【はじめに】

2024年7月9日に「無線通信機器の開発者が知っておくべき、EUセキュリティ法制「RED-DA」とは？ ～「IEC 62443-4-2」「ETSI EN 303 645」との関連や実装アプローチを解説～」というセミナーを開催しました。今回はその講演内容をコラムとして書き起こしご紹介します。

高まるサイバーセキュリティリスク、EUで進行中のサイバーセキュリティ対策

まず、有名なセキュリティインシデントを踏まえ、ますます高まるサイバーセキュリティのリスクを紹介し、組織的・標的型のサイバー攻撃に対するEUでの対策法案の変遷を説明いたします。

 

サイバーセキュリティの脅威は日々進化しており、多くの有名な事件が発生しています。例えば、2010年には代表的なマルウェアの一つである「Stuxnet」を利用した攻撃がイランの核施設に対して行われ、重大な物理的被害を引き起こしました。この攻撃はUSBメモリを介して行われ、国際的な安全保障問題へと発展しました。

 

さらに、ウクライナではマルウェアを用いたDDoS攻撃により大規模な停電が発生し、国全体のインフラに影響を与えました。同様に、ランサムウェア「WannaCry」は世界155カ国に拡散し、多数の企業や組織が被害を受けました。このランサムウェアはWindowsの脆弱性を悪用し、特に台湾の半導体工場では操業停止につながりました。

 

米国では、重要な石油パイプラインがランサムウェアの攻撃を受け、運用が1週間停止し、440万ドルの身代金が支払われる事態に至りました。また、2021年には「Log4j」の脆弱性を利用した攻撃が発生し、米国政府機関に対して機密データが盗まれる事件がありました。

 

これらの事例からも分かるように、現在のサイバーセキュリティ攻撃は単なる偶発的なものではなく、組織的です。場合によっては、国家レベルでの計画的な攻撃であることが多いです。これに対抗するため、EUでは一連の対策が進行中です。

 

2019年には、サイバーセキュリティ法が施行され、ENISA（欧州ネットワーク情報セキュリティ庁）の権限が強化されました。また、2021年にはNIS2指令が施行され、重要インフラの運営者に対してインシデント報告などの義務が課されました。また、2022年にはEU無線機器指令（RED）が改訂され、セキュリティ要件が追加されました。この指令により、2025年にはインターネットに接続される無線機器に対するセキュリティ要件が義務化される予定です。

 

2024年にはNIS2を補完する形で、デジタル製品のセキュリティ対応を義務付ける「EUサイバーレジリエンス法案（CRA）」が策定され、2027年には無線機器以外の広範な電子機器にセキュリティ要件が義務化されます。

 

本セミナーで取り上げる「RED-DA」の整合規格の公開は、当初予定されていた2023年9月から遅延を繰り返し、現在は2024年9月の予定となっています。これらの法規制はまだ流動的であり、最新の情報を得るためには随時更新が必要です。この不確実性を考慮しつつ、無線機器の開発者や関連企業は、新たな規制環境に適応できる対策が求められています。

無線機器に関する新たなEUセキュリティ法制「RED-DA」とは？

次に、2024年9月からを予定しEU市場で販売される対象の無線機器を対象とする「RED-DA（Radio Equipment Directive Delegated Act：無線機器指令委託法令）」について、草案の内容を踏まえて最新動向を解説しました。

 

RED-DAは、EU市場で販売される無線機器に適用されます。「サイバーレジリエンスの向上」「プライバシー保護」「金融詐欺の回避」という3項目におけるサイバーセキュリティのレベルを向上させることを目的としています。

RED-DAの背景と目的

近年、無線機器の使用が大幅に増加しており、それに伴いサイバー攻撃も増加しています。無線機器は物理的接続が不要であるため、攻撃者にとってアクセスが容易であり、その脆弱性が指摘されています。これに対抗するため、EUでは、サイバーセキュリティに関する新たな要件を定めた「ネットワーク及び情報セキュリティ指令」(NIS2)を採択しました。しかし、NIS2は、無線機器のサイバーセキュリティ対策について、具体的な技術的な要件を定めていませんでした。

 

