2027年1月20日、EUでは新たに機械規則(Machinery Regulation, (EU) 2023/1230, 以降本規則と表記)[i]が適用されます。本規則の中には、サイバーセキュリティ要件が含まれており、EUに上市する機械はこの要件に準拠する必要があります。
本ブログでは、本規則で求められる各セキュリティ要件について、本規則の目的や概要、今話題のEUのサイバーセキュリティ法規Cyber Resilience Actとの関係性とともに解説します。
本規則は、機械によって生じる安全や健康のリスクから、人・家畜・財産・環境を保護するために定められたEUの法規です。これまで、同様の目的を果たすために定められていた法規として機械指令(Machinery Directive, 2006/42/EC)[ii]がありますが、本規則はこの機械指令に置き換わる法規として登場しました。
機械指令においても、安全や健康のリスクに対する対策要件が定義されています。しかし、安全や健康のリスクにつながる要因は、高温や粉塵、摩耗などの機能安全に関するものが中心であり、近年の新たな市場ニーズであるAIやサイバーセキュリティなどによるリスクが考慮されていませんでした。そこで、機械指令をもとに市場のニーズに適合、改善、簡素化することを目的に、本規則が策定されました。
本規則の対象は下記であり、機械指令からこの分類に変更はありません。
|
適用対象 |
|
|
機械(machinery) |
|
|
関連製品(related products) |
交換可能な機器(interchangeable equipment) |
|
セーフティコンポーネント(safety components) |
|
|
つり上げ用具(lifting accessory) |
|
|
鎖、ロープ、水かき(chains, ropes and webbing) |
|
|
取り外し可能なトランスミッション装置 (removable mechanical transmission devices) |
|
|
部分完成機械(partly completed machinery) |
|
また、上記の定義の範囲内であったとしても、他の法規で安全や健康のリスクをカバーできている等を理由に、下記のとおり適用対象外となる製品があります。
|
項番 |
適用範囲外 |
|
(a) |
セーフティコンポーネントのスペアパーツ |
|
(b) |
博覧会や遊園地で使用する特殊な機器 |
|
(c) |
原子力施設で使用される機械や関連製品 |
|
(d) |
武器 |
|
(e) |
航空、水上または鉄道網の輸送手段 |
|
(f) |
民間航空に関する規則「EU 2018/1139」に準拠した航空製品、部品または装置 |
|
(g) |
自動車やトレーラに関する規則「EU 2018/858」の適用対象 |
|
(h) |
二輪、三輪またはクワドリシクル(小型四輪)に関する規則「EU 168/2013」の適用対象 |
|
(i) |
農林トラクタに関する規則「EU 167/2013」の適用対象 |
|
(j) |
競技用自動車 |
|
(k) |
海洋船やオフショア浮体式構造物、及びこれらに搭載する機械 |
|
(l) |
軍事や警察向けの機械や関連製品 |
|
(m) |
研究目的で一時的に使用する機械及び関連製品 |
|
(n) |
鉱山用巻線装置 |
|
(o) |
芸術公演での演者移動用の機械、関連製品 |
|
(p) |
低電圧指令(LVD)「2014/35/EU」または無線機器指令(RED)「2014/53/EU」の適用範囲内のうち、下記にあたるもの |
|
1. 電動家具を除く家庭用家電製品 |
|
|
2. 音響機器や映像機器 |
|
|
3. 情報技術機器 |
|
|
4. 3次元製品製造向け印刷機を除くオフィス機械 |
|
|
5. 低圧スイッチギアやコントロールギア |
|
|
6. 電動モータ |
|
|
(q) |
下記の高圧電気製品 |
|
1. スイッチギアやコントロールギア |
|
|
2. 変圧器 |
適用対象や適用対象外の製品の詳細に知りたい方は、本規則のArticle 2やArticle3の他、機械指令のガイドライン[iii]も参照されることをおすすめいたします。
2027年1月20日に適用されます。この日付からEUに上市するすべての機械、関連製品、および部分完成機械は、本規則に準拠している必要があります。
