　REDのサイバー対策要件を実務に落とし込むための“ものさし”が、EN18031シリーズである［参考文献4］。条文上の抽象要求を、試験／評価／文書化が可能な技術項目に具体化し、適合すれば「適合推定（presumption of conformity）」を得られる。メーカーは同規格に沿って設計／試験／技術文書を整えることで、CEマーキングの根拠を体系的に整備できる。

EN 18031-1：インターネット接続機器に共通の要件（3.3（d）に対応）

　機器がbotネット化や過剰トラフィックの発生源となることを防ぎ、ネットワークの可用性と健全性を確保する。

　主な要求は、初期設定の堅牢化（初回の認証情報強制変更／不要機能の無効化）、アクセス制御（認証／認可／レート制限）、セキュア更新（署名検証／暗号化／ロールバック耐性／安全復旧）、トラフィック管理（フィルタリング／異常検知）およびログ／監査可能性である。

EN 18031-2：個人データ／プライバシー関連要件（3.3（e）に対応）

　個人データの機密性／真正性／可用性を保ちつつ、プライバシー・バイ・デザイン／デフォルトを実装して不必要な収集や利用を抑制する。データ最小化と目的限定、保存／転送の暗号化、最小権限／RBAC、鍵管理と安全保管、処理の可視化と監査、保持期間の管理と匿名化／仮名化、ユーザー権利（閲覧・削除・エクスポート）への対応を求める。

EN 18031-3：決済や金銭価値関連要件（3.3（f）に対応）

　取引の改ざんやなりすましを防ぎ、金銭価値の保全と取引の完全性や不可否認性を確保する。強固な認証（MFA 含む）と取引認可、セキュアブートと実行基盤の信頼性確立、改ざん検知と改ざん耐性、鍵管理（セキュアエレメントなどでの保護）、デジタル署名とメッセージ完全性検証、リプレイ防止／ロールバック耐性、セキュア更新と証跡管理である。

表2 EN18031におけるセキュリティ要求

適合性評価：2つのアプローチ

　REDサイバーセキュリティ対策要件への適合を証明する方法は2つある。

自己適合宣言
- EN 18031標準に基づく技術文書を作成し、自社で適合性を宣言する方法である。製造業者は適切な技術文書を10年間保存し、市場監視当局の要求に応じて提出する義務がある
第三者認証
- EU加盟国が指定する第三者認証機関での製品テストと認証を受ける方法である。費用と時間はかかるが、セキュリティ重視企業や高リスク製品では、この手法によって確実な適合性を示すことが可能である

RED-DA対応：EN 18031適合とIEC 62443の活用

　EN 18031は、RED-DA（無線機器指令委任規則）のサイバーセキュリティ対策要件に対応する調和規格であり、同規格のAnnex B（参考）にIEC 62443-4-2: 2019とのマッピングを示す［参考文献5］。これにより、製造業者は既存のIEC 62443-4-2の実装や試験の証跡をEN 18031の適合立証の参考として活用することが可能となる。

　ただし、適合推定は EN 18031 そのものへの適合で判断され、IEC 62443準拠のみでRED要件への適合が自動的に保証されるわけではない。

　当社ではIEC 62443-4-2で培った基盤を活用し、具体的には、初回起動／初回ログイン時のデフォルトパスワード強制変更、脆弱性スキャンへの対応機能、DDoS対策としてのトラフィック制御などを新規に実装。さらに、更新時のデジタル署名検証と起動時のセキュアブートで真正性と整合性を担保している。これらの実装により、EN 18031の要求事項に適合している。

非順守のリスク

前のページへ 1|2|3 次のページへ