本コラムでは、サイバー攻撃の脅威が増大しているIoT製品に対して、日本で準備が進められているセキュリティ適合性評価制度と、これと並行して制度構築が進められているEUサイバーレジリエンス法（EU Cyber Resilience Act、以降CRA）におけるセキュリティ適合性評価制度の共通点・相違点について概説します。なお、本コラムは、IoT製品に対するセキュリティ適合性評価制度構築方針公表時（および意見公募時）の内容や、CRA採択時の内容に基づいており、正式な制度開始時には異なる部分がある可能性があることをご認識ください。

背景

社会・経済活動を支える様々なヒト・モノ・組織がインターネットに接続するIoT化の進展に伴い、IoT製品は日常生活に欠かせなくなってきており、その台数は世界的に急速に増加しています。
これは、IoT製品の脆弱性を狙ったサイバー攻撃の脅威の増大にもつながっています。適切な管理が行き届きにくい上に、インターネットに接続し、世界中から攻撃対象になりうるというIoT製品の性質から、そのセキュリティ対策に向けた取り組みは世界各国で求められており、各国で制度検討が進められています。

日本では、2022年から本格検討が始まったIoT製品のセキュリティ適合性評価制度（以下、IoT製品適合性評価制度）の構築方針が2024年8月23日に公表されました。そして、2025年3月頃には、セキュリティ適合基準に対する自己適合宣言の受付およびラベル付与開始を目指し、スキームオーナーである独立行政法人情報処理推進機構（以下、IPA）より案内が行われる予定です。

欧州でも、ネットワークに接続することを前提としたデジタル要素を備えた製品（products with digital elements、以下、デジタル製品）のサイバーセキュリティへの取り組みを強化する枠組みや適合性評価について定めたCRAの施行に向けた準備が進められています。CRAは、2024年3月12日に欧州議会で採択されており、「規則（Regulation）」（すべての加盟国を拘束し、加盟国内法体系の一部となる）として2024年中に発効、報告義務を除き2027年に施行されることが見込まれています。

日本のIoT製品適合性評価制度への対応は任意とされています。一方、CRAは、法律としてEU域内の市場で流通するほぼすべてのデジタル製品に対して遵守を義務付けられています。そのため、EU市場で販売されているデジタル製品に関わっている日本の企業も無関係とはいえません。EUでデジタル製品を販売している企業は、CRAに対する取り組みを進められているものと思います。

次の表1は、日本のIoT製品適合性評価制度とCRAの目的、対象製品、セキュリティ要件、適合性評価、適合性評価の主体について整理したものです。
以下では、それぞれの項目の共通点と相違点について説明します。 なお、IoT製品適合性評価制度の制度構築方針の「別添 ☆1セキュリティ要件・適合基準」の参考で引用されているCRAは、2022年の提案時の内容を元に作成されており、2024年の採択時の内容とは条番号や記載内容に相当数の変更が発生しています。本コラムでは、採択時の内容に基づいて記載しています。

目的

共通点

目的の共通点は、ネットワークに接続されるデジタル製品／IoT製品が、そのライフサイクルを通じて安全な状態で使用されることを製造事業者に保証させることです。また、ユーザが製品を選定する際に、製品のセキュリティ状態について確認できるようにすることも共通している点といえます。

相違点

冒頭でも触れましたが、CRAは、EU域内で販売され、対象となるデジタル製品に対して課される「義務」であるのに対して、日本のIoT製品適合性評価制度への適合は「任意」であるという点に違いがあります。IoT製品適合性評価制度は、適合した製品を使用することを政府機関等での調達時の条件とすることで、IoT製品のセキュリティレベルを向上させることも意図しています。日本では、ISMSに準拠した組織が他国と比較して多いという特徴がありますが、これは組織のセキュリティレベルを測る指標として入札条件等にISMS認証取得が求められることが多いということも理由の一つと考えられます。調達条件にすることで供給される製品のセキュリティレベル向上を図るという意味では、IoT製品適合性評価制度は、「ISMSの製品版」のような位置付けにしたいという意図があるのかもしれません。

対象製品

共通点

制度制定の背景には、ネットワークに接続されたデジタル製品／IoT製品を経由したセキュリティインシデントを抑制するという観点があります。そのため、製品の重要性や利用シーン（消費者向けか、政府・企業・産業向けか）にかかわらず、攻撃ベクトル（攻撃者がネットワークやシステムに侵入するための方法）として利用されうる製品を対象にしているという点は、双方に共通しています。

相違点

一方、対象外となる製品として、CRAでは、既存の他の規則（医療機器規則、民間航空機規則、自動車の型式認証規則等）の対象製品、および国家安全保障に関するデジタル製品や軍事目的・機密情報処理目的の製品は適用から除外されています。
IoT製品適合性評価制度では、セキュリティ対策を追加できる汎用的なIT製品（パソコン、タブレット端末、スマートフォン等）は対象外としています。

