EUの機械規則2023/1230とは：機械指令との違いとCRAとの関係性

更新日: 2025年01月08日

本記事では、EUの新機械規制2023/1230とCRAの関係性や、サイバーセキュリティ要件の主なポイント、機械指令との違いについて解説します。CRA（サイバーレジリエンス法）のサイバーセキュリティ義務を遵守することは、EUの新機械規則2023/1230の要件を満たすことにもつながります。これは、EU史上初めて、ハードウェアおよびソフトウェア製品のライフサイクル全体にわたってサイバーセキュリティの必須要件を課す法律です。

EUの機械規則2023/1230とは
機械規則2023/1230とサイバーレジリエンス法（CRA）の関係性
EUサイバーレジリエンス法（CRA）の現状
機械指令から機械規則への主な変更点とは
機械製造業者向けTXOneソリューションポートフォリオ
まとめ
おすすめ記事
参考資料

EUの機械規則2023/1230とは

EUの機械規則2023/1230とは、機械および関連製品の安全性に関する新しい法的枠組みを提供するもので、2023年6月29日に欧州連合で採択されました。
この規則は、既存の機械指令2006/42/ECに取って代わり、EU域内での機械の設計、製造、販売に関する安全性要件を現代の技術や市場状況に合わせて更新しています。

また、最新の機械規則は、機械指令2006/42/ECが当初対象としていた製品範囲と適合性評価手順を改訂しています。

規則（EU）2023/1230の範囲に該当する製品は、付属書IIIのセクション1.1.9および1.2.1に規定されたサイバーセキュリティ要件を満たす必要があります。

この規則は、2023年7月19日に発効し、2027年1月14日までに全面施行される予定です。

機械規則2023/1230とサイバーレジリエンス法（CRA）の関係性

欧州連合（EU）は、サイバーレジリエンス法（CRA）として知られる新しいサイバーセキュリティ規則を導入しました。この法律は、ソフトウェアからモノのインターネット（IoT）デバイス、機械設備に至るまで、デジタル化されたほぼすべてのエンティティにセキュリティ基準を定めているという点で重要です。CRAは、「デジタル要素を持つ製品」を対象とすることで、規則（EU）2023/1230の範囲内の製品に対するサイバーセキュリティ要件を拡大しています。これは、チップ、ソフトウェア、デバイス、アプリケーションなどのコンポーネントを含む機械が影響を受けることを意味します。CRAのサイバーセキュリティ義務を遵守することは、規則（EU）2023/1230の要件を満たすことにもつながります。

これは、EU史上初めて、ハードウェアおよびソフトウェア製品のライフサイクル全体にわたってサイバーセキュリティの必須要件を課す法律です。特筆すべき点は、この法律は、製品、特にCEラベルが貼付された製品が、基本的なサイバーセキュリティ基準を満たし、少なくとも5年間のセキュリティサポートが受けられることが保証され、長期にわたり安心して使用できるようになった点です。

EUサイバーレジリエンス法（CRA）の主な内容

サイバーセキュリティに重点を置き、デジタル要素を持つ製品を市場に投入する際のルールを定めています。
これらの製品の設計、開発、製造に関する基本的な要件を定義し、事業者がこれらの要件を満たす責任について概説しています。
製造業者が製品ライフサイクル全体を通して脆弱性をどのように管理すべきかについて、事業者の責任を含み、基本的なガイドラインを策定しています。
上記の規則と要件の市場監視と執行のための措置が記されています。

EUサイバーレジリエンス法（CRA）の現状

2023年11月30日、欧州議会と欧州理事会は、2022年9月に欧州委員会が当初提案したサイバーレジリエンス法（CRA）について政治的合意に至りました。その後、2024年3月12日、欧州議会は、EU内のすべてのデジタル製品をサイバー脅威から保護することを目的とした新しい基準を承認しました。ただし、この合意はまだ最終的なものではなく、欧州議会と欧州理事会の双方から正式な承認を得る必要があります。

