REDサーバーセキュリティ規格(EN 10831-1)のACM(アクセス制御メカニズム)他とは!

A.アクセス制御メカニズム(ACM: Access Control Mechanism)
アクセス制御メカニズム(Access Control Mechanism)は、情報システムやリソース(ファイル、データベース、アプリケーション、ネットワークサービスなど)へのアクセスを管理・制限するためのメカニズム(仕組み)や手法の総称です。

⇒これにより、承認されたユーザーやプロセスのみが必要な情報や機能にアクセスできるようになり、ACM情報セキュリティが確保される。


A-1アクセス制御メカニズム(ACM)の「複数の要素」から構成される。
1. 識別(Identification): ユーザーやプロセスが「誰であるか」を特定するプロセスです。
 ⇒ユーザー名などがこれに該当します。
2. 認証(Authentication): 識別されたユーザーが主張する本人であることを確認するプロセスです。
 ⇒パスワード、生体認証(指紋、顔認識)、ICカード、多要素認証などが用いられます。
3. 認可(Authorization):
 認証されたユーザーが、特定のリソースに対してどのような操作(読み取り、書き込み、実行、削除など)を許可されているかを決定するプロセスです。
 ⇒これがアクセス制御の核となる部分です。
4. 監査(検証プロセス)/説明責任(Auditing/Accountability):
アクセス試行やリソースへのアクセス履歴を記録し、後で確認できるようにするプロセスです。
 不正アクセスや誤操作の追跡、セキュリティポリシーの遵守状況の評価に役立つ。


*A-2 参考:アクセス制御モデルの主な種類
アクセス制御メカニズムには、さまざまなモデルがある。
1. 任意アクセス制御 (DAC: Discretionary Access Control):
リソースの所有者が、そのリソースへのアクセス権限を他のユーザーに自由に付与したり剥奪したりできるモデルです。
* 例: ファイルシステムのパーミッション(読み取り、書き込み、実行権限を所有者、グループ、その他に設定)
2.強制アクセス制御 (MAC: Mandatory Access Control):
システム管理者やセキュリティポリシーによって、すべてのリソースとユーザーにセキュリティラベル(機密レベルなど)が割り当てられ、このラベルに基づいてアクセスが強制的に制御されるモデルです。
* ユーザーが自由にアクセス権限を変更することはできません。
* 主に高セキュリティを要求される政府機関や軍事システムなどで利用されます。
3.ロールベースアクセス制御 (RBAC: Role-Based Access Control):
ユーザーに直接権限を付与するのではなく、「ロール(役割)」に対してアクセス権限を割り当て、ユーザーをそのロールに紐付けるモデルです。
* 例: 「経理部長」「営業担当者」「一般社員」といったロールを作成し、それぞれのロールに必要な権限を付与する。ユーザーが異動などで役割が変わった場合でも、ユーザーとロールの紐付けを変更するだけで簡単に権限を管理できます。多くの企業システムで採用されている。
4.属性ベースアクセス制御 (ABAC: Attribute-Based Access Control):
* ユーザー、リソース、環境などの「属性(Attribute)」に基づいてアクセスを決定する、より柔軟なモデルです。
* 例: 「午前9時から午後5時の間に、本社オフィスから、経理部の社員のみが、高機密の財務データにアクセスできる」といった、複数の条件を組み合わせてアクセスを制御する。


B. EN 18031-1の6.2項 [AUM:Authentication  Mechanism] 認証メカニズム
この規格の6.2項で言及される認証メカニズムは、無線機器が正当なユーザーやデバイスからのアクセスのみを許可し、不正なアクセスを防ぐための仕組みを指す。
具体的には、以下の点が含まれると考えられる。
1.アクセス制御: 誰が、どのような権限で機器にアクセスできるかを管理する。
認証の強度: パスワード、生体認証、多要素認証など、認証に使用される方法の堅牢性。
2.ログ記録: 認証試行やアクセスに関する情報を記録し、セキュリティ監査やインシデント対応に役立てる。


