こんにちは、みなさん。
最近は涼しくなってきましたね。暑さ寒さも彼岸までとはよく言ったもので、過ごしやすい季節になってきました。
最近、私の趣味である筋トレが上達してきて、両手40Kg×10回のダンベルプレスや120Kg×10回のベンチプレスができるようになりました。継続は力なり、という言葉が本当に成り立つことを実感しています。誰でも持ち上げることはできますが、きれいなフォームで持ち上げることができるからこそ、怪我の予防にもつながると思います。何事も基礎が大事なんだなと改めて感じました。
さて、最近皆さんから多くの質問をいただくのが、機械規則 (EU) 2023/1230 とサイバーセキュリティに関することです。これについてもっと詳しく知りたい、という声が多いようですね。私もその重要性を感じており、今回はこのテーマについて皆さんと共有したいと思います。
改ざん (corruption) からの保護
新しい機械規則(EU)2023/1230 が発表され、製造業者にとって重要な変更が加わりました。この機械規則では、「セキュリティ」が新たに製造業者の義務となります。具体的には、付属書III においてEU 議会は「改ざん (corruption) に対する保護」を要求しており、これは機械や機械と通信するリモートデバイスが他の装置に接続される際の危険性を排除するための措置を求めています。
このような変化に対応するため、EU 委員会はセキュリティに関する整合規格の策定を進めており、2024年現在、CENELEC TLC/TC 44X (技術委員会 Technical Committee) は機械規則 (EU) 2023/1230 をサポートした、prEN 50742 (Safety of machinery – Protection against corruption)(機械の安全性 – 改ざんに対する保護)という新しい機械規則の要求事項に対応する、全く新しい整合規格を開発しています。この規格は特に新しい機械規則における(サイバー)セキュリティの側面をカバーすることを意図しており、製造業者にとって重要な情報です。
新しい機械規則による変更は製造業者にとって影響が大きく、今後の動向に注目が集まります。セキュリティに関する規格や要件を遵守することは、製造業者にとって重要な課題であり、適切な対策を講じることが求められます。今後も関連情報の把握と適切な対応が求められます。
prEN 50742 (Safety of machinery – Protection against corruption)(機械の安全性 – 改ざんに対する保護)
prEN 50742 (Safety of machinery – Protection against corruption)(機械の安全性 – 改ざんに対する保護)は危険源となる悪意のある第三者の行為を含む、機械の偶発的及び意図的な改ざんを防止するための要件及び推奨事項を規定します。この文書の適用範囲は以下となります。
- 適用範囲
-
- リモート機器や制御システムとのインタフェースを含む、信号やデータを送信できるハードウェアコンポーネント
- ソフトウェアとデータ
- 機械の安全性に影響を及ぼす可能性がある場合
- 1.1.9. 不正行為に対する保護
-
機械又は関連製品は、接続された装置自体の機能又は機械又は関連製品と通信する遠隔装置を介して、他の装置と接続することが危険源にならないように設計及び構築されなければならない。
機械又は関連製品が関連必須健康安全要求事項に適合するために重要なソフトウェアへの接続又はアクセスに関連する信号又はデータを送信するハードウェアコンポーネントは,偶発的又は意図的な破損から適切に保護されるように設計しなければならない。機械又は関連製品は、機械又は関連製品のコンプライアンスにとって重要なソフトウェアへの接続又はアクセスに関連する場合、そのハードウェアコンポーネントへの合法的又は違法な介入の証拠を収集しなければならない。
機械又は関連製品の必須健康安全要求事項への準拠に不可欠なソフトウェア及びデータは,そのように識別され,偶発的又は意図的な破損から適切に保護されなければならない。
機械又は関連製品は、その機械にインストールされている、安全にオペレーターを行うために必要なソフトウェアを特定し、その情報を容易にアクセスできる形で常に提供できるようにしなければならない。
機械又は関連製品は、ソフトウェアへの合法的又は違法な介入、機械又は関連製品にインストールされたソフトウェア又はその構成の改変の証拠を収集しなければならない。 - 1.2.1. 制御システムの安全性及び信頼性
-
制御システムは、危険源の発生を防止するように設計・構築されなければならない。
制御システムは、次のような方法で設計及び構築されなければならない:
(a) 状況及びリスクに応じて、意図したオペレーターのストレス、危険な状況につながる第三者からの合理的に予見できる悪意ある試みを含む意図した及び意図しない外部影響に耐えることができる;
(f) 機械又は関連製品が上市又は使用開始された後にアップロードされた介入に関連するデータ及び安全ソフ トウェアのバージョンの追跡ログは,管轄国家当局からの合理的な要求に応じて機械又は関連製品が本付属書に適合していることを示すためにのみ、そのアップロード後5年間有効でなければならない。
新しい機械規則(EU) 2023/1230 の付属書III の1.1.9 には、改ざん防止に関する要求事項が定義されています。この要求事項は、デバイスの接続だけでなく、「リモートデバイス」との接続に関しても危険な状況を避けることを求めています。具体的には、インターネット経由での接続が危険な状況につながってはならないとされています。
機械規則の付属書III の1.1.9 以外にも、セキュリティの側面を扱っているセクションが存在します。例えば、1.2.1 項には、制御システムの堅牢性に関する新たな要求事項が含まれています。この規則では、意図的でない改ざんと意図的な改ざんを区別しており、それぞれ異なる対処が求められています。意図的でない改ざんは主に悪意なく変更を加える従業員を指し、一方、意図的な操作は主にハッキングによって行われるものが該当します。
このように、新しい機械規則は、機械の安全性だけでなく、それを取り巻くセキュリティの側面にも焦点を当てており、これらの規則を遵守することが重要となっています。企業や製造業者は、これらの要求事項を遵守するために、適切な対策を講じる必要があります。
いつ発行されるのか?
2024年9月現在、prEN 50742 (Safety of machinery – Protection against corruption)(機械の安全性 – 改ざんに対する保護)のステータスは “IN_DEVELOPMENT” とあり、開発中です。おそらく機械規則が施行される一年前の2026年の初めまでには発行されると考えられています。
この記事では、”Protection against corruption” を日本語で「改ざんからの保護」と訳しています。翻訳に関して疑問が生じた場合は、原文を優先することをお勧めします。翻訳は、原文の意図を正確に伝えるための手段であり、誤解を避けるためにも、原文を参照することが最も確実です。