RE指令とサイバーセキュリティ最新動向(2023年3月版)
―整合規格(Harmonized standards)の状況―
BV Magazineでは、過去2回にわたりRE指令(Radio equipment directive)とサイバーセキュリティについて説明をしてきました。今回は、2023年3月時点での最新動向の報告です。
整合規格(Harmonized standards)の状況
2022年8月5日にStandardization requestが提出され、CEN/CENELEC※が受け付けたのが同年の9月7日となり、ここから正式に整合規格作成が行われています。実際にはCEN/CENELEC JTC 13/WG8 が2022年7月7日より規格作成に取り組んでいますが、現段階で2023年9月30日発行は難しく、早くても同年の12月31日、場合によってはそれよりも遅くなるとみられます。
CEN/CENELECは欧州員会に向けて強制化の延期を提案するものの、それについての進捗は特に聞かれない状況です。今年の2月にステークホルダー向けに草案が配布されており、現在はその意見収集が完了したところです。
※CEN(欧州標準化委員会:European Committee for Standardization)
CENELEC(欧州電気標準化委員会:European Committee for Electrotechnical Standardization)
整合規格(Harmonized standards)の課題
草案の作成と意見収集により、整合規格の課題が浮き彫りになってきました。
現在、RE指令の整合規格となっている200以上の規格は、明確にスコープが定義されています。例えば、使用する無線技術と周波数など細分化されています。ただ、今回のサイバーセキュリティの委任規則(EU)2022/30については、「すべての無線技術」がこの要件を満たす必要があるため、これまでとアプローチが変わってきます。
また、使用する無線技術だけではなく使用環境もさまざまであり、ソフトウェアが主製品でハードウェアは付属、といった製品も存在します。「特定の製品」の要件を定義するはずの整合規格が、サイバーセキュリティにおいては対象となる「すべての製品」の要件を定義する必要があり、大きなハードルとなっています。
問題解決へのヒント
WGは前述の課題を解決するため、製品が対応すべき特定のセキュリティ機能についての「mechanism/機構」という考え方を導入しています。
現在、その考え方をもとに、以下の項目が要件として検討されています。
- アクセス制御機構
- 認証機構
- 安全なアップデート機構
- 安全なストレージ機構
- 安全な通信機構
- ロギング機構
- 削除機構
- レジリエンス機構
- 攻撃対象範囲の縮小
- ネットワーク監視機構
- トラフィック制御機構
- ユーザー通知機構
- CSP生成機構
- 一般的な機器能力
- 暗号技術
- 物理的保護
- スマートメーター※草案には含まれず
- 5Gネットワーク機器※草案には含まれず
これらの「mechanism/機構」は、達成不可能、もしくは矛盾する要件を避けつつ、特定の使用目的や使用環境、そしてリスクに対してセキュリティ要件を達成することが求められます。
これにより、客観的で可能な限りルールに基づいた方法で、未知の事案にも対応できることを目指しています。それでもなお、単純に測定できない機能に対する評価結果の揺らぎ、より高い安全性が求められる製品への対応、要件実現方法の多様性など、検討すべき難題が山積みとなっています。
今後の見通し
草稿への意見収集が完了し、それに対する対応が始まるとみられています。かなり多くの意見が寄せられており、CEN/CENELEC、および欧州委員会がどのように舵取りをするか注視する必要があります。
ただ、Cybersecurity resilience Act/サイバーレジリエンス法についての発表もあり、将来、サイバーセキュリティ要件が必須になるのは間違いありません。RE指令のサイバーセキュリティ要件の強制化、サイバーレジリエンス法に備えて、早めに準備を進めることが必要です。整合規格が未発行の現時点では、一般的なIoT製品はEN303 645を用いて、OT製品はISA/IEC62443を用いて評価することが推奨されます。
ビューローベリタスのサービス
ビューローベリタスでは、トレーニングから認証まで一連のサービスを提供しております。
- ワークショップ、トレーニング
お客様のご要求内容に合わせて、ワークショップ、トレーニングの提供が可能。 - リスク分析
お客様の製品のリスク分析をお手伝いし、最適な規格の選定や対策の必要な範囲の特定を行います。 - 評価とBV Mark
お客様の要望に合わせ、各種監査、試験、認証、BV Markの発行を行っております。
BV Markについては、Level2を選んでいただくことでEN303 645の試験レポート、Level3を選んでいただくことで試験レポートに加えて認証書を取得できるサービスを展開しております。
消費財検査部門 スマートワールド事業部 武井 忠庸