*この記事は、2026年04月13日に書かれた記事です。
欧州CEマーキング法令の機械規則(Regulation (EU) 2023/1230)は、2027年1月20日から全EU加盟国で強制適用されます。
EU機械規則では、サイバーセキュリティ要求が盛り込まれております。
従来の機械指令(2006/42/EC)にはなかったサイバーセキュリティ要求が必須安全要求として明文化され、EU向けに機械を設計/製造、出荷する製造業者は、対応を開始する必要があります。
サイバーセキュリティの要求は、機械規則において新たに追加されたものであり、産業機械メーカーやシステムインテグレーターにとって、重要な対応課題となります。
本記事では、機械規則(2023/1230/EU)のサイバーセキュリティ要求事項の詳細と、国際規格IEC 62443シリーズを活用した対応について、ご紹介致します。
<コンテンツ一覧>
- 1. 産業機械、産業システムに対するサイバー攻撃
- 2. 機械規則 2023/1230/EU のサイバーセキュリティ要求とは
- 3. IEC 62443シリーズの適用について
- 4. よくある質問(FAQ)
- 5. イーエムテクノロジーのサービス
1. 産業機械、産業システムに対するサイバー攻撃
サイバー攻撃の脅威は、産業機械にとっても現実的なリスクとなっています。
2010年9月、イランの核燃料施設のウラン濃縮遠心分離機の制御システムを標的にしたサイバー攻撃がありました。
これは、Stuxnet(スタックスネット)事件と呼ばれ、世界的に注目されました。
Stuxnetは、産業機械の制御システムであるPLC(プログラマブル・ロジック・コントローラー)を標的とするマルウェアにより、遠心分離機の回転速度を異常な速度に変化させ、設備を物理的に破壊するようにプログラムされていました。
インターネットから隔離されたシステムにUSBメモリ経由で感染し、Windowsの脆弱性を悪用、感染を拡大し、SCADA(監視制御システム)に侵入、遠心分離機の回転速度を異常な速度に変化させ、設備を物理的に破壊するように仕組まれていました。
このStuxnet事件をきっかけに、産業機械においてもサイバーセキュリティに対する保護が求められるようになっていきました。
この他にも、石油パイプラインに対する攻撃によりパイプライン動作が停止に陥ったり、自動車工場が操業停止になるという事例もあります。
2. 機械規則 2023/1230/EU のサイバーセキュリティ要求とは
機械規則では、サイバーセキュリティに関する要求が盛り込まれました。
機械のデジタル化、ネットワーク化が進み、ソフトウェアの不具合や不正アクセス、通信経由の改ざんなどによって、人身安全だけではなく、設備/生産ラインの停止や復旧遅延、納期遅延などの操業被害にも直結するようになったためです。
EUは、従来の機械安全要求だけでは不十分と考え、接続機器や遠隔アクセスを含めて、機械が改変や介入によって危険状態にならないこと、さらにその証拠を把握できることを機械規則に盛り込んでおります。
機械規則では、具体的には、付属書Ⅲの必須安全衛生要求の「1.1.9 不正行為からの保護」と「1.2.1 制御系の安全性と信頼性」2つのセクションに規定されました。
Annex Ⅲ §1.1.9「不正行為からの保護」
付属書Ⅲ §1.1.9「不正行為からの保護」では、通信機能のある機器を介した接続に対して、偶発的または意図的な不正から保護しなければなりません。
自社の機械製品に他の機器やリモート機器が接続されても、危険状態にならないよう設計し、適合に重要なソフトウェア、データ、信号伝送部は偶発的、意図的な不正から保護する必要があります。
さらに、正当・不正介入の証拠を収集できるようにすることも求められています。
Annex Ⅲ §1.2.1「制御系の安全性と信頼性」
付属書Ⅲ §1.2.1「制御系の安全性と信頼性」では、制御システムが安全機能を確実に実行できるように、設計・製造することを要求しています。
故障、外乱、配線ミス、論理エラー、人為的操作などで危険が生じないこと、安全関連ソフトウェアやデータの誤り・改変で危険状態にならないこと、必要な場合は異常を検出して安全側へ移行することが要点です。
特に、(f)では、安全に関係するソフトウェアの変更や介入履歴を追跡できるようにしておくように要求が記載されており、安全関連ソフトウェアのソフトの設定変更や介入記録を後で確認できるよう、記録を残せる設計にしておくことが必要になります。
3. IEC 62443シリーズの適用について
機械製品に組み込まれているPLCのイーサネット、USBポートなどの外部通信機能を持つ機器は、サイバーセキュリティ要求の対象となります。
欧州では、機械規則への整合規格の策定を進めており、サイバーセキュリティに関する整合規格は、おそらく「EN 50742(Safety of machinery – Protection against corruption)」が採用されると思われます。
EN 50742は、現在はドラフト段階であり、発行までにまだ少し時間がかかりそうです。
しかしながら、正式にEN 50742が発行されてから、機械規則に切替えまでそれほど猶予がないことを考えると、今から取り組んでおかなければなりません。
EN 50742が規定しているのは、機械が偶発的、及び意図的(悪意を含む)な不正行為により、危険状況につながることを防止するための方法論であり、ドラフト内容を読む限りは、IEC 62443シリーズ規格を参照することについても記載されています。
要するに、サイバーセキュリティへの対応、取り組みを行った製品にしなければならないということです。
