サイバーセキュリティの規格化

1. はじめに

かつて一部の科学者と愛好家のものでしかなかったインターネットが、さまざまな社会機能の基盤となり定着して久しくなりました。また、昨今はIoT、クラウドなどといった新しいデジタル技術の浸透により、インターネットと現実社会が相互に密接に関連するようになり、社会の高度化に寄与しています。
その反面、インターネットの遍在性を逆手に取ったサイバー攻撃が、現実社会に大きな悪影響をもたらすこととなりました。

このような新しい脅威に対し、公共安全や経済安全保障の観点から、社会の各法域が取り組みやすいよう、官民は共通の技術基準を定め、法令またはサプライチェーンを通じて遵守を促しています。

2. サイバーセキュリティ各論

欧州法域を中心に、以下にサイバーセキュリティ規格を一部紹介します。

■CENELEC EN 18031シリーズ

欧州電気標準化委員会（CENELEC：Comité Européen de Normalisation Electrotechnique）が規格化し、欧州委員会が無線機器指令REDの改正を通じて施行された、データを取り扱う無線機器向けの規格です。2025年8月より義務化されました。

無線機器が「ネットワーク保護」「個人データ・プライバシー保護」「仮想通貨・金融取引に用いられる場合の詐欺防止」といった3つの必須要件を満たす必要性が明文化されました。

この規格は全3部で構成されています。

• EN 18031-1：インターネット接続無線機器に対する共通セキュリティ要件
  主にネットワーク保護についての規格。通信の悪用、サービス低下、ネットワーク資源の不正使用等を防止。
• EN 18031-2：個人データ／トラフィック／位置データを処理する無線機器向け技術要件
  ユーザーのプライバシー保護、個人データの安全管理のための規格。
• EN 18031-3：仮想マネーまたは金銭的価値の取引を行える無線機器に対するセキュリティ要件
  金融詐欺、決済デバイス等のリスク軽減を意図した規格。

インターネット接続あるいは位置データ、個人データ、金銭取引機能をもつ無線機器を、設計、製造、販売する企業にとって、EN18031 は「欧州市場投入時のサイバーセキュリティ要件準備」の中核となる標準です。

■ISA/IEC 62443シリーズ

国際自動制御学会（ISA：International Society of Automation）が提唱し、国際電気標準会議（IEC：International Electrotechnical Commission）が国際規格化した、産業用機械機器およびシステム向けの業界標準規格です。

従来、製造設備、インフラ設備などの産業用制御系はサイバー空間からの脅威から比較的縁遠いものと捉えられてきましたが、IoT、ネットワーク化、リモートアクセス化の進展に伴い、サイバーリスクが顕著化しました。
また昨今は、地政学的意図を持ったグループによる攻撃が報告されるようになり、その攻撃手法も従来のものに比べ激しく巧妙であることが分かっています。

こうした背景から、OT（運用技術）とIT（情報技術）の融合領域・制御システム安全とサイバーセキュリティの橋渡しが課題となり、それらを体系的に規定するためにIEC 62443シリーズが策定されました。

この規格は大きく4つで構成されており、その先さらに枝分かれしています。

• IEC 62443-1：シリーズ全般に関連する一般的概念の定義
• IEC 62443-2-x：ポリシーとプロセスの作成と管理
• IEC 62443-3-x：システム全般のセキュリティ要件
• IEC 62443-4-x：個々のコンポーネントのセキュリティ要件

製造、プラント、インフラを扱う企業にとって、技術的、運用的、契約的観点を統合して、サプライチェーンを含めた多層対応が可能な標準であり、サイバーリスク増大の時代において一つの「安心できる設計基盤」として機能します。

■SEMI E187

国際半導体製造装置材料協会（SEMI：Semiconductor Equipment and Materials Institute）が提唱、規格化した、半導体製造装置向けの業界標準規格です。

半導体製造装置は多くのサプライヤー、装置メーカー、半導体製造施設、サービスプロバイダーが関与する複雑なサプライチェーンを形成しており、設備停止や知的財産流出、生産障害を防ぐ観点からサイバーセキュリティ上のリスクが非常に高いと考えられています。
こうした背景から、サプライチェーン全体が協調して取り組めるようSEMI E187が策定されました。