そこで、NIS2に基づき、無線機器のサイバーセキュリティ対策について、具体的な技術的な要件を定めたRED-DAが、従来のREDに加える形で制定されました。

RED-DAの適用対象と除外製品

RED-DAは、インターネットに直接または間接的に接続可能な無線機器に適用されます。適用対象には、スマートフォンやタブレット、ノートPCの他、スマートスピーカー、ウェアラブルデバイス、スマートホーム機器、産業用制御システム、玩具、ベビーモニター、RFIDタグなどが含まれます。一方で、医療機器は適用対象から除外されています。また、自動車、道路料金システム、航空機などは一部の要件から除外されています。

RED-DAの主な内容

RED-DAでは、セキュリティ要件の評価基準を「EN 18031」で規定しています。「EN 18031-1 (Article 3.3.d) ネットワークセキュリティ」では、無線機器全般に対するセキュリティ要件を網羅的に評価する項目が定義されています。具体的には、アクセス制御、認証、ソフトウェアアップデート、セキュア通信、データ保管、暗号化などのセキュリティメカニズムについて、詳細な評価項目が規定されています。

 

また、「EN 18031-2 (Article 3.3.e) 個人情報保護」では、個人データ、トラフィックデータ、位置データなどを処理する無線機器に特化したセキュリティ評価項目が定義されています。個人データ、トラフィックデータ、位置データなどを処理する無線機器に特化したセキュリティ評価項目が定義されています。

 

さらに「EN 18031-3 (Article 3.3.f) 詐欺回避」では、金銭、金銭的価値を扱う無線機器（例えば仮想通貨を含む）に焦点を当てたセキュリティ要件評価が定義されています。例えば、財産情報へのアクセス制御、認証メカニズムの強度、ログ記録の要件などが厳格に評価されます。

 

国際標準規格との整合

RED-DAは、国際標準規格である「EN 303 645」と「IEC 62443-4-2」にも準拠しています。この二つの規格を合わせたRED-DAの整合規格を理解し、その対応を行うことが必要です。

 

EN 303 645では、IoTコンシューマー製品のサイバーセキュリティ要件と手順が含まれています。デバイス、関連サービスと関連し、センサー、UI、モバイルアプリ、Webアプリも対象です。個人データの保護、パスワード メカニズム、通信プロトコル、安全な更新手順などの要件で構成されています。

 

また、IEC 62443-4-2では、産業オートメーション、制御システムにおけるコンポーネントへの技術的なセキュリティ要件があります。具体的には、識別と認証、ユーザー制御、データの機密性、リソース可用性などの要件について検討する必要があります。

 

この法制により、無線機器のセキュリティレベルが向上し、消費者の信頼を得ることが期待されています。無線機器を取り扱う企業や開発者は、これらの新しい要件に適応するための準備を進めなければなりません。最新の法制変更や技術要件については、継続的に情報を更新し、適切な対応策を講じることが求められています。

RED-DAと「EN 303 645」「IEC 62443-4-2」との関係性は？　RED-DAの整合規格を読み解く

続いて、RED-DAの整合規格の評価基準と、そのベースとなり得る各種セキュリティ標準規格の関係性を説明しました。

 

RED-DAの整合規格については2024年7月9日現在公開されていません。「IEC 62443-4-2」「EN 303 645」との関連性については、必要な機能要件の項目を取り出し、評価基準の各条項との関係を表形式で紹介しました。評価基準の14の大項目には、それぞれ1～7小項目があって合計42の項目があります。

 

次に、RED-DA 3条3項のd,e,fと、EN 303 645で規定されている各セキュリティ要件とのマッピングを示しました。EN 303 645は、ETSI（欧州電気通信標準化機構）のWebサイトで公開されています。その情報を参照することで、実装の手助けとすることが可能です。

 

また、IEC 62443 4‐2とのマッピング表もご参考ください。IECに関する規格書は有償となっており、日本規格協会などから購入可能です。

 

RED-DAに対応するためには、必要な情報を収集して規格の内容を理解した上で適切に対処する必要があります。

 

ただ、EN 303 645、IEC 62443-4-2との関連性や規格の詳細な内容を理解するだけでも難しく感じてしまう可能性があります。また、理解できた場合でも実際に実装したり、検証作業の実施まで落とし込むことは、非常に難易度が高いと当社では考えています。