B-1 認証メカニズム(AUM)の構成要素
a)主な構成要素は以下の通りです。
1. 認証主体(Supplicant / Client):
これは、無線機器へのアクセスを試みるユーザーまたはデバイス(例:スマートフォン、PC、スマート家電など)を指す。
・認証情報を提示する役割を担う(例:ユーザー名、パスワード、証明書など)。
2. 認証器(Authenticator / Network Access Device):
・ 無線LANアクセスポイントやスイッチなどのネットワーク機器がこれにあたります。
・ 認証主体からの認証要求を受け取り、認証サーバーとの間で認証情報を中継します。
・ 認証サーバーからの結果に基づいて、認証主体のネットワークアクセスを許可または拒否する役割を持つ。
3. 認証サーバー(Authentication Server):
・ ユーザー情報やデバイス情報などをデータベースとして持ち、認証の可否を判断するサーバーです。
・ 通常、RADIUS(Remote Authentication Dial-In User Service)サーバーなどが用いられる。
・ 認証器から受け取った認証情報を検証し、認証結果を認証器に返す。
これらの要素が連携して、無線機器へのアクセスが正当なものであるかを確認し、不正なアクセスを排除する。
b)また、認証メカニズムを構成する具体的な「認証要素」としては、以下のものが挙げられる。
・知識情報(Knowledge Factor): パスワード、PINコード、秘密の質問など、ユーザーが知っている情報。
・所持情報(Possession Factor): スマートフォン、セキュリティトークン、ICカード、・デジタル証明書など、ユーザーが持っているもの。
・生体情報(Inherence Factor): 指紋、顔認証、虹彩認証など、ユーザーの身体的特徴。
⇒EN 18031-1では、これらの認証要素の強度や、多要素認証(複数の異なる種類の認証要素を組み合わせる)の採用などが評価の対象となることがある。


C. EN 18031-1の6.3項 [SUM: Secure Update Mechanism] セキュアな更新メカニズム
これは、無線機器のファームウェアやソフトウェアの更新を安全に行うための仕組みに関する要件です。無線機器は一度展開されると、長期間にわたって使用されることが多いため、新たな脆弱性の発見や機能改善のために、定期的な更新が必要になる。
⇒この更新プロセスが安全でない場合、機器が不正なファームウェアに置き換えられたり、「マルウェア」に感染したりするリスクがある。


C-1 セキュアな更新メカニズム(SUM)の重要なポイント
(1)更新の認証(Authenticity):
更新ファイルが、信頼できる正規のベンダーや開発元によって提供されたものであることを確認する。通常、デジタル署名やハッシュ値の検証によって行われます。
(2)更新の完全性(Integrity):
更新ファイルが、転送中に改ざんされていないこと、または破損していないことを確認する。チェックサムやハッシュ値の検証が用いられます。
(3)更新の機密性(Confidentiality):
必要に応じて、更新ファイルの内容が不正な第三者に漏洩しないように暗号化される。
(4)ロールバック保護(Rollback Protection):
古い、脆弱性のあるバージョンへのダウングレード攻撃を防ぐための仕組み。通常、ファームウェアのバージョン管理によって行われます。
(5)更新中の保護(Protection during Update):
更新プロセス中に機器が不安定になったり、不正な状態になったりすることを防ぐためのメカニズム。
(6)回復メカニズム(Recovery Mechanism):
更新に失敗した場合に、機器が機能停止するのを防ぎ、以前の安定した状態に回復できる仕組み。


