サイバーセキュリティ eu – EMC & Safety Technical Consultant Japan

REDサイバーセキュリティ要件「EN 18031-1」適合の判定方法！

＊EN 18031シリーズにおける各メカニズム要求の合否判定は下のような手順です。

下の「3つの評価タイプ」と、規格内に記載されている「決定木（Decision Tree）」で行われる。
A.評価タイプ：3つの評価
1.概念評価 (Conceptual Assessment)
2.機能完全性評価 (Functional Completeness Assessment)
3.機能十分性評価 (Functional Sufficiency Assessment)

1.概念評価 (Conceptual Assessment
(1)焦点: 「文書」の審査
(2)方法: 製造業者がセキュリティ要件をどのように解釈し、それらを実施する計画を立てているかを自社内、またはNBが審査することにある。
　即ち、製造業者がセキュリティ要件を包括的に理解しているかを確認すること。
(3)合否判定: 提出されたドキュメントが規格の意図するセキュリティ要件を十分に理解し、計画されていることを示しているかどうかに基づいて判断される。

2.機能完全性評価 (Functional Completeness Assessment):
(1)焦点: デバイスおよびそのセキュリティ機能に関するすべての側面が適切に文書化され、内容に反映されているかどうかを確認する。
(2)方法: 例えば、ネットワークスキャナーを用いて、すべての外部インターフェースが正しく識別されているかを検証するなど。
(3)合否判定: 関連するセキュリティ機能やインターフェースが適切に特定され、文書化されているかどうかに基づいて判断されます。欠落や不備があれば不合格となる。

3.機能十分性評価 (Functional Sufficiency Assessment):
(1)焦点: 一歩進んで、セキュリティ対策が実際に実施され、その結果が調査される。
(2)方法: この評価では、実践的な試験がよく行わる。例えば、ネットワークインターフェースの堅牢性をチェックするためにファジングテストなどが実施される。
(3)合否判定: 実際に製品をテストし、実装されたセキュリティメカニズムが期待される機能と耐性を持っているかどうかを確認する。テスト結果が規格の要件を満たさない場合、不合格となる。

B. 決定木（Decision Tree）
EN 18031シリーズでは、意思決定および評価において明確な指針を与えるべく、決定木による方式を採用している。
(1)ほとんどの決定木は、対象機器を起点とし、その後に要素（「資産」など）が続き、順番に決定されていく。
(2)各要素において、機器の特性や関連する環境要因に関する質問が提示され、それに回答することで分岐より、決定が進む。
(3)各決定木は、少なくとも1つ以上の「合格（PASS）」および「不合格（FAIL）」の経路になっている。また、必要に応じて、1つ以上の「該当なし（NOT APPLICABLE）」の経路を設けることができる。

＊合否を判断の例
例えば、「アクセス制御メカニズム（ACM）」の評価では、①まず「概念評価」でアクセス制御の設計思想が適切か、次に②「機能完全性評価」で必要なアクセス制御機能が「すべて文書化」されているか、最後に③「機能十分性評価」で実際にアクセス制御が正しく機能するか（不正アクセスが防止されるかなど）が確認される。これらの評価段階で決定木に従って質問に回答し、最終的な合否を判断する。

RED、「サイバーセキュリティ要件」の整合規格(EN 18031-1,-2,-3)を適用！2025月8月1日から

EU、RED(無線機器指令)、「サイバーセキュリティ要件」の整合規格として、「EN 18031シリーズ」が「2025年1月30日」に発効になった。
尚、この整合規格の要求に適合すれば、「モジュールAの適合評価手順」(自己認証)を選択できます。
⇒2025年8月1日から、REDのサイバーセキュリティ要件が義務化になります。
(不適合の場合、製品の押収、罰金、市場からの製品の撤回、およびブランドの評判の低下などの措置が取られる可能性があります。)
EU公式、サイバーセキュリティ要求 EU公式サイトから引用

＊EN 18031シリーズの適用範囲
・EN 18031シリーズは、家電製品、スマートホーム製品、コネクテッド家電、ウェアラブルヘルスモニター、IoT 対応産業機器、デジタルおよびコネクテッド消防機器、決済および金融機器、エンターテインメントおよび教育製品など、広範なインターネット接続無線機器のカテゴリに適用されます。具体的な例としては、スマートフォン、タブレット、スマート TV、スマートカメラ、ウェアラブルデバイス、スマートホームデバイス、スマート冷蔵庫、ワイヤレス決済端末、コネクテッドトイ、ベビーモニター、電子ペット追跡装置などが挙げられます。
・ただし、軍事用途専用のデバイス、特定の分野の枠組み（民間航空や自動車システムなど）で規制されている機器、および他の EU 規制の対象となる医療機器など、RED のサイバーセキュリティ要件から除外される製品カテゴリもあります。