本規則は個々の製品に適用されることに注意が必要です。例えば、同じラインで生産された個別の製品で、2027年1月20日より前に上市した製品は機械指令の対象にはなるものの本規則の対象にはなりません。一方、それ以降に上市した同じラインの製品は、本規則の対象となります。
また、機械指令は2027年1月20日をもって廃止されます。本規則には機械指令との対応関係が示されており、また、EU適合宣言書には機械指令と本規則の両方への適合を宣言できます。上市日が2027年1月20日前後になる製品は、両方の法規への対応を示し、適合していることを宣言することをおすすめいたします。
本規則では、Article 10~18にて、対象となる事業者が示されています。主な対象者は製造業者、輸入業者、販売業者の3者であり、それぞれ下記の通り義務が課せられます。
なお、製品に対して大幅な改変を行う自然人または法人も、製造業者とみなされ、製造業者相当の義務が課せられます(Article 18)。
本規則のAnnex IIIで安全と健康に関する要件が定義されています。Annex IIIのうち、サイバーセキュリティ要件に関わる項目は1.1.9と1.2.1であることが、法案時点で明言されています。また、策定中の整合規格EN 50742※においても1.1.9と1.2.1 a)とf)が対象になると述べられています。
1.1.9と1.2.1a)とf)の要件は下記のとおりです。安全や健康に関わるソフトウェアとハードウェアに対する、意図する・しないに関わらない破損から保護する必要があります。また、破損につながるような介入の証拠を収集しておく必要があります。
|
No |
タイトル |
概要 |
|
1.1.9 |
Protection against corruption (破損からの 保護) |
機械及び関連製品は、接続された装置自体の機能、又は通信するリモート装置を介して、別の装置の接続となることが、危険な状況に繋がらないように設計、及び製造しなければならない。 |
|
機械及び関連製品は、Annex IIIの要件に適合するために不可欠なソフトウエアへの接続またはアクセスに関連し、信号またはデータを伝達するハードウェアコンポーネントを、偶発的または意図的な破損から適切に保護されるように設計されなければならない。 |
||
|
機械及び関連製品は、そのハードウェアコンポーネントが、機械及び関連製品の適合性にとって不可欠なソフトウェアへの接続又はアクセスに関連する場合、そのハードウェアコンポーネントへの正当又は不正な介入の証拠を収集しなければならない。 |
||
|
機械及び関連製品が、Annex IIIの要件に適合するために不可欠なソフトウェア及びデータは、そのようなものとして識別されるものとし、偶発的又は意図的な破損から適切に保護すること。 |
||
|
機械及び関連製品は、インストールされている、安全に動作するために必要なソフトウェアを識別し、その情報を容易にアクセスできる形式で常に提供できること。 |
||
|
機械及び関連製品は、インストールされたソフトウェアまたはその設定に対する正当又は不正な介入や改変の証拠を収集しなければならない。 |
||
|
1.2.1 |
Safety and reliability of control systems (制御システムの安全性と信頼性) |
a)制御システムは、状況とリスクに応じて、通常想定される動作負荷や、通常想定される、されないに限らず外部からの影響(第三者による予見可能な悪意のある試みがもたらす危険な状況を含む)に耐えられるようにすること。 |
|
f)制御システムは、機械及び関連製品が上市後、あるいは使用開始後に介入に関連して生成したデータや制御システムにアップロードされた安全性に関わるソフトウェアバージョンの追跡ログは、管轄国家当局からの合理的な要請に基づき、機械及び関連製品がAnnex IIIに適合していることを証明するために、アップロード後、5年間保存すること。 |
具体的な対策方法ですが、整合規格が策定されるまでは、IEC 62443-4やEN18031といったセキュリティ関連規格を参考に、1.1.9と1.2.1 a)f)に当てはめて対策しておくことを推奨します。これらの規格は、本規則と関連性のあるEU法規CRAの整合規格を策定する上で参照されており、本規則の整合規格においても参照される可能性が高い規格です。