承認されれば、産業界はこれらの新しい規則に適応するために36カ月の猶予が与えられます。一方、報告義務はそれよりも早く、法律が可決されてからわずか21カ月後に発効となります。CRAは2024年第2四半期までに可決される見込みです。つまり、新しい要件は2027年4月～6月の間に適用開始となり、インシデントおよび脆弱性の報告義務は2026年1月～4月の間に発効ということになります。

機械指令から機械規則への主な変更点とは

CRAは、EU市場におけるハードウェアおよびソフトウェア製品の製造業者、輸入業者、販売業者に影響がおよびます。製造業者は、次のことを行う必要があります。

計画・設計から開発、生産、納品、メンテナンスまでのあらゆる段階でサイバーセキュリティを組み込む。
すべてのサイバーセキュリティリスクを文書化する。
悪用された脆弱性やインシデントを積極的に報告する。
製品寿命または5年のいずれか短い期間、脆弱性を効果的に管理する。
デジタル要素を持つ製品の使用方法について、明確で分かりやすい説明書を提供する。
セキュリティアップデートを少なくとも5年間提供する。

表1.デジタル要素を持つ製品の特性に関するセキュリティ要件

表2.脆弱性処理の要件

輸入業者（EU域内でEU域外の事業者の名称または商標で製品を販売する事業者）および販売業者（EU市場で製品の性能を変更せずに提供する事業者）にも責任があります。彼らは、EUの基準に適合していることを示すCEマークの適切な貼付を含め、製造業者がCRAを遵守しているかどうかを確認する必要があります。

サイバーレジリエンス法（CRA）：コンプライアンス要件の対象となる製品の特定

製造業者は、自社の製品がEUのサイバーレジリエンス法の適用範囲に含まれるかどうかを判断し、適切に準拠する必要があります。この法律は、製品を3つのタイプに分類しており、準拠するためにはそれぞれ異なるアプローチが必要となります。

クラスI 重要製品：これらは、第三者評価を受けるか、策定した基準を満たしていることを自己宣言する必要があります。
クラスII 重要製品：第三者の評価が必要です。
極めて重要な製品：これらは、国家当局の監督下で第三者評価を受けます。

ただし、CRAはすべての製品に適用されるわけではありません。他のEU規制ですでに対象となっている特定の製品は免除されます。たとえば、次のようなものが該当します。

EU 2017/745で規制されている医療機器
EU 2017/746で規制されている体外診断用医療機器
EU 2019/2144で規制されている道路交通安全製品
EU 2018/1139で規制されている民間航空および航空輸送機器
指令2014/90/EUで対象となっている船舶用機器

また、国家安全保障または防衛目的のために特別に設計された製品、または機密情報を扱うことを目的とした製品は、CRAの対象外です。

表3.デジタル要素を持つ重要な製品と極めて重要な製品

機械製造業者向けTXOneソリューションポートフォリオ

Elementシリーズ：機械の納品前セキュリティ検査

納品前に、機械製造業者は各機械に対して包括的なマルウェアスキャンを実施することが非常に重要です。このプロセスには、悪意のあるソフトウェアの検知と文書化が含まれます。さらに、Elementソリューションは、資産情報を収集してインベントリリストを作成できるため、IT/OTの可視性が高まり、シャドーIT/OTを排除することができます。この予防策により、機械が引き渡し時点で安全であり、意図したとおりに機能することが保証されます。

Stellar：事業継続のための包括的なマルウェア対策

Windowsオペレーティングシステムで動作するあらゆる規模のマシンの場合、エンドポイントマルウェア対策ソフトウェアを使用することが最も効果的な防御手法です。このソフトウェアは、通常次の2つのモードで動作します。

稼働環境での振る舞い異常検知：Stellarは、高度なアルゴリズムを利用して、システム稼働環境の異常な振る舞いをリアルタイムで検知します。この異常検知機能により、早期検知と迅速なアラートが可能になり、セキュリティが向上して、疑わしい活動の迅速な調査と軽減がスムーズに進められます。
保護モード：システムとその環境を積極的にスキャンして、脅威を検知し、軽減します。
ロックダウンモード：信頼できるアプリケーションのホワイトリストを作成し、明示的に許可されていないソフトウェアは自動的にブロックします。このモードは、システム上で実行できるものを厳密に制御するためには必須で、悪意のある介入に対する防御を強化します。