＊EN 18031シリーズの要求事項
・この整合規格の要求事項は、「メカニズム」であり、ソリューションではない。
以下の3規格です。
1. EN 18031-1:2024 ( パート 1: インターネット接続無線機器)
尚、RED の第 3 条第 3 項 (d) に対応します。
RED-サイバーセキュリティ規格
この規格では、インターネットに接続された無線機器の「一般的なセキュリティ要件」を規定しています。
尚、この規格では、製品が「直接通信するか他の機器を介して通信するかに関係なく、インターネット経由で通信できる電気電子製品」に関する無線機器のセキュリティ要件を規定している。
以下のような要求事項(6章)がある。:
(1)アクセス制御メカニズム:デバイスへの不正アクセスを制限するメカニズムである。
(2)認証メカニズム:ユーザーの身元を確認するための堅牢なシステムであること。
(3)機密な更新メカニズム：ファームウェアとソフトウェアを安全にアップデートできるメカニズムにする。
(4)安全なストレージメカニズム：改ざんや侵害からデータを保護する。
(5)安全な通信メカニズム：データ転送プロセスを保護する。
(6)復元メカニズム：システム障害やサイバー攻撃に対する耐性を備える。
(7)ネットワーク監視メカニズム：異常を検出するための継続的な分析を行う。
(8)トラフィック制御メカニズム：データフローを効果的に管理する。
(9)機密暗号キー：暗号資産を安全に保管する。
(10)一般的な機器の機能：さまざまな機能にわたる機能セキュリティを確保する。
2.EN 18031-2:2024 (パート2:無線機器のデータ処理データ、-インターネット接続無線機器、育児無線機器、玩具無線機器、ウェアラブル無線機器等)尚、RED の第 3 条第 3 項 (e) に対応します。
REDサイバーセキュリティ規格
「個人データ、トラフィックデータ、または位置データ」を処理する無線機器の共通セキュリティ要件です。
そして、インターネットに接続された無線機器、育児専用に設計または意図された無線機器、玩具、ウェアラブル無線機器のいずれかです。
この規格は、個人データ、トラフィックデータ、または位置データを処理する無線機器の技術仕様を提供します。
これは、インターネット経由で通信できる電気電子製品に関するもので、これらの製品が直接通信するか、他の機器を介して通信するかに関係なく、育児、玩具、またはウェアラブル無線機器に関するものです。
この範囲は、欧州議会および理事会の指令 (EU) 2018/1972 で定義される公共電子通信ネットワークおよび公的に利用可能な電子通信サービスのプロバイダーが使用する 5G ネットワーク機器には適用されない。
この規格には、以下のような要求事項(6章)がある。
(1)アクセス制御メカニズム：通常はアクセスレベルと権限設定を通じて、許可された担当者のみが無線機器のコンポーネントを操作したり、データを管理したりできるようにする。
(2)認証メカニズム：整合性とセキュリティを維持するために、ユーザーIDまたはデバイスの検証を行う
(3)安全な更新メカニズム：改ざんや悪意のあるソフトウェアによるアクセスを防止するため、暗号化され認証されたアップデートを行う。
(4)安全なストレージメカニズム：データストレージを不正アクセスや潜在的な脆弱性から保護する。
(5)安全な通信メカニズム：デバイス間のデータ転送における暗号化とセキュアプロトコルを使用する。
(6)ログ記録メカニズム：監査と監視のために、ユーザーによる操作やシステム変更の記録する。
(7)削除メカニズム：データが完全に削除または消去され、機密情報の痕跡が残らないようにする。
(8)ユーザー通知メカニズム：セキュリティまたは機能に関する懸念事項についてユーザーに通知する。
(9)機密暗号キー：データセキュリティに不可欠な暗号鍵の安全な取り扱いと保管を規定する。
(10)一般的な機器の機能：セキュリティおよび安全性の基準を遵守しながら、基本的な機能を確保する機能を持つ。
3.EN 18031-3:2024 (パート 3: インターネット接続無線機器が仮想通貨または貨幣価値を処理する機器)
尚、 RED の第 3 条第 3 項 (f) に対応します。
REDサイバーセキュリティ規格
この規格対応機器により、所有者またはユーザーは、「お金、金銭的価値、または仮想通貨を転送」できます。
この規格では、仮想マネーまたは金銭的価値を処理する無線機器のセキュリティ仕様を示します。
この仕様は、これらの製品が直接通信するか、他の機器を介して通信するかに関係なく、インターネット経由で通信できる電気電子製品に適用されます。
この規格には、以下のような要求事項(6章)がある
(1)アクセス制御メカニズム：厳格な制御手段を導入し、許可されたユーザーのみが機器の重要なシステムまたは機能にアクセスできるようにする。
(2)認証メカニズム：不正使用を防止するため、ユーザーとデバイスの安全な認証を実施する。
(3)安全な更新メカニズム：ファームウェアまたはソフトウェアの更新が検証、暗号化、および認証され、脆弱性の導入を防止する。
(4)安全なストレージメカニズム：個人情報や動作パラメータなどの機密データを不正アクセスや改ざんから保護する。
(5)安全な通信メカニズム：通信の傍受や改ざんを防ぐために、暗号化されたデータ転送プロトコルを使用する。
(6)ログ記録メカニズム：監査証跡とセキュリティ監視を容易にするため、システムアクティビティとアクセス試行の詳細なログ記録を行う。
(7)機密暗号鍵：暗号鍵の安全な取り扱いと保管に焦点を当て、漏洩や不正使用を防止する。
(8)一般的な機器の機能：基本的な安全性と運用機能を網羅し、機器の本来の用途に加えて、セキュリティ要件への準拠を確保する。
(9)暗号化：堅牢な暗号化方式を適用することで、保存時および転送中のデータを保護し、データ漏洩や不正開示のリスクを最小限に抑える。

