EU、RED(無線機器指令)、「サイバーセキュリティ要件」の整合規格として、「EN 18031シリーズ」が「2025年1月30日」に発効になった。
尚、この整合規格の要求に適合すれば、「モジュールAの適合評価手順」(自己認証)を選択できます。
⇒2025年8月1日から、REDのサイバーセキュリティ要件が義務化になります。
(不適合の場合、製品の押収、罰金、市場からの製品の撤回、およびブランドの評判の低下などの措置が取られる可能性があります 。)
EU公式サイトから引用
*EN 18031シリーズの適用範囲
・EN 18031シリーズは、家電製品、スマートホーム製品、コネクテッド家電、ウェアラブルヘルスモニター、IoT 対応産業機器、デジタルおよびコネクテッド消防機器、決済および金融機器、エンターテインメントおよび教育製品など、広範なインターネット接続無線機器のカテゴリに適用されます 。具体的な例としては、スマートフォン、タブレット、スマート TV、スマートカメラ、ウェアラブルデバイス、スマートホームデバイス、スマート冷蔵庫、ワイヤレス決済端末、コネクテッドトイ、ベビーモニター、電子ペット追跡装置などが挙げられます 。
・ただし、軍事用途専用のデバイス、特定の分野の枠組み(民間航空や自動車システムなど)で規制されている機器、および他の EU 規制の対象となる医療機器など、RED のサイバーセキュリティ要件から除外される製品カテゴリもあります 。
*EN 18031シリーズの要求事項
・この整合規格の要求事項は、「メカニズム」であり、ソリューションではない。
以下の3規格です。
1. EN 18031-1:2024 ( パート 1: インターネット接続無線機器)
尚、RED の第 3 条第 3 項 (d) に対応します。
この規格では、インターネットに接続された無線機器の「一般的なセキュリティ要件」を規定しています。
尚、この規格では、製品が「直接通信するか他の機器を介して通信するかに関係なく、インターネット経由で通信できる電気電子製品」に関する無線機器のセキュリティ要件を規定している。
以下のような要求事項(6章)がある。:
(1)アクセス制御メカニズム:デバイスへの不正アクセスを制限するメカニズムである。
(2)認証メカニズム:ユーザーの身元を確認するための堅牢なシステムであること。
(3)機密な更新メカニズム:ファームウェアとソフトウェアを安全にアップデートできるメカニズムにする。
(4)安全なストレージメカニズム:改ざんや侵害からデータを保護する。
(5)安全な通信メカニズム:データ転送プロセスを保護する。
(6)復元メカニズム:システム障害やサイバー攻撃に対する耐性を備える。
(7)ネットワーク監視メカニズム:異常を検出するための継続的な分析を行う。
(8)トラフィック制御メカニズム:データフローを効果的に管理する。
(9)機密暗号キー:暗号資産を安全に保管する。
(10)一般的な機器の機能:さまざまな機能にわたる機能セキュリティを確保する。
2.EN 18031-2:2024 (パート2:無線機器のデータ処理データ、-インターネット接続無線機器、育児無線機器、玩具無線機器、ウェアラブル無線機器等)尚、RED の第 3 条第 3 項 (e) に対応します 。
「個人データ、トラフィック データ、または位置データ」を処理する無線機器の共通セキュリティ要件です。
そして、インターネットに接続された無線機器、育児専用に設計または意図された無線機器、玩具、ウェアラブル無線機器のいずれかです。
この規格は、個人データ、トラフィック データ、または位置データを処理する無線機器の技術仕様を提供します。
これは、インターネット経由で通信できる電気電子製品に関するもので、これらの製品が直接通信するか、他の機器を介して通信するかに関係なく、育児、玩具、またはウェアラブル無線機器に関するものです。
この範囲は、欧州議会および理事会の指令 (EU) 2018/1972 で定義される公共電子通信ネットワークおよび公的に利用可能な電子通信サービスのプロバイダーが使用する 5G ネットワーク機器には適用されない。
