EUラジオ機器指令(RED)サイバーセキュリティコンプライアンス – EN 18031-1/2/3
欧州連合(EU)の無線機器指令(RED)はEU市場における無線接続機器のセキュリティ、プライバシー及び不正防止機能を強化するために新たなサイバーセキュリティ要件を発表しました。EN 18031シリーズの規格はEU域内で機器を販売する前に製造業者がサイバーセキュリティ規制を遵守し、CEマーキングの要件に継続的に適合することを保証するコンプライアンス枠組みを提供します。
RED EN 18031コンプライアンスにご興味がある方はぜひご連絡ください。
新しいRED要件に該当する製品には、以下が含まれます:
- 消費者向け電子機器: スマートフォン、タブレット、ウェアラブルデバイス
- IoTとスマートデバイス: コネクテッドホームシステム、産業機器
- 金融・決済機器: 無線決済システム
- デジタルと接続型防火機器: IoT対応のアラームや照明
- エンターテイメントと教育製品: ゲーミングコンソール、電子書籍リーダー
- 輸送と安全機器: 車両テレマティクス、キーレスエントリーシステム
- 通信とネットワーキング機器: Wi-Fiルーター、Bluetoothハブ
|
Device type |
Internet connected Radio equipment or Radio equipment |
EN 18031-1 (network functions) |
EN 18031-2 |
**EN 18031-3 (financial transactions) ** |
Remarks |
|
RED-Essential requirement reference |
2014/53 |
Article 3.3 d |
Article 3.3 e) |
Article 3.3 f |
|
|
Delegated act reference |
2022/30 |
Article 1.1 |
Article 1.2 |
Article 1.3 |
|
|
Tablets/laptops |
Internet connected |
Yes |
Yes |
Yes* |
Only if financial transactions are supported |
|
Smart phones/ home devices and Wireless IoT devices |
Internet connected |
Yes |
Yes |
Yes* |
Only if financial transactions are supported |
|
Toys and childcare |
Internet connected |
Yes |
Yes |
Yes* |
Only if financial transactions are supported |
|
Toys and childcare |
Radio devices (no internet) |
No |
Yes |
No |
|
|
Body worn/wearable devices |
Internet connected |
Yes |
Yes |
Yes* |
Only if financial transactions are supported |
|
Body worn/wearable devices |
Radio devices (no internet) |
No |
Yes |
No |
|
|
Automotive |
Internet connected |
Yes |
No |
No |
|
|
Aviation (Drones) |
Internet connected |
Yes |
No |
No |
|
|
Road toll systems |
Internet connected |
Yes |
No |
No |
|
|
Medical devices |
Internet connected |
No |
No |
No |
|
|
IVD medical devices |
Internet connected |
No |
No |
No |
コンプライアンス義務期限 - 2025年8月1日
欧州委員会はEN 18031シリーズをREDの下で調和させ、2025年8月1日からEU市場に投入されるすべての新しい無線機器に対してコンプライアンスを義務化しました。製造業者は規制の承認を得るためにこの期限までに自社の機器をテストし、認証を取得しないといけません。
GRLは製造者、通信事業者とIoT開発者がEN 18031-1、EN 18031-2とEN 18031-3要件を満たせるようにサポートします。
- 認定サイバーセキュリティ試験
GRLのISO/IEC 17025認定を受けたラボはEU REDサイバーセキュリティ指令へのコンプライアンスの第三者テストと評価を提供します。 - プレコンプライアンステストとリスク評価
公式な認証を受ける前に、無線機器の脆弱性を特定し、スムーズな承認プロセスを保証します。 - IoTとワイヤレスデバイスのセキュリティ試験
当社の専門はネットワーク接続されたIoT機器、スマートホーム機器、ウェアラブルデバイス、自動車システム、通信インフラなどを含みます。