＊各整合規格の各メカニズム要求の実装可否について

・対象製品の目的・機能状況により、要求のメカニズム実装(適用の適切性や強度)が異なる。本規格の規定(適用や各メカニズムのリスクアセスメント)により、実装可否を判定をする。判定は主にメーカになる。
この判定は、製品の意図する用途とメーカが各メカニズムのおける「リスクアセスメント」に基づいて決定するため、対象の製品が下のような場合は異なることになります。
・高リスク機器：緊急サービスで使用される無線通信機器
・低リスク機器：温室の単純な温度センサーのような機器

EU,新サイバーセキュリティ指令(NIS2) 2024 年 10 月に施行！

EUの新サイバーセキュリティ指令(NIS2)は、「2024年10月18日」に施行です。

・この指令は、「EU域内でサービスを提供する事業体」、または「活動を行う中規模（従業員50名）以上の事業体」を対象にした規制で、「化学、医療機器、電気電子機器、光学機器、機械、自動車、輸送機器、宇宙、研究などの幅広い分野の事業体」を対象にして、義務を課すEU法です。
・この指令は、2022年12月に公布されており、各EU加盟国は「2024年10月17日」までに国内法に取り入れる必要がある。

＊NISからNIS2へ
・サイバーセキュリティ指令 2016/1148 (NIS)
　　⬇　置換(2024年10月18日)
・新サイバーセキュリティ指令2022/2555(NIS2)

＊NIS2の概要
1.　NIS2 では、スコープ内の事業体分野が大幅に拡張
化学品や医療機器の製造業者、食品加工業者、ソーシャルネットワークプロバイダーなど、NISでは該当しなかった幅広い事業体がNIS2の範囲になる。
2.　「必須サービスの運営者」と「デジタルサービスプロバイダー」は区別されなくなりました。代わりに、事業者のセクターと規模に基づいて「重要な事業体」と「重要な事業体」を区別します。本質的な事業体と重要な事業体の両方に同じ実質的な義務が適用されますが、重要な事業体はより厳格な執行および監督義務の対象となる。
3.　NIS2は、リスク管理(サプライチェーンリスク管理を含む)、サイバーインシデントの報告、および情報共有に関連して、「不可欠」および「重要な」事業体に新しいサイバーセキュリティ義務を課しています。対象となる事業体は、これらの新しい義務を遵守するために、新しいプロセスとポリシーを実装する必要があります。
4.対象となる事業体は、コンプライアンス違反に対してさまざまな執行命令や多額の罰金の対象となる可能性がある。
更に、NIS2は、会社の取締役会や役員などの「管理機関」に義務と個人責任を課す。

＊指令のURL
・新サイバーセキュリティ指令2022/2555(NIS2)