また、対象製品の分類方法について、CRAでは、「非常に重要な製品（critical products）」、「重要な製品（important products）」、およびそれ以外の製品（本コラムでは「通常の製品」と記載します）のように製品の重要性に基づいた分類が行われています（附属書III、附属書IV）。また、「重要な製品」は「クラスI」（低リスク）と「クラスII」（高リスク）に製品を分類しています。後に説明する適合性評価手続きは、この重要性とリスクに基づく製品分類と結びついたものとなっています。
これに対してIoT製品適合性評価制度では、通信機器、防犯関連機器、スマート家電などのように製品の特徴に応じた製品類型を整理することが検討されています。後に説明する適合基準は、この製品類型および適合性評価レベルごとに設定されます。

セキュリティ要件

共通点

日本のIoT製品適合性評価制度は、比較的遅れて制度構築が進められたこともあり、各国が進めている同様の制度の成果を活用し、取り込むことができています。その結果、CRAの必須要件をカバーしたセキュリティ要件となっています。
しかし、残念ながら、本コラム執筆時点では要件全体をカバーする適合評価基準は作成されていないという点は共通しています。

相違点

CRAにおいてデジタル製品が市場に流通するために求められるセキュリティ要件は、「附属書I 必須要件」で定められています。附属書Iは、「パート1 デジタル製品の特性に関するサイバーセキュリティ要件」（全14項目）および「パート2 脆弱性ハンドリング要件」（全8項目）から構成されています。パート1は、対象となるデジタル製品の設計・開発・製造に関わる要件、およびリスク評価・リスク対策に関わる要件で構成されており、パート2は、対象製品に脆弱性やそれに伴うインシデントが発見された際に製造業者に求められる対策に関わる要件で構成されています。なお、これらの必須要件の適合性評価基準は、整合規格（harmonised standards）として整備されることになっていますが、本コラム執筆時点ではまだ公開されていません。

一方IoT製品適合性評価制度のセキュリティ要件案は、すべての民生用IoT機器に適用される基本的なサイバーセキュリティに関する欧州規格としてすでに広く利用されているETSI EN 303 645、および同様の制度が導入・開始されているシンガポールのCybersecurity Labelling Scheme（CLS）を参考に、18のカテゴリ、101のセキュリティ要件で構成されて意見公募に掛けられています（2024年3月）。次項で説明しますが、すべての製品類型に共通する基本的なレベルとして評価される☆1の要件、適合性評価項目それぞれ25要件、16項目が公開されています。☆2以上に課される要件、適合性評価項目は、今後公開される予定となっています。

IoT製品適合性評価制度の要件はCRAの附属書Iの必須要件だけではなく、CRAの他の附属書や条文に記載されている事項や、CRAの条文とは直接関連しない事項も含んでいます。IoT製品適合性評価制度意見公募時のセキュリティ要件案101のうち、CRAに相当する要件・条文がある要件は57要件、残りの44要件はCRAに含まれていません。
表2では、IoT製品適合性評価制度の☆1評価項目と対応するセキュリティ要件、およびIoT製品適合性評価制度のセキュリティ要件に関連するCRA要件を一覧化しています（CRAの要件は、☆1の評価項目と正確に一致している内容ではないことに注意が必要です）。☆1の評価項目は16ですが、このうち、CRAに関連する要件・条文のある評価項目は12となります。

表2のCRAの要件のうち、太字は附属書Iに記載の要件です（附属書IIは、ユーザへの情報と説明として、デジタル製品に添付すべき事項がまとめられています）。
なお、IoT製品適合性評価制度意見公募時の101のセキュリティ要件案で、CRAの他の附属書や条文に関連する項目には、以下があります：第13条 製造業者の義務、第14条 製造業者の報告義務、第28条 EU適合宣言、第31条 技術文書、第32条 デジタル製品の適合性評価手順、附属書II ユーザへの情報と指示、附属書V EU適合宣言、附属書VII 技術文書の内容。

☆1の評価項目は、CRAの附属書Iの要件を網羅しているわけではありません。例えば、CRAの要件としてしばしば言及されるSBOM（Software Bill of Materials, ソフトウェア部品構成表）の作成はどうでしょうか。CRAでは、附属書I 2.(1)で要求されており、IoT製品適合性評価制度意見公募時の要件案では3-15として検討されていますが、これらは表2には登場しません。CRA附属書Iの要件をすべて満たすためには、IoT製品適合性評価制度の☆2、☆3などで評価される他の要件も満たす必要があるということになります。IoT製品適合性評価制度とCRAの相互認証について検討されている場合は、この点にも注意しておくことが必要かもしれません。