「EUサイバーレジリエンス法（CRA）」対応まで見据えた、セキュリティ認証取得のための最適なアプローチ

最後に、今後施行が予定されている「EUサイバーレジリエンス法（CRA）」を含めた、各法案・規格に対するセキュリティ認証を取得する上での注意点や最適な実装アプローチについて、アイティアクセスが提供する「RED-DA認証サービス」を交えて解説しました。

認証取得へのアプローチ

RED-DAへの準備として、通常行われる机上のGAP解析ではなく、テストラボを使用した実機検証のアプローチを推奨します。

 

当社が提携するテストラボでは、草案ベースになりますが、RED-DA整合規格に基づいた検証を実施することが可能です。現在のRED-DA準拠状態を確認し、今後公開される正式な整合規格に迅速に対応する準備ができ、公開された正式な整合規格が出た際の対応を最小限にすることも可能です。

 

また、テストラボからの試験結果には、技術者として対応の手助けとなる検証手法やFail原因の詳細、また一般的な解決策などが提示されます。技術者が同じ手順で再現したり、修正することに役立てられます。

 

GAP解析を機器検証に置き換えて実行することで、規格への対応漏れのリスクをなくすことができます。さらに技術者が製品の現状と整合規格を理解する作業時間の削減にもつながります。

 

加えて、当社では、1度の再試験が発生する事を前提としたパッケージや正式な整合規格が出た際のフルテストを前提としたパッケージなど、さまざまな機器検証パッケージもご用意しています。

 

機器検証サービス

機器検証サービスでは、お客様から対象機器やドキュメントをお預かりして、機器に対して様々な検証を実施します。この検証ではRED-DAが要求するパスワードセキュリティ、脆弱性管理、通信セキュリティ、攻撃面の最小化、およびデータセキュリティなど各要件をテストします。

 

さらに、自動化ツールと手動分析作業を組み合わせた専門的なテスト結果報告と修正提案を提供します。この報告書を活用することで、RED-DAのセキュリティ要件に備えられます。

 

また、検証作業を実施するパートナー企業であるオンワード・セキュリティ ジャパンは、世界最大級の認定機関Dekraグループの一員です。

 

日本では、セキュリティ評価ラボを備えています。同ラボは「ISO 17025」認定済みで、日本国内のIoTデバイスメーカーに情報セキュリティチェックサービスを提供できる「ETSI EN 303 645 テスト資格」を日本適合性認定協会から取得しています。さらに、経済産業省が提唱している情報セキュリティサービス台帳では、機器検証サービスを提供する初のプロバイダーの1つとして認められています。

 

加えて、「Amazon Alexa」「Alexa Auto」、ETSI EN 303 645、RED-DAなどの規格について、規格準拠の評価サービスを提供する認可を受けています。こうした第三者機関の認定を受けた確かな検証能力を活用することで、セキュリティ認証取得を支援しています。

組み込み機器向けセキュリティモジュール

EN 303 645やIEC 62443、RED-DA整合規格では、セキュアな通信やアップデート、データの機密性や暗号や鍵の管理などの機能要件が求められます。こられの機能に対して商用サポートを提供しているのが、当社のもう一つのパートナー企業である、wolfSSLです。

 

wolfSSLは20年近く組み込みセキュリティの専門ベンダーとして、この業界をリードしてきました。世界各国2000社を超える顧客を持つ実績ある企業として製品を提供しています。具体的には、OpenSSLと互換性のあるAPIを持つ「wolfSSL」、セキュアなブートやファームウェアアップデートを実現する「wolfBoot」、FIPS 140に対応する暗号モジュール「wolCrypt」、鍵管理に必要な「wolfTPM」など多岐に渡ります。もちろん、今回のRED-DA認証取得に必要となる機能も取りそろえています。

 

このように、アイティアクセスではRED-DAへの対応を含むセキュリティ認証の全過程をサポートしております。組み込み機器業界において24年の実績を持ち、昨今の組込機器に対するセキュリティニーズに合わせ、特にEU向けのセキュリティ規格への検証、認証を軸とするセキュリティ認証のワンストップサービスを提供しています。

 

お客様が安心してセキュリティ認証取得に臨めるよう全面的な支援を提供します。

組込み向けセキュリティ認証取得支援ワンストップサービスの詳細はこちら