コラム
コラム
欧州サイバーレジリエンス法への対応でお悩みはありませんか? (後編)
2025-12-15
4.ETSI EN 303 645 V2.1.1 (2020-06)とは?
すべての民生用IoT機器に適用される一連の基本的なサイバーセキュリティに関する規定(要件)を提供する欧州規格です。この欧州規格 (EN) は、ETSI サイバーセキュリティ技術委員会 (CYBER)が作成したものです。ETSI EN 303 645 V2.1.1 (2020-06)は、IPA((独)情報処理推進機構)より翻訳版がダウンロード可能になっています。欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳
以下は、翻訳版をベースに説明を進めます。
ETSI EN 303 645の5章の民生用IoTのためのサイバーセキュリティ規定には下記が記載されています。
5.1 汎用のデフォルトパスワードを使用しない
5.2 脆弱性の報告を管理するための手段を導入する
5.3 ソフトウェアを最新の状態に保つ
5.4 機密セキュリティパラメータをセキュアに保存する
5.5 セキュアに通信する
5.6 露出した攻撃面を最小化する
5.7 ソフトウェアの完全性を確実にする
5.8 個人データがセキュアであることを確実にする
5.9 停止に対してレジリエントなシステムにする
5.10 システムのテレメトリデータを調べる
5.11 ユーザが簡単にユーザデータを消去できるようにする
5.12 機器の設置及びメンテナンスを容易にする
5.13 入力データの妥当性を確認する
各規定は、さらにいくつかの規定に分かれており、合計67の規定があり、すべてに規定の適用ステータスがあります。適用ステータスは、以下の表記が使用されています。
M 規定は必須要件である。
R 規定は勧告である
M C 規定は必須要件であり、かつ条件付きである。
R C 規定は勧告であり、条件付きである。
注: 条件付き表記が使用されている場合、これは規定の本文に基づく条件である。条件を明確にするために、関連する規定の参考文献を表の下に記載している。
各規定のステータスは、「表B.1:民生用IoTのセキュリティに関する規定の実施」で確認可能です。ここで、「M 必須要件」と「MC 規定は必須要件であり、かつ条件付きである。」だけをピックアップしてみても、33の規定があります。この33規定すべてをCRAの整合規格が発行されていない今の時点でクリアすることができるかを検討するのは、各IoT機器ベンダーの皆様も躊躇されるのではないかと思います。CRAの整合規格が発行されていれば、整合規格に合わせて確認をすればよいのですが、発効前にETSI EN 303 645のM、MCの33規定を確認するのは、過不足が発生するのではないかという不安があり、各IoT機器ベンダーの皆様にとっては悩みどころです。
5.もう少し手間をかけずに、CRAの整合規格が発行される前にIoT機器ベンダーできることはあるのか?(JC-STAR★1ラベル取得のお勧め)
ECSEC Lab.は、このような悩みを持つIoT機器ベンダーの皆様には、セキュリティ要件適合評価及びラベリング制度(JC-STAR)★1ラベル取得をお勧めしています。
JC-STAR★1ラベル取得適合基準・評価方法は、IPAより発行されている「セキュリティ要件適合評価及びラベリング制度(JC-STAR) ★1レベル適合基準・評価手法 令和6年12月(JST-CR-01-01-2024R1)」に記載されています。
本文書中の各★1セキュリティ要件には、「【参考】海外既存制度・文書で求められるセキュリティ要件との関係性」の項目があり、そこにはETSI EN 303 645のサイバーセキュリティ規定(要件)との関係性も記されています。関係性は、マッピングとも捉えることができるので、この関係性(マッピング)を有効活用することが、非常に重要だと考えられます。下表に「セキュリティ要件適合評価及びラベリング制度(JC-STAR) ★1レベル適合基準・評価手法 令和6年12月(JST-CR-01-01-2024R1)」を元にECSEC Lab.で作成した関係性(マッピング)を以下に記します。
JC-STAR★1ラベル取得適合基準・評価方法は、IPAより発行されている「セキュリティ要件適合評価及びラベリング制度(JC-STAR) ★1レベル適合基準・評価手法 令和6年12月(JST-CR-01-01-2024R1)」に記載されています。
本文書中の各★1セキュリティ要件には、「【参考】海外既存制度・文書で求められるセキュリティ要件との関係性」の項目があり、そこにはETSI EN 303 645のサイバーセキュリティ規定(要件)との関係性も記されています。関係性は、マッピングとも捉えることができるので、この関係性(マッピング)を有効活用することが、非常に重要だと考えられます。下表に「セキュリティ要件適合評価及びラベリング制度(JC-STAR) ★1レベル適合基準・評価手法 令和6年12月(JST-CR-01-01-2024R1)」を元にECSEC Lab.で作成した関係性(マッピング)を以下に記します。