適合性評価

共通点

自己適合宣言もしくは第三者認証のいずれかによって要件への適合性を実証すること、適合している製品へのラベリング（CRAではCEマーキング）によりその適合性を示すことができることは双方で共通しているといえます。また、各国で導入、準備が進められている同様の適合性評価制度で評価された製品の相互認証について検討がされている点についても共通しています。☆1の制度運用が開始された時点で、すでに制度が導入されているシンガポールのCLSおよびイギリスのProduct Security and Telecommunication Infrastructure Act（PSTI法）とは相互認証の方向性を提示することが予定されています。

相違点

製品類型、製品分類ごとの評価手続きについては、CRAとIoT製品適合性評価制度で少し違いがあります。

表3は、CRAにおける製品の分類と適合性評価手続きの関係を示したものです。
CRAの場合、製品に関わらず必須要件は同じ（附属書I）です。製造業者は、附属書Iの必須要件を満たしていることを、今後整備される整合規格が利用可能になった際に、その規格に従って示すことができます。
適合状況を示す手続きは、製品の重要性に応じた分類ごとに製造業者が選択することになり、その選択の幅は製品分類によって異なっています。「重要な製品」や「非常に重要な製品」は、自己適合宣言による適合性の実証を採用できません。
CRAにおける適合性評価手続きは、EU域内で販売される製品の安全性を示すCEマークを貼付するために使用されている適合性評価手続き、モジュールA、モジュールB、モジュールC、モジュールHの4種類（附属書IV）を採用しています。

凡例：〇　適用可能、　△　他の手続きをとることができない場合、適用可能、- 適用対象外

また、EUサイバーセキュリティ法（Cybersecurity Act, Regulation (EU) 2019/881）に基づき2024年1月31日に採択されたサイバーセキュリティ認証制度（European Cybersecurity Certification Schemes, EUCC）に基づいて発行された「実質的」以上の保証レベルのEUサイバーセキュリティ証明書により、「通常の製品」および「重要な製品」に対して、モジュールB&CおよびモジュールHによる第三者適合性評価を実施する義務がなくなります（第27条(9)で規定）。なお、EUサイバーセキュリティ証明書で示される保証レベルには「基本的（basic）」、「実質的（substantial）」、「高度（high）」があります。
「非常に重要な製品」の場合、上記のEUサイバーセキュリティ認証制度を通じて、「実質的」以上の保証レベルのEUサイバーセキュリティ証明書を取得する必要があります（第8条(1)で規定）。

表4は、IoT製品適合性評価制度における製品類型と適合性評価の実証方法についてのイメージを示しています。IoT製品適合性評価制度の場合、☆1では製品類型に関わらず共通の評価項目で自己適合宣言を行うことにより、適合性を示します。☆2以上では、製品類型ごとに対応が求められる要件、適合基準、評価手順が整備され、☆2は自己適合宣言で、☆3以上は第三者認証で適合性を実証します。なお、評価項目について☆1ではその案が公開されていますが、☆2以上については今後整備、公開されることになっています。

なお、ラベリングにより適合性を示すことができることは共通しているのですが、CRAではCEマーキングしていないデジタル製品は、市場で販売することができないのに対して、IoT適合性評価制度では、ラベルの表示義務は設けられていません。

適合性評価の主体

共通点

製品の適合性評価において、デジタル製品／IoT製品の製造業者が評価および実証を行う自己適合宣言と評価機関が行う第三者認証がある点は、IoT製品適合性評価制度とCRAで共通しています。

相違点

CRAの第三者認証では、加盟国の認定機関（notifying authority）に認定された適合性評価機関（conformity assessment body）である第三者評価機関（notified body）により、モジュールBおよびモジュールHの手続きに基づいて評価が行われます。EU適合宣言の作成およびCEマーキングは、自己適合宣言の場合も第三者認証の場合も製造事業者が行うことになりますが、モジュールHの手続きに基づいて評価が行われた場合は、CEマークに第三者評価機関の評価機関番号を付記する必要があります。
また、EUCCにより適合性を示す場合も、EUCCの適合性評価機関による評価を受け、証明書を取得する必要があります。

IoT製品適合性評価制度では、有資格者が評価を行う場合、情報処理安全確保支援士等の指定資格保有者が研修を受講し宣誓した上で評価又は評価結果の確認を実施することが求められています。また、独立行政法人製品評価技術基盤機構（NITE）の製品評価技術基盤機構認定制度（ASNITE）の中にISO/IEC17025に基づく評価機関認定制度を設け、適切な能力および体制を整備した事業者を評価機関として認定することが検討されています。
IoT製品適合性評価制度におけるラベルの付与は、自主適合宣言と第三者認証のいずれもIPAが行います。

最後に

本コラムは、日本とEUで制度準備が進められているIoT製品およびデジタル製品のセキュリティ適合評価制度の共通点、相違点について概観してきました。現在の社会・経済活動はIoTなしには成り立ちません。そのセキュリティ対策を進めるための一助になれば幸いです。

参考文献