C-2 セキュアな更新メカニズム(SUM)の構成要素
1. 更新ファイルの信頼性検証(Authenticity and Integrity Verification):
デジタル署名(Digital Signature): 更新ファイルが、正当な発行元(ベンダーなど)によって署名されていることを検証する。これにより、ファイルが改ざんされていないことと、不正な第三者によって作成されたものでないことを確認できる。
ハッシュ値(Hash Value): 更新ファイルのハッシュ値(例:SHA-256)を計算し、提供された既知のハッシュ値と比較することで、ファイルが転送中に破損したり、意図的に改ざんされたりしていないことを確認する。
2. 暗号化(Encryption):
更新ファイルの内容が機密性の高い情報を含む場合や、不正な第三者による解析を防ぐために、更新ファイルを暗号化して配信することがあります。これにより、更新プロセス中の情報の漏洩を防ぐ。
3. バージョン管理とロールバック保護(Version Management and Rollback Protection):
4. ファームウェアバージョンチェック:
機器が受信した更新ファイルのバージョンが、現在インストールされているファームウェアのバージョンよりも新しいものであることを確認する。
ロールバック保護: 攻撃者が古いファームウェア(既知の脆弱性を持つ可能性のあるバージョン)に機器をダウングレードするのを防ぐメカニズム。これにより、以前に修正されたセキュリティ脆弱性が再導入されることを防ぐ。
5. 安全な転送プロトコル(Secure Transfer Protocol):
更新ファイルのダウンロードにHTTPS(TLS/SSL)やSFTPなど、暗号化された安全な通信プロトコルを使用する。これにより、転送中の盗聴や改ざんを防ぐ。
6. 更新中の堅牢性(Robustness during Update):
更新プロセス中に電源が失われたり、通信が途絶えたりした場合でも、機器が回復不能な状態に陥らないようにするメカニズム。デュアルバンクメモリ(A/Bパーティション)や、セキュアブートローダーの利用などがこれに該当する。
7. 回復メカニズム(Recovery Mechanism):
更新が失敗した場合に、機器が以前の正常な状態に自動的に復元できる仕組み。これにより、更新失敗による機器の機能停止を防ぎ、サービスの継続性を確保する。


C-3 参考:セキュアな更新メカニズム(SUM)の例
1. スマートフォンのOSアップデート (例: iOS/Android)
更新ファイルの信頼性検証: AppleやGoogleがデジタル署名を用いてファームウェアやOSの更新ファイルを署名する。デバイスは、この署名を検証して、更新が正規のものであることを確認する。
更新の完全性: ダウンロードされたファイルのハッシュ値が検証され、ファイルが破損または改ざんされていないことを確認する。
暗号化された転送: 更新ファイルは通常、HTTPSなどの暗号化されたチャネルを通じてダウンロードされます。
ロールバック保護: 古いOSバージョンへのダウングレードは通常、防止されます。
回復メカニズム: 更新中に問題が発生した場合、安全な復旧モードやリカバリパーティションからの起動が可能です。一部のデバイスでは、A/Bパーティション更新メカニズム(デュアルシステムパーティション)を採用しており、一方のパーティションで更新中に、もう一方のパーティションで元のOSを実行し続け、更新失敗時には元のパーティションに戻れるようにしている。
2. IoTデバイスのファームウェア更新 (例: スマート家電、ネットワーク機器)
OTA (Over-The-Air) アップデート: 多くのIoTデバイスは、ネットワーク経由でファームウェアを更新する。
信頼性検証: デバイスは、ベンダーが提供するデジタル署名を検証して、更新ファイルの出所と完全性を確認する。署名が無効な場合は、更新は拒否される。
セキュアブートとセキュアファームウェア: 多くのIoTデバイスは、起動時にファームウェアの署名を検証するセキュアブート機能を備えている。これにより、不正なファームウェアがロードされるのを防ぐ。
A/Bパーティション: 一部の高度なIoTデバイスや車載システムでは、上記スマートフォンと同様のA/Bパーティション更新が採用され、更新の信頼性と回復力を高めている。
差分更新(Delta Update): 全てのファームウェアをダウンロードするのではなく、変更点のみをダウンロードして適用することで、更新プロセスを効率化し、通信量を削減する。
3. 自動車のOTAソフトウェア更新 (例: Tesla)
Teslaのようなコネクテッドカーは、定期的にソフトウェアのOTA更新を受けている。
エンドツーエンドのセキュリティ: 更新ファイルは、生成元から車両まで暗号化され、デジタル署名が施されている。
厳格な検証プロセス: 車両のECU(電子制御ユニット)は、更新ファイルの信頼性と完全性を厳密に検証する。
冗長性と回復: 更新中に問題が発生しても、車両が動作不能にならないように、冗長なシステムや回復メカニズムが組み込まれている。

REDサイバーセキュリティ要件「EN 18031-1」適合の判定方法!

