コラム
コラム
欧州サイバーレジリエンス法への対応でお悩みはありませんか? (前編)
2025-12-01
前コラムの「PSA Certified™ Level1認証取得で欧州サイバーレジリエンス法への準拠とは?」では、MCU、MPU、SOCのCRA対応について、PSA Certified™ Level1認証取得の有効性について解説しました。
本コラムでは、IoTデバイス(機器)について、今できる欧州サイバーレジリエンス法(CRA)*¹の対応について考察していきます。本コラムでも多くの表を掲載したため、前編・後編に二回に分けて掲載します。前編・後編の章立ては以下です。
前編
1.CRAの対象となるモノ
2.「デジタル要素を含む製品」に求められる基本的なサイバーセキュリティ要件
3.CRAのANNEX Iに示されるセキュリティ要件と相性の良い規格、標準はあるのか?
本コラムでは、IoTデバイス(機器)について、今できる欧州サイバーレジリエンス法(CRA)*¹の対応について考察していきます。本コラムでも多くの表を掲載したため、前編・後編に二回に分けて掲載します。前編・後編の章立ては以下です。
前編
1.CRAの対象となるモノ
2.「デジタル要素を含む製品」に求められる基本的なサイバーセキュリティ要件
3.CRAのANNEX Iに示されるセキュリティ要件と相性の良い規格、標準はあるのか?
後編
4.ETSI EN 303 645 V2.1.1 (2020-06)とは?
5.もう少し手間をかけずに、CRAの整合規格が発行される前にIoT機器ベンダーできることはあるのか?(JC-STAR★1ラベル取得のお勧め)
6.本コラムのまとめ
*¹:OJ_L_202402847_EN_TXT.pdf
1.CRAの対象となるモノ
CRAの対象物は、CRAのANNEX Iの「デジタル要素を含む製品」、ANNEX IIIの、「デジタル要素を含む重要(Important)な製品」、ANNEX IVの、「デジタル要素を含む大変重要(Critical)な製品」に分かれています。ANNEX III、ANNEX IVはそれぞれ下表に示される製品を対象としていますが、ANNEX III、ANNEX IV以外の全ての製品がANNEX Iの「デジタル要素を含む製品」に該当すると理解すべきです。下図で示すベン図の水色の部分に該当するでしょう。。
「デジタル要素を含む製品」とは何かについては、前コラム「PSA Certified™ Level1認証取得で欧州サイバーレジリエンス法への準拠とは?(前編)」の「2.「デジタル要素を含む製品」とは何か?」もご参照ください。以下に、ANNEX III デジタル要素を含む重要(Important)な製品、ANNEX IV デジタル要素を含む大変重要(Critical)な製品を表にして記します。
| ANNEX III デジタル要素を含む重要(Important)な製品 | |
| Class I | 1.ID管理システム、特権アクセス管理ソフトウェアおよびハードウェア(バイオメトリクス・リーダーを含む認証およびアクセス・コントロール・リーダーを含む |
| 2.スタンドアロンおよび組み込みブラウザ | |
| 3.パスワード管理 | |
| 4.悪意のあるソフトウェアの、削除、隔離を行うソフトウェア | |
| 5.バーチャル・プライベート・ネットワーク(VPN)機能を持つデジタル・エレメント搭載製品 | |
| 6.ネットワーク管理システム | |
| 7.セキュリティ情報・イベント管理(SIEM)システム | |
| 8.ブートマネージャー | |
| 9.公開鍵基盤および電子証明書発行ソフトウェア | |
| 10.物理および仮想ネットワーク・インターフェース | |
| 11.オペレーティング・システム | |
| 12.ルーター、インターネット接続用モデム、スイッチ | |
| 13.セキュリティ関連機能を備えたマイクロプロセッサー | |
| 14.セキュリティ関連機能を備えたマイクロコントローラ | |
| 15.セキュリティ関連機能を備えた特定用途向け集積回路(ASIC)とフィールド・プログラマブル・ゲート・アレイ(FPGA) | |