EN 18031規格について
EN 18031-1 – ネットワーク保護
デバイスがネットワークの整合性を損なわないように以下を防止します:- 不正アクセスおよび障害
- 接続されたデバイスを通じたマルウェアの拡散
- パフォーマンスに影響を与える過剰な帯域幅の消費
EN 18031-2 – ユーザーデータとプライバシー保護
以下の方法で個人データの保護に焦点を当てています:
- 貴重なデータの暗号化(送信と保存)
- 不正な追跡とプライバシー侵害からの保護
- 安全な認証とアクセス制御
EN 18031-3 – 不正防止と安全なトランスアクション
無線接続金融機器の不正防止セキュリティを義務化し、以下の点を保証します:- 不正取引と個人情報詐欺からの保護
- 安全なワイヤレス決済処理
- デバイスの複製、改ざんとサイバー詐欺の阻止
ETSI EN 303 645 コンプライアンス
2020年に欧州電気通信標準化機構(ETSI)が ETSI EN 303 645規格を発表し、Internet of Things (IoT)のセキュリティの課題を焦点に当てました。この規格はインターネットに接続された家庭用IoT機器の設計、開発やライフサイクル管理に関するセキュリティ要件を定めています。これには、スマート家電、ウェアラブル技術、ホームオートメーションシステムなど個人または家庭での使用を目的とした機器が含まれます。さらに、ETSI EN 303 645はすべてのIoT機器を対象としているわけではなく、消費者向けの製品に限定されています。医療、製造、産業などの分野ではIoT機器は対象外であり、これらにはETSI規格では対応していない独自のセキュリティ要件や規制があります。
Granite River Labs(GRL)は製造者、開発者とIoTベンダーがETSI EN 303 645の要件を満たし、グローバル市場アクセスを確保できるためにエンドツーエンドのセキュリティ試験とコンプライアンス認証を提供しています。
どうやって ETSI EN 303 645に準拠できるか知りたい方はぜひ当社にご連絡ください。
ETSI EN 303 645とは
ETSI EN 303 645は消費者IoTサイバーセキュリティのヨーロッパ規格であり、接続されている機器のセキュリティの最善の方法を定めています。以下に認められています:- EUサイバーレジリエンス法
- 英国PSTI(製品セキュリティ・電気通信インフラ)法
- IoTセキュリティに関する世界的な規制の枠組み
- コンプライアンスと認証サポート
- プレコンプライアンス・アセスメント – ETSI EN 303 645コンプライアンスの空白を特定
- 技術的な記録とテストレポート – 規制当局の承認準備
- 認証サポート – EU規制要件を効率的に満たす
- 侵入テストとリスク評価
- レジリエンス・テスト – サイバー脅威に対してのIoTデバイスのセキュリティ強度を検証
- 脆弱性評価 – ファームウェア、APIとネットワークプロトコルの脆弱性を特定
- 幅広いIoT製品のテスト
- スマートホームと消費者IoT - カメラ、ドアベル、スマートスピーカーとウェアラブル
- 産業・企業向けIoT - スマートメーター、ファクトリーオートメーションとコネクテッド・ヘルスケア機器
- ネットワーク通信機器 - ルーター、ゲートウェイとスマートハブ
EUサイバーレジリエンス法 (CRA)
EUのサイバーレジリエンス法 (CRA) は製造業者や小売業者がEU市場でハードウェアとソフトウェア製品を販売する前に満たす必要がある厳格なサイバーセキュリティ要件を定めています。2027年12月に導入されるこの規制はデジタル要素を含む消費者向け製品が最新のサイバーセキュリティ基準に準拠していることを保証することで、EU全体のデジタル環境におけるセキュリティの強化を目標としています。
CRAは他の機器やネットワークに直接または間接的に接続する機能を備えた製品を対象としています。これには、一般的な家電製品から複雑な産業用システムまでの幅広い製品が含まれます。しかし、すでに規制の対象となっているオープンソースソフトウェアやサービスはCRAの適用除外とされています。
サイバーセキュリティ基準へのコンプライアンスを義務付けることにより、CRAはデータ漏洩、マルウェア感染、不正アクセスなどのサイバー脅威のリスクを軽減します。CRAの要件を満たした製品には、EUの安全・衛生・環境保護基準への適合を示すCEマーキングが付与されます。
EUサイバーレジリエンス法(CRA)とは
CRAは以下に当てはまります:
- 消費者用および産業用デジタル製品 - ネットワークに接続するあらゆるデバイスまたはソフトウェア
- IoTとスマートデバイス:ウェアラブル端末、スマートホーム機器、接続された家電製品
- エンタープライズと重要インフラシステム:クラウドソフトウェア、産業用オートメーション、通信機器
- 対象外:オープンソースソフトウェアと既存のEUサイバーセキュリティ法の下ですでに規制されている製品
GRLのCRAコンプライアンスとサイバーセキュリティ試験サービス
- サイバーセキュリティのリスクと脆弱性評価
- サイバー脅威、ソフトウェアの脆弱性、ネットワークリスクを特定