*EN 18031シリーズにおける各メカニズム要求の合否判定は下のような手順です。


下の「3つの評価タイプ」と、規格内に記載されている「決定木(Decision Tree)」で行われる。
A.評価タイプ:3つの評価
1.概念評価 (Conceptual Assessment)
2.機能完全性評価 (Functional Completeness Assessment)
3.機能十分性評価 (Functional Sufficiency Assessment)


1.概念評価 (Conceptual Assessment
(1)焦点: 「文書」の審査
(2)方法: 製造業者がセキュリティ要件をどのように解釈し、それらを実施する計画を立てているかを自社内、またはNBが審査することにある。
 即ち、製造業者がセキュリティ要件を包括的に理解しているかを確認すること。

(3)合否判定: 提出されたドキュメントが規格の意図するセキュリティ要件を十分に理解し、計画されていることを示しているかどうかに基づいて判断される


2.機能完全性評価 (Functional Completeness Assessment):
(1)焦点: デバイスおよびそのセキュリティ機能に関するすべての側面が適切に文書化され、内容に反映されているかどうかを確認する。
(2)方法: 例えば、ネットワークスキャナーを用いて、すべての外部インターフェースが正しく識別されているかを検証するなど。
(3)合否判定: 関連するセキュリティ機能やインターフェースが適切に特定され、文書化されているかどうかに基づいて判断されます。欠落や不備があれば不合格となる。


3.機能十分性評価 (Functional Sufficiency Assessment):
(1)焦点: 一歩進んで、セキュリティ対策が実際に実施され、その結果が調査される。
(2)方法: この評価では、実践的な試験がよく行わる。例えば、ネットワークインターフェースの堅牢性をチェックするためにファジングテストなどが実施される。
(3)合否判定: 実際に製品をテストし、実装されたセキュリティメカニズムが期待される機能と耐性を持っているかどうかを確認する。テスト結果が規格の要件を満たさない場合、不合格となる。


B. 決定木(Decision Tree)
EN 18031シリーズでは、意思決定および評価において明確な指針を与えるべく、決定木による方式を採用している。
(1)ほとんどの決定木は、対象機器を起点とし、その後に要素(「資産」など)が続き、順番に決定されていく。
(2)各要素において、機器の特性や関連する環境要因に関する質問が提示され、それに回答することで分岐より、決定が進む。
(3)各決定木は、少なくとも1つ以上の「合格(PASS)」および「不合格(FAIL)」の経路になっている。また、必要に応じて、1つ以上の「該当なし(NOT APPLICABLE)」の経路を設けることができる。


*合否を判断の例
例えば、「アクセス制御メカニズム(ACM)」の評価では、①まず「概念評価」でアクセス制御の設計思想が適切か、次に②「機能完全性評価」で必要なアクセス制御機能が「すべて文書化」されているか、最後に③「機能十分性評価」で実際にアクセス制御が正しく機能するか(不正アクセスが防止されるかなど)が確認される。これらの評価段階で決定木に従って質問に回答し、最終的な合否を判断する。

RED、「サイバーセキュリティ要件」の整合規格(EN 18031-1,-2,-3)を適用!2025月8月1日から

EU、RED(無線機器指令)、「サイバーセキュリティ要件」の整合規格として、「EN 18031シリーズ」が「2025年1月30日」に発効になった。
尚、この整合規格の要求に適合すれば、「モジュールAの適合評価手順」(自己認証)を選択できます。
⇒2025年8月1日から、REDのサイバーセキュリティ要件が義務化になります。
(不適合の場合、製品の押収、罰金、市場からの製品の撤回、およびブランドの評判の低下などの措置が取られる可能性があります 。)
EU公式、サイバーセキュリティ要求EU公式サイトから引用