| 16.スマートホーム汎用バーチャルアシスタント | |
| 17.スマートドアロック、セキュリティカメラ、ベビーモニターシステム、アラームシステムなど、セキュリティ機能を備えたスマートホーム製品 | |
| 18.欧州議会および理事会指令2009/48/EC(¹)の対象となるインターネット接続玩具で、ソーシャルインタラクティブ機能(会話や撮影など)を持つもの、または位置追跡機能を持つもの。 (¹) 欧州議会及び理事会指令2009/48/EC(2009年6月18日)玩具の安全性に関するもの(欧州連合官報 法令シリーズ 170、2009年6月30日、1ページ)。 | |
| 19.健康モニタリング(追跡など)を目的とし、規則(EU)2017/745または(EU)2017/746号が適用されない、人体に装着または装着される個人用ウェアラブル製品、または子供用および子供による使用を意図した個人用ウェアラブル製品 | |
| Class II | 1.オペレーティング・システムや同様の環境の仮想化実行をサポートするハイパーバイザーやコンテナ・ランタイム・システム |
| 2.ファイアウォール、侵入検知・防止システム | |
| 3.耐タンパー性を有するマイクロプロセッサー | |
| 4.耐タンパー性を有するマイクロコントローラー | |
| 注:本コラムで対象としていない半導体製品のセルは、背景色を灰色にしています。 | |
| ANNEX IV デジタル要素を含む大変重要(Critical)な製品 |
| 1.セキュリティボックス付きハードウェア・デバイス |
| 2.欧州議会および理事会の指令(EU)2019/944((1))の第2条、ポイント(23)に定義されるスマートメータシステム内のスマートメータゲートウェイ、および安全な暗号処理用を含む高度なセキュリティ目的のためのその他のデバイス |
| 3.セキュアエレメントを含むスマートカードまたは同様のデバイス |
| 注:本コラムで対象としていない半導体製品のセルは、背景色を灰色にしています。 |
2.「デジタル要素を含む製品」に求められる基本的なサイバーセキュリティ要件
CRAのANNEX IIIの、「デジタル要素を含む重要(Important)な製品」、ANNEX IVの、「デジタル要素を含む大変重要(Critical)な製品」に含まれない「デジタル要素を含む製品」に求められる基本的なセキュリティ要件は、ANNEX Iに概念的に書かれており、何を何処まで、どの様にすべきなのかのような具体的には書かれてはいません。そのため、2025年4月に欧州委員会から規格策定機関(CEN/CELENEC)へ標準化依頼(standardisation requests)がされておりEN規格として、整合規格が発行される予定になっています。しかし、整合規格が発行されるのは来年に後半になってからです。
| CRA | CEN-CLC/JTC 13 | Standard title | 採択期限 |
| ANNEX I Part I (1) | WG 9 | Cybersecurity requirements for products with digital elements — Principles for cyber resilience | 2026/08/30 |
| ANNEX I Part I (2)(a)~(m) | WG 9 | Cybersecurity requirements for products with digital elements – Generic Security Requirements | 2026/10/30 |
| ANNEX I Part II | WG 9 | Cybersecurity requirements for products with digital elements – Vulnerability Handling | 2026/08/30 |
3.CRAのANNEX Iに示されるセキュリティ要件と相性の良い規格、標準はあるのか?