Edgeシリーズ：セキュリティ侵害を防御するためのネットワークセキュリティの強化

ネットワーク・セキュリティ・アプライアンスは、特にリモート管理されている機械を保護する上で重要な役割を果たします。運用制御技術（OT）環境において、OT中心のファイアウォールを導入してネットワーク接続を保護することが不可欠です。さらに、侵入防御システム（IPS）は、悪意のあるデータパケットや不正なネットワークコマンドを事前にブロックするために実装します。これらのシステムは、適用する規模やアプローチが異なります。

組み込み型フォームファクター：小規模なIPSデバイスは、個々のマシンに直接統合できます。
OTネットワークセグメンテーション：このソリューションは、各ゾーンに定義された適切なレベルに基づいて、論理的または物理的にセグメント化を効果的に実現するためのさまざまなセキュリティ機能を提供します。
シグネチャベースの仮想パッチ：仮想パッチを使用することで、ネットワークは既知の脅威に対して強力かつ最新の第一線の防御線を確保できます。ユーザーはパッチ適用プロセスをより詳細に制御できるため、インシデント発生時の予防的な防御が可能になり、レガシーシステムの保護も強化されます。
大規模ソリューション：より大きなユニットは、複数のマシンを同時にネットワーク保護できるため、ネットワークセキュリティの課題に対するスケーラブルなソリューションを提供します。

まとめ

サイバーレジリエンス法（CRA）の施行は、セキュリティが将来のデジタルデバイス開発の中核となることを目的としています。つまり、製造業者が製品の開発方法を見直さなければならないことになります。これまでは、デバイスのエネルギー効率など、機能面に重点が置かれていたかもしれません。しかし今後は、最初からセキュリティを真剣に考慮しておく必要があります。

しかし、CRAは、製造業者、輸入業者、販売業者にとって、コンプライアンスコストと課題も大幅に増加させます。新たな要件や基準に適応し、インシデントや脆弱性を監視・報告する必要があり、コンプライアンス違反があった場合には制裁や責任を負う可能性があります。CRAの基本的なセキュリティ要件を満たしていない場合、違反の種類に応じて、500万～1500万ユーロ、または前会計年度の世界売上高の1～2.5%のいずれか高い方の罰金が科せられる可能性があります。罰金にとどまらず、当局はEU市場から製品を撤去するよう要求することもできます。

理想を言えば、製造業者は製品開発ライフサイクル全体を通してセキュリティを中心に据える必要があります。TXOneのOTネイティブソリューションは、脅威を特定し、デバイスがさらされている攻撃対象領域とリスクを削減し、これらの脅威を軽減する方法を提案します。また、企業とその産業資産の両方において、OTゼロトラスト防御アプローチを組み込むことを強くお奨めします。そうすることで、セキュリティ対策を効果的に強化することができます。

製造業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。

参考資料

[1] 欧州議会および欧州連合理事会。「機械に関する規則（EU）2023/1230、および欧州議会および理事会の指令2006/42/ECならびに理事会指令73/361/EECの廃止」、欧州連合官報、2023年6月29日。
[2] 欧州議会、「デジタル要素を含む製品に対する水平的なサイバーセキュリティ要件に関する欧州議会および理事会の規則案および規則（EU）2019/1020の改正に関する2024年3月12日の立法決議」、欧州議会、2024年3月12日。
[3] Jon Clay、｢EUレジリエンス法が製造業におよぼす影響｣、トレンドマイクロ、2023年12月12日。
[4] Justyna Ostrowska。『サイバーレジリエンス法案: 知っておくべきこと｣、A&O Shearman、2024年1月4日。
[5] Anu Laitila、Kristian Herland、｢サイバーレジリエンス法 – EU全域でのサイバーセキュリティの強化｣、Deloitte Finland。(n.d.).取得日 2024年5月3日。

EUの機械規則2023/1230とは：機械指令との違いとCRAとの関係性

目次