- データの保存、伝送とシステムの整合性
- ペネトレーションテストとセキュリティ検証
- サイバー攻撃、マルウェア、不正アクセスに対する耐性をテスト
- ファームウェア、ソフトウェアとAPIのセキュリティを評価
- コンプライアンスとCEマーキングの準備
- CRA準拠のギャップを特定するための事前認証評価
- 規制提出のための技術文書および試験報告書
- CEマーキング承認のサポート
- 安全なソフトウェア開発とライフサイクル管理
- 定期的なソフトウェアのアップデート、セキュリティパッチとインシデント対応計画を確実に実施
- 強力な認証およびアクセス制御メカニズムを導入
イギリスの製品セキュリティとテレコミュニケーションインフラ法 2022年(PSTIA)
PSTIA 2022は強力なパスワードとセキュリティ情報提供を義務化することで、イギリスの消費者向け「スマート」製品のセキュリティを強化します。これらの要件は現時点では製造業者にのみ適用されますが、専門家は将来的に輸入業者や販売業者にも適用される可能性があると考えています。違反による高額なコストを避けるために、サプライチェーンの関係者はPSTIA準拠を優先することが大事です。
イギリスの消費者向け接続可能製品のセキュリティ制度は2024年4月29日から施行されています。施行以来、製品セキュリティおよびテレコミュニケーションインフラ(関連接続可能製品のセキュリティ要件)規則2023は、イギリスの消費者向け接続可能製品(または「スマート」製品)の製造業者に対し、法律に定められた関連する義務を遵守することを求めています。これには、以下の最低限のセキュリティ要件が含まれます。
- これらの規則は「製品セキュリティとテレコミュニケーションインフラ(関連接続可能製品のセキュリティ要件)規則2023」として引用される場合があります。
- これらの規則は2024年4月29日に施行され、イングランドとウェールズ、スコットランド、北アイルランドに適用されます。
これらの規則の施行は標準機関(OPSS)の下で行われ、DSITと覚書(MoU)を結び、PSTI法2022および2023年規則への厳格な遵守を確保しています。
- 注目すべきなのは誰か?それは重要な接続可能製品の製造業者、輸入業者、販売業者です— 皆様の安全とセキュリティを確保するための取り組みが必要です。
- 「重要な接続可能製品」とは一体何か?それは皆様の生活を向上させるために設計されたインターネット接続型またはネットワーク接続型製品で、除外対象製品として分類されたものを除きます。
2023年規則の附則1は、関連接続可能製品に関して遵守すべき具体的な要件を定めています。
- パスワード:パスワードは製品ごとに異なるか、または製品のユーザーが定義できるものでなければなりません。ETSI EN 303 645の規定5.1-1に準拠し、関連する場合はETSI EN 303 645の規定5.1-2にも準拠する必要があります。
- セキュリティ問題の報告方法に関する情報:製造業者は自社製品に関するセキュリティ問題をどのように報告するかについての情報を提供しなければなりません。ETSI EN 303 645の規定5.2-1に準拠する必要があります。
- 最低セキュリティ更新期間に関する情報:最低セキュリティ更新期間に関する情報は消費者に対して明確でアクセス可能かつ透明な方法で消費者に公表し、提供しなければなりません。ETSI EN 303 645の規定5.3-13に準拠する必要があります。
インドの通信セキュリティセンター(NCCS)
インド政府の通信省(DoT)が運営している国家通信セキュリティセンター(NCCS)は通信機器のセキュリティ認証と評価を通じて、インドの重要な通信インフラのサイバーセキュリティを確保しています。
NCCSはインドのすべての通信サービス提供者と通信インフラの輸入業者に適用されるセキュリティ規制である「インディアン・テレコム・セキュリティ・アシュアランス・リクワイアメンツ(ITSAR)」を策定しました。
必須のテレコミュニケーション機器のテストおよび認証(MTCTE)に基づくITSARは、ネットワークセキュリティ、データプライバシー、合法的傍受などの分野を網羅しています。ITSARへの準拠は、インドの通信インフラのセキュリティを確保するだけでなく、通信機器の製造業者に対して、インドの公的および民間組織との契約入札において競争優位性を提供します。
NCCS指定のテレコムセキュリティテストラボ(TSTL)として、GRLは以下の機器のITSARとその他の国内外の基準に基づいたサイバーセキュリティテストを提供しています:
- IPルーター(スタンドアロン、クラウド管理、仮想ルーター)
- Wi-Fiカスタマープレミス機器(CPE)
- スタンドアロンまたはクラウド管理のアクセスポイント(AP)
- 光回線端末(OLT)と光ネットワーク端末(ONT)
- 5G/LTEコアと無線ネットワークコンポーネント
NCCS認証の取得はテレコム機器のMTCTE認証を取得するための前提条件であり、MTCTE認証はテレコム機器がインド市場に進出するための必須要件です。
BIS CCTV cybersecurity
