IoTサイバーセキュリティと各国法規(RE指令-実践編-)
前回の記事に引き続き、今回もRE指令のサイバーセキュリティについて「実践編」として、サイバーセキュリティをどのように考え、どのように進めていくのが良いか考えてみましょう。
1.市場
従来のRE指令の考え方と変わりません。RE指令が適用される地域で無線製品を上市する際に必要となります。
2.適用
適用される製品の考え方は、前回の記事で説明したとおりです。
3.例外
ここで「例外」について考える必要があります。その製品のサイバーセキュリティ要件が他の欧州法規でカバーされている場合には、RE指令のサイバーセキュリティ要件は適用外となります。
4.規格・試験・適合
整合規格を使って無線製品の試験をするということは、「リスク分析の結果、整合規格に沿った試験を行い、基準を満たせばリスクがないと判断している」といえます。
採用した「規格」に対して「試験」を行い、自己宣言やNotified Bodyの関与を通して「適合」を証明するというのが、一連の流れとなっています。
現時点で整合規格のないサイバーセキュリティ要件については、リスク分析の結果、どの規格で試験をするべきかをこれまで以上に考える必要があります。
リスク分析
どの規格を使えばよいかを考える手順が「リスク分析」です。サイバーセキュリティに限らず、これは少し難しいステップとなります。
整合規格であれば、関係者が十分な議論と検証の結果、認めたものですので問題はありません。従って、整合規格で試験をした場合は、自己宣言することが認められています。
しかし、他の規格を使う場合は、その規格が適切であるか、第三者の判断、RE指令の場合はNotified Bodyの関与が必要となります。
ビューローベリタスでは、Notified Bodyであるグループ会社のLCIE Bureau Veritasと協力し、一般的なIoT製品を対象としたリスク分析の結果、EN 303 645を試験規格として採用しています。
一般的なIoT製品か否か
自身の製品が「一般的なIoT製品」、すなわちEN 303 645で試験をすることで適合といえるのかお悩みの場合は、EN 303 645を使った「ギャップ分析」が有効です。
ビューローベリタスの「ギャップ分析」は、製品サンプルを使わない試験で、メーカーから提供された技術資料を基にEN 303 645の要求事項への合否を判定し、製品仕様上で不足しているものだけではなく、マネジメントシステムの観点からも不足しているものを探し出すサービスとなっています。
このサービスを利用することで、試験に必要なICS/IXITの準備が事前にできるようになるため、実際の製品を使ったEN 303 645の試験が円滑に行えるようになります。
ビューローベリタスのサービス
ビューローベリタスでは、トレーニングから認証まで一連のサービスを提供しております。
- ワークショップ、トレーニング
お客様のご要求内容に合わせて、ワークショップ、トレーニングの提供が可能。 - ギャップ分析
開発中/企画段階の製品に対し、設計書・技術書類の審査のみで評価。
試験がないのでサンプルは不要。
お客様の負荷は最小限で、製品のETSI EN303 645の適合状況を把握可能。 - ブラックボックス評価
ギャップ分析を実施した後、ビューローベリタス独自の手法で評価。
認証書の発行はなく納品物は試験レポートのみ。
試験レポートでRE指令に利用可能(結果判定ができない場合を除く)。 - ホワイトボックス評価
ETSI TS 103 701 の手法を用いての評価。
ETSI EN 303 645認証書の発行。
RE指令に利用可能。
ビューローベリタスではEN 303 645の試験レポートのEU以外の国や地域でのサイバーセキュリティ要件へ活用するスキームも開発中です。
詳細はお問い合わせください。
消費財検査部門スマートワールド事業部 武井 忠庸
【お問い合わせ】
ビューローベリタスジャパン(株) 消費財検査部門 スマートワールド事業部
TEL:045-949-6020
お問い合わせフォーム
【ビューローベリタスのサービス】
IOT機器セキュリティ要件
サイバーセキュリティ
UN-R155/156
ETSI EN 303 645