章でも多くの項目で参照されているのはETSI EN 303 645およびIEC 62443-4-2であり、当面はこの2つの規格を基に対策を進め、最終的な整合規格が出た際に、両規格との差分について対応するのが現実的な戦略だろう。
また、マッピング文章の中で言及されている規格のうち、ETSI EN 303 645およびIEC 62443-4-2以外では、ISO/IEC27002(情報セキュリティ、サイバーセキュリティ及びプライバシー保護)やISO/IEC30111(脆弱性のハンドリングプロセス)、ISO/IEC29147(脆弱性の公開)なども、その内容から重要になってくる可能性がある。
以上、CRAの整合規格を取り巻く現状について、今までの経緯を中心にまとめた。連載第3回では、これらの整合規格に適応するため、製造事業者がとるべき具体的なアクションについて、開発および組織づくりの観点から解説する。
著者プロフィール:貝田 章太郎(かいだ しょうたろう) KPMGコンサルティング マネジャー
IoTに関連するサイバーセキュリティ業務に長年従事。医療機器、体外診断機器、産業用ロボット、サイバーレジリエンス法、欧州無線指令(RED)、GDPRなどの法規制、および要求事項に精通している。またIoTが接続するクラウドのセキュリティ対策、プライバシー対策、情報セキュリティに関する業務経験も豊富。KPMGコンサルティング参画前は、欧州系第三者認証機関において、アジア地域のサイバーセキュリティ業務を統括。認証に必要なペネトレーションテストの設計などを数多く手掛ける。
関連記事
今からでも遅くない 新たな法規制「欧州サイバーレジリエンス法」入門
欧州サイバーレジリエンス法(CRA)が制定された背景と、今後のタイムライン、違反時の罰則、認証制度について説明する。
CEOの7割「サイバー攻撃への対応力に懸念」 セキュリティ意識と実態にギャップ アクセンチュア調査
企業のCEOのうち7割超は、自社のサイバーセキュリティに懸念を持っている──アクセンチュアがこんな調査結果を発表した。サイバー攻撃による損害を回避するか最小限に抑えるために、自社が十分な能力を有しているかCEO1000人に聞いたところ、74%が対応力に懸念があると答えた。
総務省、日本が早急に取り組むべきサイバーセキュリティ対策を発表 近年のインシデントを踏まえ
総務省は、東京五輪・パラリンピックを前に早急に取り組むべきサイバーセキュリティ対策について緊急提言を発表した。提言にはIoTセキュリティや問題発生後の報告体制に関する5点の対策が盛り込まれた。
「いまこの脅威が危険」は経営層に刺さらない 理解を得るには? 内閣サイバーセキュリティセンターに聞く
サイバーセキュリティ対策は経営層の理解が欠かせない。「ひとごとではない」と内閣サイバーセキュリティセンターの内閣参事官は話す。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PRアイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。