【テュフズードジャパン】IoT機器等のサイバーセキュリティに関する新たな法的要件追加のお知らせ
IoT機器を含む大半の無線機器が、欧州RED委任規制の対象に
国際的な第三者認証機関であるテュフズードの日本法人テュフズードジャパン株式会社より、IoT機器や産業用制御システム等の大半の無線機器が、そのサイバーセキュリティに関して欧州RED委任規制2022/30の規制対象となることをお知らせします。移行期間は30カ月あり、2024年8月1日から対象の無線機器に所定の義務が適用されます。
あらゆる「モノ」がネットワークにつながるIoT時代が本格的に広まると同時に、IoT機器のセキュリティ対策の法制化も進んでいます。テュフズードはサイバーセキュリティ試験および認証のエキスパートとして、欧州におけるサイバーセキュリティ規格開発に携わっており、各種規格に則したサービスやトレーニングを提供しています。
このたび2022年1月12日の欧州連合官報(OJEU、Official Journal of the European Union)において、IoT機器や産業用制御システム(ICS)を含む大半の無線機器が、そのサイバーセキュリティに関してRED委任規制2022/30(RE指令2014/53/EUを補足する規制)の対象となることが公表されました。
移行期間は30カ月あり、2024年8月1日から、対象の無線機器に所定の義務が適用されます。現在公開されている要件は非常に幅広く*、また今後数か月の間には、標準化の要請が提出される予定です。
この新たな法的要件への準拠に向け、対象となる無線機器の製造業者および販売業者には、法的要件の理解に努め、RED委任規制が今後もたらす変更に備えておくことが要されます。テュフズードジャパンでは、整合規格公表前の現時点における準備として、民生電気電子機器および産業用制御システム向けに、以下の規格に則った評価サービスおよびトレーニングサービスを提供しています。
・ETSI EN 303 645: IoT機器向けサイバーセキュリティ
・EN-IEC 62443シリーズ: 産業用制御システム向けサイバーセキュリティ
今後もテュフズードジャパンは、最新情報を提供するとともに、最新規制に即したサービス提供を通じて、国内におけるIoT機器および産業機器のサイバーセキュリティ対策の促進に貢献していきます。
注* 現在公開されているRED委任規制2022/30(RE指令2014/53/EUを補足する規制)のサイバーセキュリティ要件およびその対策例:
・項目(範囲:インターネットに接続された全ての無線機器)
・3(3)(d) 「無線機器は、ネットワークまたはその機能に損害をあたえず、ネットワーク資源を悪用せず、それによって許容できないサービスの低下を起こさない」
・3(3)(e) 「無線機器は、利用者と加入者の個人データおよびプライバシーが確実に保護される保障措置が組み込まれている」
・3(3)(f) 「無線機器は、不正行為からの保護を保証する特定の機能をサポートしている」
・上記要件を満たすための対策例
・(d) 通信パラメータのシステム構成は許可された利用者のみが変更できる
・(e) 工場出荷時のデフォルトの認証情報は、初回使用時に固有の認証情報に強制的に変更される
・(f) リプレイアタック(反射攻撃)を防ぐ