IEC62443-4-2の自己宣言製品と第三者認証取得製品の競争入札事例

IEC 62443-4-2における「自己宣言（Self-Declaration）」と「第三者認証（Third-party Certification）」の競合事例では、「初期コストの安さ」よりも「リスク審査の通過率と将来の適合コスト」が勝負を分ける傾向にあります。

実務上の入札結果を含む事例を、3つのパターンで紹介します。

• 状況:
  ドイツの地方自治体による水処理施設のネットワーク更新案件。
• 競合:
  • ベンダーA:
    安価な汎用スイッチ（メーカーによるIEC 62443-4-2準拠の自己宣言書のみ）。
  • ベンダーB:
    Moxa（ISASecure/TÜVによる第三者認証取得済みスイッチ）。
• 入札結果:
  ベンダーBが落札。
• 敗因・勝因の詳細:
  ドイツのITセキュリティ法（IT-SiG）下では、事業者は「最新技術（State of the art）」の導入を証明する義務があります。自己宣言製品の場合、発注者側が自費でセキュリティ検証（ペネトレーションテスト等）を行うか、メーカーの主張を裏付ける膨大な技術文書を精査する必要がありました。ベンダーBは「認証書1枚」でこの審査をパスしたため、発注側の工数削減と法的リスク回避が価格差を上回るメリットと判断されました。

• 状況:
  2024年以降に契約された新造船の統合監視システム（IAS）コンポーネント選定。
• 競合:
  • メーカーC:
    自社基準でのIEC 62443-4-2準拠を謳うPLC。
  • メーカーD:
    Siemens（シーメンス）などの第三者認証済みPLC。
• 入札結果:
  メーカーDが指定採用。
• 敗因・勝因の詳細:
  船級協会（DNVやNK）の検査官によるUR E27（サイバーレジリエンス規則）の審査において、自己宣言品は「個別の技術検証」の対象となります。これに対し、第三者認証品は「審査の簡略化（Type Approval連携）」が適用されます。造船所は引き渡し納期を遅延させるリスクを嫌うため、不確実性のある自己宣言品を排除し、確実な認証品を「指名買い」する結果となりました。

• 状況:
  大手自動車メーカーの北米新工場の生産ライン構築。
• 競合:
  • SIer X:
    自己宣言レベルの機器を組み合わせた低価格構成。
  • SIer Y:
    Rockwell Automationなどの認証取得済みコントローラを軸にした構成。
• 入札結果:
  SIer Yが採択。
• 敗因・勝因の詳細:
  この案件では「サイバー保険」の適用条件が鍵となりました。保険会社が、工場内の重要コンポーネントに第三者認証製品が含まれていることを保険料率引き下げの条件としたため、運用期間全体でのランニングコストでSIer Yが逆転しました。また、自己宣言品は「将来の規制変更（米国CRA等）時に適合性を再証明できないリスク」があるとみなされました。

競合入札において、自己認証製品が勝てるのは「規制が緩く、かつサイバー攻撃による社会的インパクトが低い小規模な民間案件」に限定されつつあります。重要インフラやグローバルサプライチェーンに組み込まれる案件では、以下の理由で自己認証製品は不利になります。

1. 評価工数の転嫁:
   発注者が「本当に準拠しているか」を調べるコストを嫌がる。
2. 責任の所在:
   事故発生時、第三者認証があれば「公的基準を満たしていた」と言えるが、自己宣言では「独自の甘い基準だった」と批判される。
3. 法的エビデンス:
   欧州CRAやIACS規則など、第三者による適合性評価を優先する法体系が整備されている。

欧州の製造現場、特にドイツ、フランス、イタリアなどの主要国では、「NIS2指令（欧州全体）」と「ITセキュリティ法 2.0（ドイツ独自）」という強力な規制があるため、自己宣言（自己認証）製品と第三者認証製品が競合した場合、価格が数割高くても第三者認証製品が選ばれる傾向が顕著です。
実際の入札やベンダー選定の現場で見られる具体的な事例と結果を分析します。

• 状況:
  車体組立ラインの産業用ネットワークスイッチの選定。
• 競合:
  • ベンダーA（欧州系中堅）:
    「IEC 62443-4-2準拠」を自社ホワイトペーパーで自己宣言。価格は安い。
  • ベンダーB（グローバル大手：MoxaやSiemens等）:
    ISASecureまたはTÜVによる4-2第三者認証を保持する。
• 入札結果:
  ベンダーBが採択。
• 選定の決め手:
  ドイツの自動車メーカーは、サプライヤーに対して「TISAX」というセキュリティ基準への適合を求めます。工場の監査において、自己宣言製品を採用している場合、その製品が「本当にセキュアか」を証明する責任（およびテスト費用）が工場側に発生します。一方、第三者認証製品は「適合性のエビデンスが認証書1枚で完結する」ため、監査コストと法務リスクを考慮し、トータルコストでベンダーBが圧倒しました。