*EN 18031シリーズの適用範囲
・EN 18031シリーズは、家電製品、スマートホーム製品、コネクテッド家電、ウェアラブルヘルスモニター、IoT 対応産業機器、デジタルおよびコネクテッド消防機器、決済および金融機器、エンターテインメントおよび教育製品など、広範なインターネット接続無線機器のカテゴリに適用されます 。具体的な例としては、スマートフォン、タブレット、スマート TV、スマートカメラ、ウェアラブルデバイス、スマートホームデバイス、スマート冷蔵庫、ワイヤレス決済端末、コネクテッドトイ、ベビーモニター、電子ペット追跡装置などが挙げられます 。
・ただし、軍事用途専用のデバイス、特定の分野の枠組み(民間航空や自動車システムなど)で規制されている機器、および他の EU 規制の対象となる医療機器など、RED のサイバーセキュリティ要件から除外される製品カテゴリもあります 。


*EN 18031シリーズの要求事項
・この整合規格の要求事項
は、「メカニズム」であり、ソリューションではない。
以下の3規格です。
1. EN 18031-1:2024 ( パート 1: インターネット接続無線機器)
   、RED の第 3 条第 3 項 (d) に対応します
RED-サイバーセキュリティ規格

この規格では、インターネットに接続された無線機器の「一般的なセキュリティ要件」を規定しています。
尚、この規格では、製品が「直接通信するか他の機器を介して通信するかに関係なく、インターネット経由で通信できる電気電子製品」に関する無線機器のセキュリティ要件を規定している。
以下のような要求事項(6章)がある。:

(1)アクセス制御メカニズム:デバイスへの不正アクセスを制限するメカニズムである。
(2)認証メカニズム:ユーザーの身元を確認するための堅牢なシステムであること。
(3)機密な更新メカニズム:ファームウェアとソフトウェアを安全にアップデートできるメカニズムにする。
(4)安全なストレージメカニズム:改ざんや侵害からデータを保護する。
(5)安全な通信メカニズム:データ転送プロセスを保護する。
(6)復元メカニズム:システム障害やサイバー攻撃に対する耐性を備える。
(7)ネットワーク監視メカニズム:異常を検出するための継続的な分析を行う。
(8)トラフィック制御メカニズム:データフローを効果的に管理する。
(9)機密暗号キー:暗号資産を安全に保管する。
(10)一般的な機器の機能:さまざまな機能にわたる機能セキュリティを確保する。
2.EN 18031-2:2024 (パート2:無線機器のデータ処理データ、-インターネット接続無線機器、育児無線機器、玩具無線機器、ウェアラブル無線機器等)尚、RED の第 3 条第 3 項 (e) に対応します 。
REDサイバーセキュリティ規格
「個人データ、トラフィック データ、または位置データ」を処理する無線機器の共通セキュリティ要件です。
そして、インターネットに接続された無線機器、育児専用に設計または意図された無線機器、玩具、ウェアラブル無線機器のいずれかです。
この規格は、個人データ、トラフィック データ、または位置データを処理する無線機器の技術仕様を提供します。
これは、インターネット経由で通信できる電気電子製品に関するもので、これらの製品が直接通信するか、他の機器を介して通信するかに関係なく、育児、玩具、またはウェアラブル無線機器に関するものです。
この範囲は、欧州議会および理事会の指令 (EU) 2018/1972 で定義される公共電子通信ネットワークおよび公的に利用可能な電子通信サービスのプロバイダーが使用する 5G ネットワーク機器には適用されない。
この規格には、以下のような要求事項(6章)がある。
(1)アクセス制御メカニズム:通常はアクセスレベルと権限設定を通じて、許可された担当者のみが無線機器のコンポーネントを操作したり、データを管理したりできるようにする。 
(2)認証メカニズム:整合性とセキュリティを維持するために、ユーザーIDまたはデバイスの検証を行う
(3)安全な更新メカニズム:改ざんや悪意のあるソフトウェアによるアクセスを防止するため、暗号化され認証されたアップデートを行う。 
(4)安全なストレージメカニズム:データストレージを不正アクセスや潜在的な脆弱性から保護する。
(5)安全な通信メカニズム:デバイス間のデータ転送における暗号化とセキュアプロトコルを使用する。
(6)ログ記録メカニズム:監査と監視のために、ユーザーによる操作やシステム変更の記録する。
(7)削除メカニズム:データが完全に削除または消去され、機密情報の痕跡が残らないようにする。
(8)ユーザー通知メカニズム:セキュリティまたは機能に関する懸念事項についてユーザーに通知する。
(9)機密暗号キー:データセキュリティに不可欠な暗号鍵の安全な取り扱いと保管を規定する。
(10)一般的な機器の機能:セキュリティおよび安全性の基準を遵守しながら、基本的な機能を確保する機能を持つ。
3.EN 18031-3:2024 (パート 3: インターネット接続無線機器が仮想通貨または貨幣価値を処理する機器)
尚、 RED の第 3 条第 3 項 (f) に対応します。
REDサイバーセキュリティ規格
この規格対応機器により、所有者またはユーザーは、「お金、金銭的価値、または仮想通貨を転送」できます。
この規格では、仮想マネーまたは金銭的価値を処理する無線機器のセキュリティ仕様を示します。
この仕様は、これらの製品が直接通信するか、他の機器を介して通信するかに関係なく、インターネット経由で通信できる電気電子製品に適用されます。
この規格には、以下のような要求事項(6章)がある
(1)アクセス制御メカニズム:厳格な制御手段を導入し、許可されたユーザーのみが機器の重要なシステムまたは機能にアクセスできるようにする。
(2)認証メカニズム:不正使用を防止するため、ユーザーとデバイスの安全な認証を実施する。
(3)安全な更新メカニズム:ファームウェアまたはソフトウェアの更新が検証、暗号化、および認証され、脆弱性の導入を防止する。
(4)安全なストレージメカニズム:個人情報や動作パラメータなどの機密データを不正アクセスや改ざんから保護する。
(5)安全な通信メカニズム:通信の傍受や改ざんを防ぐために、暗号化されたデータ転送プロトコルを使用する。
(6)ログ記録メカニズム:監査証跡とセキュリティ監視を容易にするため、システムアクティビティとアクセス試行の詳細なログ記録を行う。
(7)機密暗号鍵:暗号鍵の安全な取り扱いと保管に焦点を当て、漏洩や不正使用を防止する。
(8)
一般的な機器の機能:基本的な安全性と運用機能を網羅し、機器の本来の用途に加えて、セキュリティ要件への準拠を確保する。
(9)
暗号化:堅牢な暗号化方式を適用することで、保存時および転送中のデータを保護し、データ漏洩や不正開示のリスクを最小限に抑える。


