厳格化するIoT機器の法制度や規格に対応するための“4A”とは

　「組み込み開発においてセキュリティに対する要求が厳しさを増している。その背景には、各国が強化している各種サイバーセキュリティ関連法への対応がある」――。組み込み開発と組み込みセキュリティの両ソリューションを提供するIARシステムズの日本法人でカントリーマネージャーを務める原部 和久 氏は、こう指摘する（写真1）。

　例えば、2022年8月に発表された「欧州サイバーレジリエンス法案（EU Cyber Resilience Act）」は、デジタル要素を有する技術を用いる機器に対しサイバーセキュリティ対策を求めている。その機器にリスクがあると判定されれば、製品のリコールが求められ、違反事由があれば最高1500万ユーロまたは当該企業の全世界売上高の2.5%以内の罰金が課される。「欧州で製品を販売したい日本企業は、「2025年の適用に向けた準備を迫られる」（原部氏）

　ほかにも欧州では、無線機器指令「RED（Radio Equipment Directive）」にサイバーセキュリティの必須要件としての追加が計画されている。米国では、サイバーセキュリティに関するラベル表示制度の運用開始を2024年内に目指す動きがある。原部氏は、「対応を迫られるメーカーは、1つの制度だけではなく、これら各国の各種制度への対応も視野にいれて対策していく必要がある」と強調する。

写真1：IARシステムズ カントリーマネージャーの原部 和久 氏

各国の規制・法律に個別でない効率的・効果的な実装が必要に

　こうした複数の法制度対応においてメーカーは、「自社製品におけるセキュリティ機能を、いかに効率的・効果的に実装するかを考えなければならない」と原部氏は提言する。「各国の規制や法律に合わせて仕様をカスタマイズしたり、プラットフォームを準備したりしていては、設計コストが跳ね上がるほか、その後の運用も困難になる」（同）からだ。

　では組み込み機器のサイバーセキュリティ対応としては具体的に何が求められているのか。原部氏は、「IARシステムズがサイバーセキュリティ関連法を読み解き、共通に求められる技術仕様をまとめた。それが“4A”だ」と説明する。すなわち、（1）Authentication（認証）、（2）Active IP Protection（アクティブIP保護）、（3）Anti-rollback（アンチロールバック）、（4）Anti-cloning（アンチクローニング）である。