カバー画像(セキュリティ)

IoTサイバーセキュリティと各国法規(RE指令編)

2022-02-10

コネクテッドデバイスの増加に伴い、無線機器、特にIoT機器へのサイバー攻撃に対する法制化が各国で整えられつつあります。
「サイバーセキュリティ」でもご紹介しておりますが、日本の電気通信事業法IoT機器のセキュリティ基準をはじめ、基本的な要件が準拠必須となっています。
今回は、その一つである欧州のRE指令(Radio equipment directive, RED, 欧州無線機器指令)についてご説明します。

 

対象規格

RE指令は、2014/53/EUが公式番号です。その名のとおり無線機器向けの指令であり、EU市場で当該機器を販売するうえで準拠必須のものとなります。
実は、このRE指令に、すでにサイバーセキュリティに関連する要求事項があります。
以下、指令原文からの抜粋ですが、Article 3 Essential requirementsの3. (d), 3.(e), 3.(f)が最も関連性が高い要求事項です。

(d) radio equipment does not harm the network or its functioning nor misuse network resources, thereby causing an unacceptable degradation of service;

(e) radio equipment incorporates safeguards to ensure that the personal data and privacy of the user and of the subscriber are protected;

(f) radio equipment supports certain features ensuring protection from fraud;

これにより、メーカーがEU市場で無線製品を販売する場合、上記の要求事項に準拠する必要があります。
「今の段階でサイバーセキュリティを意識しないとダメなの?」と驚かれた方もいらっしゃると思います。
実はRE指令(2014/53/EU)の上記関連要求事項を補足する役割で、DR(EU)2022/30というものが存在し、2024年8月1日から適用される予定となっています。Harmonized Standardsは、2023年10月までに準備される予定です。
この他、EU Cybersecurity Actはすでに施行されていますが、認証制度に関してはICT製品、クラウドサービス、5Gネットワーク向けに作業が行なわれており、IoTはまだ候補に挙がっている程度です。そのため、欧州向けのサイバーセキュリティというと、これらの動きと混同され「まだ必要ない」と思われている方も多いようです。

 

市場投入のために

それでは、RE 指令の要求事項を満たし、上市するためには何が必要なのでしょうか。
将来的には DR (EU)2022/30 と Harmonized standards に準拠することですが、ビューローベリタスとしては、現時点で一番有効な方法は、ETSI EN 303 645 を用いた試験と考えています。
現在の最新版はETSI EN 303 645 V2.1.1 (2020-06)となっており、「民生向けIoTのサイバーセキュリティに関するBaseline Requirements」と位置付けられ、サイバーセキュリティと個人情報の対策(provisions)が定義されています。
ビューローベリタスは、これらの規格に沿った試験を実施することで、RE指令の要求事項を満たすことができると考えています。

 

ビューローベリタスのソリューション

ビューローベリタスは、RE指令のサイバーセキュリティ要求事項に対し、以下のソリューションを準備しています。

ビューローベリタスのRE指定のサイバーセキュリティ要求事項に対してのソリューション準備

 

実製品が存在する場合、ホワイトボックスアプローチとブラックボックスアプローチの2つがあります。
ホワイトボックスアプローチは、EN 303 645 とTS 103 701に則った評価を行う方法です。
ブラックボックスアプローチは、ビューローベリタス独自のメソッドによりEN 303 645の要求事項を評価するため、ホワイトボックスアプローチに比べ、メーカー側の準備工数が少なく済むため、お勧めの方法です。
また、実製品が存在しない開発段階では、ギャップ分析の提供が可能です。RE指令の要求事項を満たすには不十分ですが、事前の仕様確認や社内体制の確認に有用です。

ビューローベリタスは、欧州向けだけではなく、各国・地域向けの機器にサイバーセキュリティの認証・サポートサービスを展開しております。
また、IoT機器だけではなく、自動車向けサイバーセキュリティサービスとしてUN-R155/156の認可・サポートサービスも提供しております。
サイバーセキュリティについて、皆様からのご相談・お問い合わせをお待ちしております。

 

消費財検査部門 スマートワールド事業部 武井 忠庸

【お問い合わせ】
ビューローベリタスジャパン(株) 消費財検査部門 スマートワールド事業部
TEL:045-949-6020
お問い合わせフォーム

【ビューローベリタスのサービス】
IoT機器セキュリティ要件
サイバーセキュリティ
UN-R155/156