*各整合規格の各メカニズム要求の実装可否について


・対象製品の目的・機能状況により、要求のメカニズム実装(適用の適切性や強度)が異なる。本規格の規定(適用や各メカニズムのリスクアセスメント)により、実装可否を判定をする。判定は主にメーカになる。
この判定は、製品の意図する用途とメーカが各メカニズムのおける「リスクアセスメント」に基づいて決定するため、対象の製品が下のような場合は異なることになります。
・高リスク機器:緊急サービスで使用される無線通信機器
・低リスク機器:温室の単純な温度センサーのような機器


*関連URL
Decision (EU) 2025/138:RED(2014/53/EU)のサイバーセキュリティに関連する整合規格実施決定法.

EU、無線機器指令において、「サイバーセキュリティ要件」を義務化!2025年8月1日

*無線機器指令(RED)において、「サイバーセキュリティ対応についての修正規則(EU 2022/30)」は「2025年8月1日」から義務化される。


無線機器指令の「第3条(3)、ポイント(d)、(e)および(f)に記述されている必須要件」について、本規則で、義務化した。
・これらの新たな要件は、ネットワーク保護、個人データおよびプライバシーの保護、そして不正行為の防止に対処するものです 。

・この修正規則は、他の種類の無線機器の中でも、IoT デバイスや産業用制御システムに適用される。


*「3つの本質要件」と「適用(対象)機器」
*修正規則(EU 2022/30)の「3つの追加の本質要件」
 1. 「ネットワーク」および「ネットワーク機能」への「危害」からの保護:直接、または他の機器を介して、インターネットに通信できる無線機器
 2. ユーザーおよび加入者の「個人データ」と「プライバシー」の保護:①RED第3条、3項(b)、(c)又は(d)に規定する以外のインターネット接続無線機器、②保育専用に設計または意図された無線機器、③
玩具指令の対象機器、④人体、または帽子、手着、履物など、人間が着用する衣服などに装着する無線機器
 3.詐欺(不正アクセス)行為からの保護:「金銭、金銭的価値、または仮想通貨を送金できる」インターネットに接続された無線機器