サイバーレジリエンス法で、NB認証が必須なデジタル製品は何か！

＊本EU法では、NB認証が必須な「重要デジタル製品(インターネット通信製品)」がある。
・「重要デジタル製品」に指定されていない場合は自己宣言、またはNB認証の選択が可能である。

＊NB認証の可否について

1. 「重要なデジタル製品以外のデジタル製品」
　　・本法の付属書Ⅲに記載のないデジタル製品
　　→　自己適合宣言、又はNB認証かを選択できる。
2.「重要なデジタル製品クラスI（低リスク）製品
　　a) EUCCやE欧州整合化規格に適合する場合
　　　→　自己適合宣言、又はNB認証かを選択可能
b) EUCC準拠やEN整合規格に適合していない場合
→　NB認証の取得が必須
３. 「重要なデジタル製品クラスII（高リスク）製品
　　　→　NB認証が必須である。

＊重要デジタル製品(クラスⅠ、Ⅱ)に指定されている機器

・付属書Ⅲに記載されているデジタル製品である。(クラスⅠ、Ⅱ分類)
・下図の製品が重要なデジタル製品に該当する。

サイバーレジリエンス法の重要デジタル製品

＊「お問合せ」
・CEマーキングをサポートしております。
・お気軽に「お問合せ」ページから、ご連絡下さい。

サイバーレジリエンス法(ｲﾝﾀｰﾈｯﾄｾｷｭﾘﾃｨ対応)の条文項目！

＊「インターネット接続されるデジタル回路、およびソフトフェア製品」が対象のサイバーセキュリティ対応のEU法です。

・CEマーキングの適用です。
・「2024年当初の発効、3年後の「2027年初頭に適用」の模様
・事前に製品、および製造者への要求事項を確認し、製品にサイバーセキュリティ対応をしよう。

＊サイバーレジリエンス法(インターネットセキュリティ対応)の条文項目

EU サイバーレジリエンス法(ドラフト)の表紙
＊第1章総則
第1条　対象事項
第2条　適用範囲
第3条　定義
第4条　自由な移動
第5条　デジタル要素を含む製品の要求事項
第6条　デジタル要素を含む重要な製品
第7条　一般的な製品の安全性
第8条　高リスクのAIシステム
第9条　機械製品
—————————————————————–
＊第2章経済事業者の義務
第10条　製造者の義務
第11条　製造者の報告義務
第12条　任命代理人
第13条　輸入者の義務
第14条　販売業者の義務
第15条　製造者の義務が輸入者及び販売者に適用される場合
第16条　製造者の義務が適用されるその他の場合
第17条　経済事業者の識別
—————————————————————-
＊第3章デジタル要素のある製品の適合性
第18条　適合性の推定
第19条　共通仕様
第20条　EU適合性宣言
第21条　CEマーキングの一般原則
第22条　CEマーキングの貼付に関する規定と条件
第23条　技術文書
第24条　デジタル要素を含む製品の適合性評価手順
—————————————————————–
＊第4章適合性評価機関の届出
第25条　通知
第26条　通知機関
第27条　通知機関に関する要件
第30条　ノーティファイドボディの適合性の推定
第31条　通知機関の子会社及び下請け業務
第32条　通知機関の申請
第33条　届出手続
第34条　ノーティファイドボディの識別番号とリスト
第35条　通知機関の変更
第36条　通知機関の能力調査
第37条　通知機関の運用義務
第38条　通知機関の情報義務
第39条　当局間の経験情報の交換
第40条　通知機関の調整及び協力
—————————————————————-
＊第5章市場監視と執行
第41条　EU市場におけるデジタル技術を用いた製品の市場監視と管理
第42条　データおよび文書へのアクセス
第43条　重大なサイバーセキュリティ上のリスクをもたらすデジタル要素を持つ製品に関する国レベルでの手続き
第44条　EUセーフガード手続
第45条　重大なサイバーセキュリティ上のリスクをもたらすデジタル要素を持つ製品に関するEUレベルでの手続き
第46条　重大なサイバーセキュリティリスクをもたらすデジタル要素を持つ適合宣言製品
第47条　形式的な不適合
第48条　市場監視当局間の共同活動
第49条　市場監視当局間の協調管理措置
———————————————–
＊第6章委譲された権限と委員会の手続き
第50条　委任の行使
第51条　委員会の手続き
———————————————-
＊第7章守秘義務と罰則
第52条　守秘義務
第53条　罰則
———————————————–
＊第8章　経過措置と最終規定
第54条　規則(EU)2019/1020の改正について
第55条　経過措置
第56条　本規則の評価及び見直し
第57条　発効と適用