IEC 62443シリーズは、産業用制御システム(ICS)のセキュリティを確保するための規格群であり、サイバー攻撃による脅威の評価や、セキュリティ対策を講じることが可能になります。
イーエムテクノロジーでは、IEC 62443シリーズへの対応、EN 50742が制定された後への切り替え、機械指令から機械規則への移行対応についても承っております。
IEC 62443 主要パートと機械規則要求の対応
IEC 62443シリーズには複数のパートがあります。機械規則のサイバーセキュリティ要求への対応において、特に関連するパートを以下に示します。
| IEC 62443 パート | 概要 | 機械規則との関連 |
|---|---|---|
| IEC 62443-2-1 | ICSセキュリティ管理システムの確立 | Annex III §1.1.9 セキュリティ管理体制の構築 |
| IEC 62443-3-2 | ICSのセキュリティリスクアセスメント | Annex III §1.1.9 リスクアセスメントの実施 |
| IEC 62443-3-3 | システムセキュリティ要求とセキュリティレベル | Annex III §1.2.1 制御系の安全性・信頼性確保 |
| IEC 62443-4-2 | コンポーネントのセキュリティ要求 | PLC・センサ等の機器レベルのセキュリティ |
機械規則 サイバーセキュリティ対応チェックリスト
機械規則(2023/1230/EU)のサイバーセキュリティ要求に対応するための主要な確認事項です。
- 外部通信インターフェース(USB、イーサネット、無線等)の洗い出しと脅威分析の実施
- サイバー攻撃シナリオを考慮したリスクアセスメントの実施(IEC 62443-3-2参照)
- 不正アクセス・改ざん防止のための認証・アクセス制御の実装
- 安全関連ソフトウェアの変更履歴・介入記録の保存機能の実装(§1.2.1(f)対応)
- 不正介入の証拠収集機能の設計(§1.1.9対応)
- 技術文書(Technical File)へのサイバーセキュリティ対応根拠の記載
- 整合規格(EN 50742)発行後の切り替え対応計画の策定
4. よくある質問(FAQ)
Q1. IEC 62443シリーズへの適合で機械規則に適合しているものと扱って問題ありませんか?
IEC 62443シリーズは、現時点では、整合規格(Harmonised Standard)として指定されておりません。
おそらく、EN 50742が整合規格として採用されるものと思われます。
整合規格化がされていなくても、IEC 62443への適合を技術文書で示すことで、要求を満たすための根拠として有効な手段と考えられます。
Q2. インターネットにつながらない機械でも対象になりますか。
1.1.9項では、常時インターネット接続がなくても、USB、保守PC、現場LAN、サービスインターフェース、更新用端末などの通信機能を通じて安全に影響する場合は、対象になり得ます。
Q3. 例えば、サイバーセキュリティ規格に適合した製品を使用していれば、適合していると言えますか。
サイバーセキュリティ規格に適合した機器を機械製品に組み込んでいるだけでは、本要求に適合しているとは言い切れません。
自社製品に、組み込まれている部品や機器がサイバーセキュリティ規格の適合品でも、接続方法、権限の設定、更新方法、他機器との連携、故障時や不正介入時の安全側動作まで含めて、最終製品である機械全体で評価する必要があります。
Q4. 機械規則のサイバーセキュリティ要求はいつから義務化されますか?
機械規則(Regulation (EU) 2023/1230)は、2027年1月20日からEU全加盟国で強制適用されます。
整合規格(EN 50742等)の正式発行後から義務化まで猶予が短いことを考えると、今から対応を開始することが重要です。
Q5. 機械規則のサイバーセキュリティ要求は機械指令と何が違いますか?
従来の機械指令(2006/42/EC)にはサイバーセキュリティに関する明示的な要求はありませんでした。
機械規則では、付属書Ⅲの必須安全衛生要求として「1.1.9 不正行為からの保護」と「1.2.1 制御系の安全性と信頼性」が新たに追加されており、設計段階からサイバーセキュリティへの対応が義務付けられています。
Q6. 機械規則のサイバーセキュリティに関するエビデンスは、どのようなものが必要ですか?
機械規則のサイバーセキュリティへの適合を示す技術文書には、実施したリスクアセスメントの記録、採用したサイバーセキュリティ対策の根拠(IEC 62443シリーズ等の参照)、ソフトウェアのバージョン管理・変更履歴の管理方法、不正介入の証拠収集機能の説明などを含める必要があります。
5. イーエムテクノロジーのサービス
イーエムテクノロジーでは、欧州CEマーキングの機械規則(2023/1230/EU)に対応するためにIEC 62443シリーズを用いたサイバーセキュリティに対するリスクアセスメント支援サービスを行っております。
また、機械指令(2006/42/EC)から、機械規則(2023/1230/EU)への格上げ評価も行っておりますので、すでに機械指令を行っていて、これから機械規則に対応しなければならない方、これから初めて機械規則に対応していこうとしている方は、お気軽にご相談頂ければと思います。
イーエムテクノロジー株式会社
技術部
関連ページ「機械指令(2006/42/EC)から機械規則(2023/1230/EU)へ」
関連ページ「欧州向け産業機械のサイバーセキュリティ(EN50742、IEC62443シリーズ)」
関連ページ「欧州サイバーレジリエンス法(CRA) (2024/2847/EU)」