*無線機器への要件
1.ネットワーク保護について
・ネットワークやその機能に悪影響を与えない。
・ネットワークリソースを悪用しない。
・許容できないサービスの低下を引き起こさない。
2.データプライバシーの保護について
・ユーザーと加入者のプライバシーを保護するための保護手段が組み込まれている。
3.不正行為への保護について
・不正行為から確実に保護する機能が含まれている。


*整合規格(2025年1月30日発効)
・このサイバーセキュリティ要件への適合性の整合規格として、EN 18031シリーズが2025年1月30日に発効された。
・EN 18031 を通じて適合性を示すことは、EU の消費者にとってより安全でセキュアなデバイスを保証するのに役立ちます。
1.EN 18031-1:インターネット接続無線機器のネットワーク保護
2.EN 18031-2:個人データを処理する無線機器のデータ保護
3.EN 18031-3:仮想通貨または金銭的価値を扱う無線機器の不正防止
・参考規格:ETSI EN 303645:消費者用IoTのサイバーセキュリティ基本要件


*関連URL
・修正規則(EU)2022/30.:RED指令の修正規則:EUサイバーセキュリティ規則
・修正規則(EU)2023/2444:(EU)2022/30の適用日の修正


・整合規格:ETSI EN303 645v2.1.1 (Cyber Security for Consumer Internet of Things : Baseline Requirements).原文


 

 

RED(無線機器指令)の整合規格リストを更新!2022年11月10日付

*EUの「OJ L 289- 10/11/2022」において、RED(無線機器指令)の整合規格が更新されている。
・附属書 Iは、163の規格が追加
・附属書 II は、有効日の変更の3規格
・附属書 IIIには、破棄される22規格と破棄日


EU:OJ L 289 – 10/11/2022のWEB

COMMISSION IMPLEMENTING DECISION (EU) 2022/2191


*関連URL
 ・Commission Implementing Decision (EU) 2022/2191

 


「お問合せ」
・規格試験/事前評価などをサポートしております。
お気軽に「お問合せ」ページから、ご連絡下さい

サイバー レジリエンス法で、NB認証が必須なデジタル製品は何か!

*本EU法では、NB認証が必須な「重要デジタル製品(インターネット通信製品)」がある。
・「重要デジタル製品」に指定されていない場合は自己宣言、またはNB認証の選択が可能である。


*NB認証の可否について


1. 「重要なデジタル製品以外のデジタル製品」
  ・本法の付属書Ⅲに記載のないデジタル製品
  → 自己適合宣言、又はNB認証かを選択できる。

2.「重要なデジタル製品クラスI(低リスク)製品
  a) EUCCやE欧州整合化規格に適合する場合
   → 
自己適合宣言、又はNB認証かを選択可能
     b) EUCC準拠やEN整合規格に適合していない場合
         → NB認証の取得が必須
3. 「重要なデジタル製品クラスII(高リスク)製品
   → NB認証が必須である。


*重要デジタル製品(クラスⅠ、Ⅱ)に指定されている機器


・付属書Ⅲに記載されているデジタル製品である。(クラスⅠ、Ⅱ分類)
・下図の製品が重要なデジタル製品に該当する。

サイバー レジリエンス法の重要デジタル製品


「お問合せ」
・CEマーキングをサポートしております。
お気軽に「お問合せ」ページから、ご連絡下さい


 

ドローンはEMC指令、RED指令などの適合が必要です!