この規格には、以下のような要求事項(6章)がある。
(1)アクセス制御メカニズム:通常はアクセスレベルと権限設定を通じて、許可された担当者のみが無線機器のコンポーネントを操作したり、データを管理したりできるようにする。
(2)認証メカニズム:整合性とセキュリティを維持するために、ユーザーIDまたはデバイスの検証を行う
(3)安全な更新メカニズム:改ざんや悪意のあるソフトウェアによるアクセスを防止するため、暗号化され認証されたアップデートを行う。
(4)安全なストレージメカニズム:データストレージを不正アクセスや潜在的な脆弱性から保護する。
(5)安全な通信メカニズム:デバイス間のデータ転送における暗号化とセキュアプロトコルを使用する。
(6)ログ記録メカニズム:監査と監視のために、ユーザーによる操作やシステム変更の記録する。
(7)削除メカニズム:データが完全に削除または消去され、機密情報の痕跡が残らないようにする。
(8)ユーザー通知メカニズム:セキュリティまたは機能に関する懸念事項についてユーザーに通知する。
(9)機密暗号キー:データセキュリティに不可欠な暗号鍵の安全な取り扱いと保管を規定する。
(10)一般的な機器の機能:セキュリティおよび安全性の基準を遵守しながら、基本的な機能を確保する機能を持つ。
3.EN 18031-3:2024 (パート 3: インターネット接続無線機器が仮想通貨または貨幣価値を処理する機器)
尚、 RED の第 3 条第 3 項 (f) に対応します。
この規格対応機器により、所有者またはユーザーは、「お金、金銭的価値、または仮想通貨を転送」できます。
この規格では、仮想マネーまたは金銭的価値を処理する無線機器のセキュリティ仕様を示します。
この仕様は、これらの製品が直接通信するか、他の機器を介して通信するかに関係なく、インターネット経由で通信できる電気電子製品に適用されます。
この規格には、以下のような要求事項(6章)がある
(1)アクセス制御メカニズム:厳格な制御手段を導入し、許可されたユーザーのみが機器の重要なシステムまたは機能にアクセスできるようにする。
(2)認証メカニズム:不正使用を防止するため、ユーザーとデバイスの安全な認証を実施する。
(3)安全な更新メカニズム:ファームウェアまたはソフトウェアの更新が検証、暗号化、および認証され、脆弱性の導入を防止する。
(4)安全なストレージメカニズム:個人情報や動作パラメータなどの機密データを不正アクセスや改ざんから保護する。
(5)安全な通信メカニズム:通信の傍受や改ざんを防ぐために、暗号化されたデータ転送プロトコルを使用する。
(6)ログ記録メカニズム:監査証跡とセキュリティ監視を容易にするため、システムアクティビティとアクセス試行の詳細なログ記録を行う。
(7)機密暗号鍵:暗号鍵の安全な取り扱いと保管に焦点を当て、漏洩や不正使用を防止する。
(8)一般的な機器の機能:基本的な安全性と運用機能を網羅し、機器の本来の用途に加えて、セキュリティ要件への準拠を確保する。
(9)暗号化:堅牢な暗号化方式を適用することで、保存時および転送中のデータを保護し、データ漏洩や不正開示のリスクを最小限に抑える。
*各整合規格の各メカニズム要求の実装可否について
・対象製品の目的・機能状況により、要求のメカニズム実装(適用の適切性や強度)が異なる。本規格の規定(適用や各メカニズムのリスクアセスメント)により、実装可否を判定をする。判定は主にメーカになる。
この判定は、製品の意図する用途とメーカが各メカニズムのおける「リスクアセスメント」に基づいて決定するため、対象の製品が下のような場合は異なることになります。
・高リスク機器:緊急サービスで使用される無線通信機器
・低リスク機器:温室の単純な温度センサーのような機器
*関連URL
・Decision (EU) 2025/138:RED(2014/53/EU)のサイバーセキュリティに関連する整合規格実施決定法.