Annex IIIの要件は、リスクを評価した上で、適用するかどうか取捨選択が求められています。従来機械指令ではセキュリティ観点を考慮していませんでしたが、本規則ではサイバー攻撃等のセキュリティリスクも考慮したリスク評価が求められることに注意が必要です。
攻撃者は、利用者の健康・安全を脅かすため、下図「①機械の目的を果たすための機能・データ」だけでなく、「②セーフティ対策のための機能・データ」にも攻撃を行う可能性があります。そのため、セキュリティ観点では①②両方を保護する必要があります。1.1.9では、Annex IIIの要件に適合するために不可欠なソフトウェアを保護する等が要件に含まれていますが、この考え方に従ったものと推測できます。
セキュリティの観点では①②両方を守る必要があることから、リスク評価の流れとしては、従来のセーフティ観点で評価して対策を検討した後、セキュリティ観点で評価するのが妥当と考えられます。この流れは、IPAの制御システム セーフティ・セキュリティ要件検討ガイド[v]等においても言及されています。今後、整合規格においてリスク評価の手法が明言される可能性がありますが、それまではこの順番での実施をおすすめいたします。
EUでは、2026年9月、および2027年12月に段階的に適用されるCRAと呼ばれる法規があります。CRAは、EUに上市される多種多様な製品へのサイバーセキュリティ対策の実施を求めており、本規則との関連性についてもCRAの前文にて述べられています。
欧州に出荷する製品は、本規則とCRAそれぞれに個別に適合性評価を行う必要がありますが、現在策定されている各法規の整合規格では、一貫性のあるサイバーセキュリティ要件が定義されると推測されます。同じ・類似の要件とそうでない要件を見極めることで、2つのセキュリティ法規に効率的に対応できると考えられます。
弊社解釈ではありますが、具体的な本規則とCRAの観点に関する主な違いは下記のとおりです。
|
CRA |
機械規則 |
|
|
リスク評価 観点 |
・サイバーセキュリティリスクの最小化 (機密性/完全性/真正性/可用性の喪失による損失/混乱の可能性の最小化) ・リスクによって引き起こされる人の健康/安全被害の最小化も目的の一つ |
・ハザードによるリスク(怪我や健康被害の可能性)の低減 |
|
サイバーセキュリティ関連要件の概要 |
Annex I: サイバーセキュリティリスク評価結果に伴うセキュリティ対策の導入や脆弱性ハンドリング |
Annex III 1.1.9: 破損保護のための対策の実施、および介入の証拠収集 |
|
Annex II: 製品にユーザへ関連情報・説明添付 |
Annex III 1.2.1: 制御システムにおけるセーフティ/セキュリティリスク対策 |
機械規則の他、CRA、RED、Data Actなど、欧州ではIoT製品のセキュリティ法規制が進んでいます。
弊社では、製品セキュリティライフサイクル(企画・設計・開発・製造・保守・運用・廃棄)に渡って継続的に法規に準拠するための包括的な支援が可能です。
これには、法規や関連する規格で明言されているサイバーセキュリティ対策の検討・評価だけでなく、法規に対応するためのルールや体制構築、サイバーセキュリティ教育・訓練なども含まれており、技術・プロセス両方の面からセキュリティ法規対応をサポートいたします。
[i] REGULATION (EU) 2023/1230, https://eur-lex.europa.eu/eli/reg/2023/1230/2023-06-29
[ii] Directive 2006/42/EC, https://eur-lex.europa.eu/eli/dir/2006/42/oj
[iii] Guide to application of the Machinery Directive 2006/42/EC - Edition 2.3, https://ec.europa.eu/docsroom/documents/60145
[iv] Standardisation request M/605, https://ec.europa.eu/growth/tools-databases/enorm/mandate/605_en
[v] 制御システム セーフティ・セキュリティ要件検討ガイド 基礎編 第1版, https://www.ipa.go.jp/archive/files/000064728.pdf
[vi] Regulation (EU) 2024/2847, https://eur-lex.europa.eu/eli/reg/2024/2847/oj/eng