ドローン
*EUでは、ドローン(Unmanned aircraft systems)に関する「ドローン規則」が発行されている。
・規則 (EU) 2018/1139 :民間航空の分野における共通規則、欧州連合航空安全機関の設立、および規則改正
・規則 (EU) 2019/945:無人航空機システムおよび無人航空機システムの第三国のオペレーターについて


*ドローン規制では、「EMC指令、RED指令などへ適合」が要求される!
・規則 (EU) 2018/1139の(29)に記述。
・尚、整合規格は開発中のようですが、現在、下の規格で評価しているようです。


*EU内EMC試験所では下のEMC規格により、評価しているようです。
 a)EMC(2014/30/EU): EN 55032 & EN 55035
 b)RED(2014/53/EU): EN 301-489-XY(XYは無線の種類で異なる)


*関連ページ
EN 55032.
EN 55035.
EN 301-489-1.


「お問合せ」
・EMC試験/事前評価などをサポートしております。
お気軽に「お問合せ」ページから、ご連絡下さい

EMC指令の整合規格リストを更新!2022年6月9日付


*この更新に関係する機器は以下です。


(1)スイッチ、断路器、スイッチ-断路器及びヒューズコンビネーションユニット
・低圧開閉器及び制御装置-第3部:スイッチ、断路器、スイッチ-断路器及びヒューズコンビネーションユニット」 :
  EN IEC 60947-3:2009/A1:2012”2023年12月10日破棄” →EN IEC 60947-3:2021 
(2)携帯電話用外部電源(EPS):スマホ用ACアダプタ
電磁両立性及び電波スペクトルに関する事項(ERM);無線機器及びサービスに関する電磁両立性(EMC)規格;パート34:携帯電話用外部電源(EPS)に対する特定の条件
 EN 301 489 -34 V1.4.1 ”2023年12月10日破棄”


*関連URL
・COMMISSION IMPLEMENTING DECISION (EU) 2022/910 of 9 June 2022.


「お問合せ」


・CEマーク適合をサポートしております。
お気軽に「お問合せ」から、ご連絡下さい

人体への電磁波照射(人体暴露)に関する規制に、どのような規格があるか!

*EUでは電磁波による人体暴露に関する主な指令、及び規格がある!


1.LVD指令:製品安全に関する低電圧指令


(1)EN 62311
・「電気電子機器」の電磁界(0Hz~300GHz)での人体曝露制限に関する評価

(2)EN 62479
・「低電力電気電子機器」の電磁界(10MHz~300GHz)に対する人体暴露に関する適合性評価
(3)EN 62493
・「照明機器」の人体への曝露に関する評価

(4)EN 50364
・「万引き監視システム
(EAS)、無線自動識別(RFID)及び類似の用途に使用される機器」の電磁界(10MHz~300GHz)での人体露出の制限
:電磁界への人の露出の制限

(5)EN 50445
・「抵抗溶接,アーク溶接及びその関連工程の装置」が,電磁界(0 Hz~300 GHz)での人体曝露に関する基本的な制限
(6)EN 62233
・「家庭用電気機器及び類似機器」の人体曝露に関する電磁界の測定方法


2.RED指令:無線機器に関する指令


(1)EN 50360
・「耳の近くで使用される無線機器」の電磁界(300MHzから6GHz)の周波数範囲におけるへの人間の曝露に関する基本的な制限及び曝露限度値への適合
(2)EN 50566
・「人体に近接する手持ち、及び身体装着型の無線通信機器」における,電磁界(30MHzから6GHz)の周波数範囲におけるへの人体の曝露に関する基本的な制限及び曝露限度値に適合


3.EMF指令(2013/35/EU):労働者の作業中に関する無線機器指令


・労働者の作業中における電磁界暴露から生じる,又は生じる可能性のある健康及び安全に対するリスクから労働者を保護するための最低要件を規定


4.EMC指令:(機器間に関する電磁環境適合性)


・なし


「お問合せ」先
お気軽に「お問合せ」から、ご連絡下さい

無線機器指令の共通EMC規格は固定・車両・携帯の用途により、試験項目が異なる!

*無線機器指令の3.1(b)要求されている共通EMC規格「ETSI EN 301 489-1」は、用途により、試験項目が異なる。
・無線機器のEMC試験のテストプラン作成時にチェックしよう。
・以下の表のごとくです。
REDの共通EMC規格(ETSI EN 301 489-1)の用途別試験項目


「お問合せ」
・EMC試験/事前評価を「実地サポート」します。