【第4回】製品のリスク分類と、CEマーク取得に向けた適合性評価の手順
はじめに
製品がCRA(欧州サイバーレジリエンス法)の必須セキュリティ要件を満たしていることを証明するためには、所定の「適合性評価(Conformity Assessment)」を実施し、「CEマーク」を製品に貼付する必要があります。
しかし、すべての製品に対して同じ評価基準が適用されるわけではありません。
製品分類では、抽象的なリスクの大小だけでなく、製品全体の主たる機能・技術的能力、すなわちcore functionalityがAnnex IIIまたはAnnex IVの製品カテゴリに該当するかを確認します。
3つのリスクに基づく製品分類
CRAは、対象となる「デジタル要素を含む製品」を以下の3つに分類しています。自社製品がどこに該当するかを見極めることが、適合性評価の第一歩です。
1. デフォルト製品(Default products)
後述する「重要な製品」や「特に重要な製品」に該当しない、すべての一般的なデジタル製品がここに含まれます。一般的なスマート家電やIoT機器の多くはデフォルト製品に該当し得ます。ただし、スマートロック、防犯カメラ、アラーム、ベビーモニター、スマートホーム用アシスタントなど、Annex IIIに該当する機能を有する製品は重要製品に分類される可能性があります。
2. 重要なデジタル製品(Important products with digital elements)
サイバー攻撃を受けた際の影響が大きい、あるいは他システムへのアクセス経路として機能する製品群です。さらにリスクに応じて「クラスI」と「クラスII」に細分化されます。(附属書IIIにリストアップされています)
クラスIの例:
ブラウザ、オペレーティングシステム(OS)、ルーターやモデム、ネットワーク管理システム、ID管理システム、セキュリティ機能を持つスマートホーム製品(スマートロックや防犯カメラ、スマートアシスタントなど)。
クラスIIの例:
ファイアウォール、侵入検知/防御システム(IDS/IPS)、ハイパーバイザ、コンテナランタイムなど。
3. 特に重要なデジタル製品(Critical products with digital elements)
国の重要インフラや極めて機密性の高い環境で使用される製品です。(附属書IVにリストアップされています)
対象の例:
セキュリティボックスを備えたハードウェアデバイス、スマートメーターゲートウェイ、スマートカードまたは類似デバイス(セキュアエレメントを含む)など
リスク区分に応じた「適合性評価」の手順
製品の分類によって、CEマークを取得するために必要な適合性評価のアプローチが異なります。
デフォルト製品の場合
デフォルト製品については、メーカーは内部管理手続(Internal control / Module A)により、リスク評価、試験、技術文書の整備等を通じて要件適合を自己評価できます。その後、EU適合宣言を作成し、CEマーキングを貼付します。
重要なデジタル製品(クラスI)の場合
原則として、欧州の整合規格(Harmonised Standards)等に完全に準拠している場合は「自己適合宣言」による証明が可能です。しかし、該当する規格がない場合や完全に準拠していない場合は、指定機関(Notified Body:第三者適合性評価機関)による審査を受けるか、特定の欧州サイバーセキュリティ認証スキームを適用する必要があります。
重要なデジタル製品(クラスII)および 特に重要なデジタル製品の場合
重要製品Class IIについては、原則として、EU型式審査+内部生産管理、完全品質保証、または該当する欧州サイバーセキュリティ認証スキームの利用が必要になります。クリティカル製品については、Article 8に基づく欧州サイバーセキュリティ認証スキームが指定される場合、その利用が特に重要となります。