各製品ベンダーは、整合規格が発行されるまで、何もできないのでしょうか? そんなことはありません。
ENISA*²は、EUのJoint Research Centreと共同で、CRAの草案*³が複数の国際標準、規格(ISO 27000シリーズ、IEC 62443*⁴、ETSI EN 303 645 V2.1.1 (2020-06)*⁵など)にどのように対応しているかを示した「Cyber Resilience Act Requirements Standards Mapping*⁶」を2024年4月に公開しました。この文書より、草案のANNEX I ESSENTIAL CYBERSECURITY REQUIREMENTSと相性が良いのは、ETSI EN 303 645 V2.1.1 (2020-06)、IEC 62443と考えられます。CRAの草案のANNEX Iと発効されたCRA*¹のANNEX Iには、多少の違いはありますが基本的には変わりないと判断できるため、「Cyber Resilience Act Requirements Standards Mapping」の内容はそのまま有効とも考えられます。このことより製品ベンダーは、まずETSI EN 303 645、IEC 62443で求められているセキュリティ要件をクリアできることができれば、CRAの整合規格の発行を待たずに、製品ベンダーは、製品、体制の準備、確認を進められることができると考えればよいでしょう。
ENISA*²は、EUのJoint Research Centreと共同で、CRAの草案*³が複数の国際標準、規格(ISO 27000シリーズ、IEC 62443*⁴、ETSI EN 303 645 V2.1.1 (2020-06)*⁵など)にどのように対応しているかを示した「Cyber Resilience Act Requirements Standards Mapping*⁶」を2024年4月に公開しました。この文書より、草案のANNEX I ESSENTIAL CYBERSECURITY REQUIREMENTSと相性が良いのは、ETSI EN 303 645 V2.1.1 (2020-06)、IEC 62443と考えられます。CRAの草案のANNEX Iと発効されたCRA*¹のANNEX Iには、多少の違いはありますが基本的には変わりないと判断できるため、「Cyber Resilience Act Requirements Standards Mapping」の内容はそのまま有効とも考えられます。このことより製品ベンダーは、まずETSI EN 303 645、IEC 62443で求められているセキュリティ要件をクリアできることができれば、CRAの整合規格の発行を待たずに、製品ベンダーは、製品、体制の準備、確認を進められることができると考えればよいでしょう。
| Security requirements relating to the properties of products with digital elements | |||||||||||||
| Standard | 1 | 2 | 3a | 3b | 3c | 3d | 3e | 3f | 3g | 3h | 3i | 3j | 3k |
| ETSI EN 303 645 V2.1.1 (2020-06) | ✖ | ✖ | ✖ | ✖ | ✖ | ✖ | ✖ | ✖ | ✖ | ✖ | ✖ | ✖ | ✖ |
| EN IEC 62443-3-2:2020 | ✖ | ||||||||||||
| EN IEC 62443-4-1:2018 | ✖ | ✖ | |||||||||||
| EN IEC 62443-4-2:2019 | ✖ | ✖ | ✖ | ✖ | ✖ | ✖ | ✖ | ||||||
| IEC 62443-2-1:2010 | ✖ | ||||||||||||
「Cyber Resilience Act Requirements Standards Mapping」の「Table 22: Overall list of the identified standards with their respective mapping towards the security requirements」より抜粋してECSEC Lab.で作成
| Vulnerability handling requirements | ||||||||
| Standard | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| IEC 62443-4-1:2018 | ✖ | ✖ | ✖ | ✖ | ||||
| ETSI EN 303 645 V2.1.1 (2020-06) | ✖ | ✖ | ||||||
「Cyber Resilience Act Requirements Standards Mapping」の「Table 23: Overall list of the identified standards with their respective mapping towards the vulnerability handling requirements」より抜粋してECSEC Lab.で作成
*²:欧州連合サイバーセキュリティ機関(The European Union Agency for Cybersecurity)
*³:https://eur-lex.europa.eu/resource.html?uri=cellar:864f472b-34e9-11ed-9c68-01aa75ed71a1.0001.02/DOC_2&format=PDF
*⁴:IEC(国際電気標準会議: International Electrotechnical Commission)によって発行されている産業オートメーションおよび制御システム(IACS)のサイバーセキュリティに関する国際標準規格
*⁵:本コラム4章を参照
*⁶:https://www.enisa.europa.eu/publications/cyber-resilience-act-requirements-standards-mapping
*³:https://eur-lex.europa.eu/resource.html?uri=cellar:864f472b-34e9-11ed-9c68-01aa75ed71a1.0001.02/DOC_2&format=PDF
*⁴:IEC(国際電気標準会議: International Electrotechnical Commission)によって発行されている産業オートメーションおよび制御システム(IACS)のサイバーセキュリティに関する国際標準規格
*⁵:本コラム4章を参照
*⁶:https://www.enisa.europa.eu/publications/cyber-resilience-act-requirements-standards-mapping
以下は、「欧州サイバーレジリエンス法への対応でお悩みはありませんか? (後編)」に続きます。