EUサイバーセキュリティ認証制度(EUCC)について

2025年12月09日、EUサイバーセキュリティ認証制度(EUCC)における実施規則(EU)2024/482を改正し、評価および認証に用いる最先端文書、保護プロファイル、認証報告書の内容、ならびにマークおよびラベルの取扱いを明確化・更新する実施規則(EU)2025/2462が公布されました。これにより、EUCC認証の実務運用が一層具体化され、評価機関、認証機関、製造事業者に対して、適用文書や対応期限が明確に示されます。

背景

■　EUサイバーセキュリティ認証制度(EUCC)は、EU域内で統一的に通用するサイバーセキュリティ認証制度として設計されており、特に高保証レベルの製品については、Common Criteriaに基づく厳格な評価が前提とされています。

■　しかし、CC:2022への移行や、スマートカード、HSM、タコグラフ等の専門分野における技術進展により、従来の実施規則だけでは、どの技術文書や保護プロファイルを用いるべきかが必ずしも明確ではありませんでした。

■　AVA_VAN4または5において使用可能な最先端文書、認証可能な保護プロファイル、評価機関および認証機関の認定に関する文書を明示的に列挙、移行期間中における旧版保護プロファイルの取扱いや、認証開始時期に応じた適用条件の規定、制度運用上の不確実性を低減する必要性があると考えられていました。

概要

■　本改正の中核は、EUCC制度の運用を附属書レベルで具体化した点にあります。

■　スマートカードおよび類似デバイス、セキュリティボックスを備えたハードウェアデバイスについて、AVA_VAN4または5での評価に用いる最先端文書が体系的に整理されています。これにより、評価機関(ITSEF)は、どの技術文書に基づいて評価を実施すべきかを明確に把握できるようになります。

■　認証済みまたは推奨される保護プロファイルが列挙され、遠隔署名デバイス、パスポート、SSCD、タコグラフ、Java Card、eUICC、TPM、HSMなど、用途別に適用範囲が示されます。これにより、製造事業者は、自社製品がどの保護プロファイルに基づいてEUCC認証を申請すべきかを判断しやすくなります。一方で、記載されていない保護プロファイルは原則として使用できないことが明確化され、事実上の選別が行われています。

■　実施規則の既存附属書の改正点や、認証報告書に記載すべき情報が整理されています。これにより、認証結果として公開される情報の範囲が明確となり、透明性と一貫性が向上します。また、EUCCマークおよびラベルの表示方法や最小サイズが定められ、認証取得後の表示義務が具体化されています。

■　この改正によって、評価機関および認証機関は、認定時に適用される文書の版数や期限を確認し、必要に応じて認定内容を更新する対応が求められます。製造事業者は、認証開始時期に応じて使用可能な保護プロファイルや技術文書を確認し、移行期限を踏まえた認証計画の見直しが必要となります。

■　本改正はEUCC制度を形式的な枠組みから実務レベルへと落とし込み、関係主体に対して具体的かつ実行可能な対応を求める内容となっています。

参考情報

実施規則(EU)2025/2462