電子・情報技術省(MeitY)はすべての消費者向け電子機器メーカーに対し、製品をインド標準規格局(BIS)に登録することを義務付ける強制認証登録制度(CRS)を実施しています。この登録は、製品がBIS認定の試験機関でテストを受けた後にのみ取得できます。
電気安全基準に加えて、すべてのCCTVカメラは、2025年4月9日から施行される必須要件(ER01)で定められたサイバーセキュリティ要件を満たさなければなりません。
CCTVカメラのセキュリティを確保することは機密情報の保護とシステムの効果的な運用にとって重要です。テストの主要な領域には公開されたネットワークサービス、デバイス通信プロトコル、デバイスのUART、JTAG、SWDへの物理的アクセス、メモリおよびファームウェアの抽出能力、ファームウェア更新プロセスのセキュリティ、データの保存と暗号化が含まれます。OEMは以下のCCTVカメラにおける最低限のセキュリティ要件を確保する必要があります:
- アクセス制御 - 管理者、オペレーター、ユーザーに対して役割ベースの認証を実施
ネットワークセキュリティ - データの保存と伝送に対してエンドツーエンドの暗号化の確保と盗聴やデータ漏洩の防止 - ソフトウェアセキュリティ - 脆弱性を修正するために定期的にファームウェアとソフトウェアの更新。未使用の機能を無効化し、不要なネットワークサービスを制限。二要素認証(MFA)を含む強力なパスワードポリシーを導入。
- ペネトレーションテストとサイバー脅威耐性 - 脆弱性を特定し修正するために定期的にペネトレーションテストを実施する。システムがサイバー攻撃、マルウェア、不正アクセスの試みに耐えられることを確認する。
GRLインディアは、強制登録制度(CRS)の下でCCTVカメラのサイバーセキュリティテストに関してBISに認定されており、製造業者が認証前に行うコンプライアンス前テストおよびER01に定義された必須セキュリティ要件に基づくセキュリティパラメータのテストを支援しています。以下のカテゴリーにおけるテストを行います:
- ハードウェアレベルのセキュリティパラメータ
- ソフトウェア/ファームウェア
- セキュアプロセス適合性
- 製品開発段階での適合性
脆弱性評価とペネトレーションテスト(VAPT)
VAPTはテレコム、IoT、ドローンを含む接続デバイスのセキュリティリスクを特定、分析、軽減するために重要です。米国国立標準技術研究所(NIST)のSP 800-115は、サイバー耐性と規制遵守を確保するためのセキュリティテストのための体系的な方法論を提供しています。
提供されるサービスには以下が含まれます:
- 脆弱性評価(VA) – セキュリティギャップの特定
- ハードウェア、ファームウェア、ソフトウェアの脆弱性に対する自動および手動スキャン
- 暗号化、認証、アクセス制御メカニズムの評価
- 影響の重大性に基づくリスク評価および優先順位付け
- ペネトレーションテスト(PT) – 実際の攻撃をシミュレート
- ブラックボックス、グレーボックス、ホワイトボックスのテスト手法
- サイバー攻撃、マルウェアのインジェクション、不正アクセスの試みをシミュレート
- ファームウェアの完全性、APIのセキュリティ、ネットワークの回復力をテスト
アプリケーションセキュリティテスト(AST)
現代のアプリケーションはウェブ、モバイル、IoT、テレコムネットワーク、組み込みデバイス上で実行されるものを問わず、サイバー攻撃のターゲットにされます。弱い認証、セキュリティが不十分なAPI、未修正の脆弱性は、システムを侵害、データ漏洩、サービス中断にさらす可能性があります。強固なアプリケーションセキュリティを確保することは、ユーザーの信頼、規制遵守、ビジネスの継続性を維持するために不可欠です。
- テストサービス
ウェブ&モバイル・アプリケーション・セキュリティ・テスト - IoT & 組込みシステム・アプリケーション・セキュリティ
- APIとクラウドアプリケーションセキュリティテスト
- ペネトレーションテストとエクスプロイトシミュレーション
- 安全なソフトウェア開発とDevSecOps
Granite River Labs(GRL)はNABL(ISO/IEC 17025)認定の試験機関として、製造業者、ソフトウェア開発者、サービスプロバイダーがOWASP Top 10およびCWE 25フレームワークに基づく厳格なセキュリティテストを通じてアプリケーションを強化します。当社のエンドツーエンドのセキュリティ評価は開発から展開までの各段階でアプリケーションがサイバー脅威に対して耐性を保証します。
CISベンチマーク・コンプライアンステスト
ネットワークインフラはサイバー脅威の重要なターゲットであり、ルーター、スイッチ、ファイアウォール、VPNゲートウェイ、その他のネットワークデバイスに対するセキュリティ強化は最優先事項です。インターネットセキュリティセンター(CIS)のベンチマークは、脆弱性を削減し、不正アクセスを防止し、システムの耐障害性を向上させるための業界で認められたセキュリティ設定を提供します。
GRLのCISベンチマーク・コンプライアンステストサービス
- ベースラインセキュリティ構成の検証
- ネットワークハードニングとセキュア設定テスト
- 自動コンプライアンス監査とレポート
- 侵入テストと脆弱性評価