【テュフズードジャパン】IoT機器等のサイバーセキュリティに関する新たな法的要件追加のお知らせ

IoT機器を含む大半の無線機器が、欧州RED委任規制の対象に

国際的な第三者認証機関であるテュフズードの日本法人テュフズードジャパン株式会社より、IoT機器や産業用制御システム等の大半の無線機器が、そのサイバーセキュリティに関して欧州RED委任規制2022/30の規制対象となることをお知らせします。移行期間は30カ月あり、2024年8月1日から対象の無線機器に所定の義務が適用されます。

あらゆる「モノ」がネットワークにつながるIoT時代が本格的に広まると同時に、IoT機器のセキュリティ対策の法制化も進んでいます。テュフズードはサイバーセキュリティ試験および認証のエキスパートとして、欧州におけるサイバーセキュリティ規格開発に携わっており、各種規格に則したサービスやトレーニングを提供しています。

このたび2022年1月12日の欧州連合官報（OJEU、Official Journal of the European Union）において、IoT機器や産業用制御システム（ICS）を含む大半の無線機器が、そのサイバーセキュリティに関してRED委任規制2022/30（RE指令2014/53/EUを補足する規制）の対象となることが公表されました。

移行期間は30カ月あり、2024年8月1日から、対象の無線機器に所定の義務が適用されます。現在公開されている要件は非常に幅広く*、また今後数か月の間には、標準化の要請が提出される予定です。

この新たな法的要件への準拠に向け、対象となる無線機器の製造業者および販売業者には、法的要件の理解に努め、RED委任規制が今後もたらす変更に備えておくことが要されます。テュフズードジャパンでは、整合規格公表前の現時点における準備として、民生電気電子機器および産業用制御システム向けに、以下の規格に則った評価サービスおよびトレーニングサービスを提供しています。
・ETSI EN 303 645：　IoT機器向けサイバーセキュリティ
・EN-IEC 62443シリーズ：　産業用制御システム向けサイバーセキュリティ

今後もテュフズードジャパンは、最新情報を提供するとともに、最新規制に即したサービス提供を通じて、国内におけるIoT機器および産業機器のサイバーセキュリティ対策の促進に貢献していきます。

注*　現在公開されているRED委任規制2022/30（RE指令2014/53/EUを補足する規制）のサイバーセキュリティ要件およびその対策例：

・項目（範囲：インターネットに接続された全ての無線機器）

・3(3)(d)　「無線機器は、ネットワークまたはその機能に損害をあたえず、ネットワーク資源を悪用せず、それによって許容できないサービスの低下を起こさない」
・3(3)(e)　「無線機器は、利用者と加入者の個人データおよびプライバシーが確実に保護される保障措置が組み込まれている」
・3(3)(f)　「無線機器は、不正行為からの保護を保証する特定の機能をサポートしている」

・上記要件を満たすための対策例

・(d) 通信パラメータのシステム構成は許可された利用者のみが変更できる
・(e) 工場出荷時のデフォルトの認証情報は、初回使用時に固有の認証情報に強制的に変更される
・(f) リプレイアタック（反射攻撃）を防ぐ