| セキュリティ要件適合評価及びラベリング制度(JC-STAR) ★1レベル適合基準・評価手法 令和6年12月(JST-CR-01-01-2024R1)の適合基準(要件)と他の標準・規格との関係性(マッピング) | ||
| JC-STAR ★1の適合基準 | ETSI EN 303 645 | CRA ANNEX I , ANNEX II |
| S1.1-01 | 5.1-3 M, 5.5-5 M | ANNEX I 1.(3)(b) |
| S1.1-02 | 5.1-1 MC (1), 5.1-2 MC (2) | |
| S1.1-03 | 5.1-4 MC (8) | |
| S1.1-04 | 5.1-5 MC (5) | ANNEX I 1.(3)(b) |
| S1.1-05 | 5.2-1 M | ANNEX I 2.(5), ANNEX I 2.(6), ANNEX II 1, ANNEX II 2 |
| S1.1-06 | 5.3-1 R, 5.3-2 MC (5) | ANNEX I 2.(8) |
| S1.1-07 | 5.3-3 MC (12) | ANNEX I 2.(8) |
| S1.1-08 | 5.3-2 MC (5), 5.3-7 MC (12), 5.3-10 M (11,12) | ANNEX I 1.(3)(e) |
| S1.1-09 | 5.3-8 MC (12) | ANNEX I 2.(2), ANNEX I 2.(7), ANNEX I 2.(8) |
| S1.1-10 | 5.3-16 M | ANNEX II 3 |
| S1.1-11 | 5.4-1 M | |
| S1.1-12 | 5.5-1 M, 5.5-7 M | ANNEX I 1.(3)(c) |
| S1.1-13 | 5.6-1 M | ANNEX I 1.(3)(h) |
| S1.1-14 | 5.9-1 R | ANNEX I 1.(3)(f) |
| S1.1-15 | 5.11-1 M | |
| S1.1-16 | 5.12-2 R, 5.3-11 RC (12), 5.3-13 M | ANNEX I 2.(4)、ANNEX I 2.(8), ANNEX II 4, ANNEX II 5, ANNEX II 6, ANNEX II 7, ANNEX II 8, ANNEX II 9 |
| 注:出展の記載はありませんが、本列はCRAの草案のANNEX IとANNEX IIの要件と思われます。 | ||
表を見てわかるように、各JC-STAR ★1の適合基準は、必ず何かしらのETSI EN 303 645のサイバーセキュリティ規定がマッピングされています。また同時にCRAの草案のANNEX IとANNEX IIマッピングもされています。本コラムの3章で述べているようにETSI EN 303 645とCRAの草案のANNEX IとANNEX II の相性が良いので、IoT機器ベンダーは、この事実を有効活用するべきだと考えられます。
6.本コラムのまとめ
・JC-STAR★1ラベル取得は、CRAの整合規格が発行される前にできる最高の準備と考えられます。
・JC-STAR★1ラベル取得を進めることで、セキュリティ要件に対して、できていること/できていないことを洗い出し、整理することで、今後のCRA対応のためのマイルストーンを決めることができます。
・JC-STAR★1ラベル取得は、IoT機器ベンダーのセキュリティに対する前向きな対応を日本国内に向けてアピールすることができます。
・JC-STAR★1は、チェックリストによる自己適合宣言(ラベル取得は、申請要)なので、IoT機器ベンダーの負荷は少ない。
JC-STAR★1ラベル取得に関する評価のご依頼、ご質問、ご相談のお問い合せは、お問い合せフォームに必須事項をご入力の上、ご連絡ください。
HP内で公開していますJC-STAR評価サービスQ&A集もご活用ください。
本コラム公開時、IPAによる暫定措置として、ECSEC Lab.は「JC-STAR暫定評価機関」です。(独)製品評価技術基盤機構(NITE)の製品評価技術基盤機構認定制度(ASNITE)の中に、JC-STARの★3(レベル3)以上の評価を行える事業者についてISO/IEC 17025に基づくJC-STAR評価機関認定制度を設け(2025年度以降)、適切な能力及び体制を整備した事業者を「JC-STAR評価機関」として認定する予定となっており、ECSEC Lab.は制度開設後すぐの、認定取得を予定しています。
HP内で公開していますJC-STAR評価サービスQ&A集もご活用ください。
本コラム公開時、IPAによる暫定措置として、ECSEC Lab.は「JC-STAR暫定評価機関」です。(独)製品評価技術基盤機構(NITE)の製品評価技術基盤機構認定制度(ASNITE)の中に、JC-STARの★3(レベル3)以上の評価を行える事業者についてISO/IEC 17025に基づくJC-STAR評価機関認定制度を設け(2025年度以降)、適切な能力及び体制を整備した事業者を「JC-STAR評価機関」として認定する予定となっており、ECSEC Lab.は制度開設後すぐの、認定取得を予定しています。