要求事項は大きく以下4分野に整理されています。

• オペレーティングシステム（OS）
• ネットワークセキュリティ
• エンドポイントの保護
• セキュリティ監視

この規格は、一般産業用制御システムを対象とする先のIEC 62443シリーズと一定の関連性がありつつも、半導体製造装置という高価値、高稼働率が求められる装置群に特化しており、OS、ネットワーク、端末保護、モニタリングという装置レベルでの技術要求を定めています。

製造装置を提供するサプライヤー、Sier、ユーザ（半導体製造施設を運営する企業）にとって「最低限押さえておくべきセキュリティ要件セット」として実務的な価値を持ちます。設備仕様書、契約条件、サプライチェーン管理の観点からも活用可能な規格です。

■ISO 21434

国際標準化機構（ISO：International Organization for Standardization）により規格化された、自動車やその構成部品、ソフトウェアのサイバーセキュリティに関わる部分のための業界標準規格です。

半導体産業と同様に、自動車産業においても、コネクテッド化、ソフトウェア化、通信機能化、モビリティサービスとの連携など、従来の閉じた製品とサプライチェーンの構造から大きく変化しています。
こうしたなかで、車両そのものおよびそのサプライチェーンに対するサイバー攻撃リスクが増大した結果、単なる安全機能（機能安全：ISO26262）では規格として不十分となり、サイバーセキュリティの保証が不可欠となりました。こうした背景を受けて、自動車分野におけるサイバーセキュリティ保証の共通言語、共通枠組みを提供することを目的としてISO 21434は規格化されました。

サイバーセキュリティマネジメント（ガバナンスなど）、サイバーセキュリティ活動（リスク評価手法など）、サイバーセキュリティ設計（製品設計への落とし込み）、実装、検証と妥当性確認、インシデント対応などの章立てから成っています。

この規格は、一般産業用制御システムを対象とする先のIEC 62443シリーズとの比較において、リスクベース評価方法、多層防御、組織的マネジメントを要求している、などの一定の関連性がありつつも、IEC62443シリーズよりも設計、開発段階でのセキュリティの埋め込み（Secure by Design）に重点が置かれています。

コネクテッド車両時代の自動車製造や部品製造供給のサプライチェーン全体にとって、車両、部品、ソフトウェアのセキュリティを保証するための基盤として、業界標準として位置付けられています。

■CYBER RESILIENCE ACT（CRA）

欧州連合が定めた、デジタル要素を有するあらゆる製品（ハードウェア、ソフトウェアで無線機能の有無によらない）に対してサイバーセキュリティ要件を定める、包括的な規制枠組みで、2024年10月に正式採択された規則（Regulation(EU) 2024/2847）です。2027年までに規格化、義務化することが見込まれています。

現在、市場に出回る多くのハードウェア、ソフトウェア製品（特に接続機能を持つもの）は、サイバーセキュリティ対応が十分でないまま流通しており、サイバーインシデント、脆弱性の増加、性能低下、サービス中断リスクが高まっていました。CRAはこのギャップを埋め、製品ライフサイクルを通じて適切なセキュリティを確保し、消費者や企業が安全にデジタル製品を使用できる環境を整備することを目的としています。

デジタル要素を有する製品の製造業者に対し、以下のような義務付けをするものです。

• 設計段階から「セキュリティの既定化（Secure by Default）」「セキュリティを埋め込んだ設計（Secure by Design）」の実装
• 既知の脆弱性への対応
• 更新、パッチ提供
• セキュリティインシデント報告義務

CRAそのものはREDなどと同様の原則論の束です。そのため規制の抽象度が高く、実際には各製品、ソフトウェアや役務などを直接拘束しうるものではありません。各製品、市場、用途に応じた技術仕様、整合規格が別途整備されるか、既存のサイバーセキュリティ規格をもってCRA要件実施の規格とすることとなります。

例えば無線機能を有する製品については、上述のEN18031を遵守することでCRAへの適合と見なすこととなる見込みです。

むすび

サイバーセキュリティ規格の提唱や公布、法制化と施行は、整理整頓されているとは言い難い状況です。特定製品や役務の適合について、ご不明点がありましたらお気軽にご相談ください。

消費財検査部門　グローバルマーケットアクセス事業部