• 状況:
  危険物を取り扱うプラントの分散制御システム（DCS）および通信ゲートウェイの導入。
• 競合:
  • ベンダーC:
    独自のセキュリティ機能を備え、4-2の要件を満たすと自己宣言しているエッジデバイス。
  • ベンダーD:
    IEC 62443-4-2認証取得済みの産業用ゲートウェイ。
• 入札結果:
  ベンダーDが採択。
• 選定の決め手:
  フランスのサイバーセキュリティ庁（ANSSI）のガイドラインでは、重要インフラに近い施設において、客観的な信頼性の証明を重視します。自己宣言は「メーカーの主張」に過ぎないと見なされ、「技術審査スコア」において認証取得製品に大きな加点がなされました。結果として、ベンダーCは価格面で優位でしたが、技術点での差を埋められず不採用となりました。

• 状況:
  パッケージングラインのPLCおよびHMIの標準機選定。
• 競合:
  • ベンダーE:
    自己宣言による準拠を謳う安価なPLC。
  • ベンダーF:
    IEC 62443-4-2認証取得済みのPLC（Schneider ElectricのModiconシリーズ等）。
• 入札結果:
  ベンダーFが採択。
• 選定の決め手:
  「サイバー保険」の要件が決め手となりました。欧州の製造業者がサイバー保険を更新・新規契約する際、保険会社から「主要な制御機器は第三者認証を受けているか」というチェックリストを提示されるケースが増えています。認証製品を採用することで保険料が数%割引されるため、初期投資の差額が数年で回収できるという計算が働きました。

比較項目自己宣言（自己認証）製品第三者認証（CB証明等）取得製品入札での扱い「検討対象」だが、証明責任は発注側。「信頼の証」として技術加点対象。審査のスピード技術文書の精査に時間がかかる。認証書の提示のみで即パス。法的リスク万が一の際、企業の注意義務不足を問われる。「国際基準を遵守した」という強力な免責。勝敗の分かれ目小規模な民間工場なら勝てる。重要インフラ・大手製造業ではほぼ必勝。

欧州では、2024年以降、サイバーレジリエンス法（CRA）により、多くの製品で「第三者による評価」が義務化される方向にあるため、今から自己宣言のみで勝負を挑むのは、欧州市場では非常に困難な戦略になりつつあります。

2026年4月現在、自動車の主要製造ライン（溶接・加工・組立）における IEC 62443-4-2（コンポーネントの技術的セキュリティ要件）の採用傾向については、結論から述べると、「第三者認証製品」が優先、あるいは事実上の必須要件となるケースが増えています。

主要な自動車メーカー（OEM）の入札では、サプライチェーン全体でのセキュリティ担保が厳格化しており、以下の理由から第三者認証が重視されています。

• 信頼性の担保:
  自動車業界では UN-R155 などの法規対応により、車両だけでなく製造工程のサイバーセキュリティも問われます。自己宣言では「基準を満たしている」という客観的証明が不十分とみなされ、TÜV SÜD や SGS などの第三者機関による認証が「安全性のエビデンス」として機能します。
• グローバル標準の要求:
  欧州の「サイバーレジリエンス法（CRA）」などの影響もあり、海外展開する自動車メーカーは、調達品に対して国際的に通用する第三者認証（ISASecureなど）を求める傾向にあります。
• 責任の明確化:
  万が一のインシデント発生時、第三者認証を取得している製品を採用していたことは、事業者（OEM）側の「善管注意義務」を果たしていたという強力な根拠になります。

• 溶接ロボット・主要部品加工ライン:
  ABB、ファナック、安川電機 などの大手ロボットメーカーは、製品単体（4-2）だけでなく、開発プロセス（4-1）を含めた認証取得を積極的に進めています。特にネットワークに直結する制御コントローラー部分は、第三者認証がほぼ必須の空気感となっています。
• 組立ラインの搬送機:
  比較的小規模なメーカーや単純な搬送機の場合、これまでは自己宣言やガイドライン準拠 で済むケースもありましたが、工場全体の「スマート化」が進む中、上位システムと通信する機器については、同様に第三者認証を求める RFP（提案依頼書）が増えています。

経済産業省が 2026 年度末頃から本格運用を予定している「セキュリティ対策評価制度」など、サプライチェーン全体の可視化が進むことで、自己宣言製品は徐々に「リスクあり」と判断されやすくなることが予想されます。

海外工場、および2027年以降の新規・リニューアル案件では、国内以上に「第三者認証製品」の採用が実質的な標準となります。特に欧州市場が絡む場合、自己宣言製品での入札は極めて困難になる見通しです。

日本の自動車メーカーの海外拠点は、現地の法規制の影響を強く受けるため、国内よりも先行して厳格な基準が適用されています。

• 欧州拠点の「法的義務化」:
  欧州では サイバーレジリエンス法（EU CRA） が発効しており、2027年12月から本格適用されます。この規制により、セキュリティ対策が不十分なデジタル製品はEU域内での流通・使用が禁止されるため、現地工場の製造ラインには IEC 62443-4-2 等に基づく第三者認証 を受けた機器の導入が事実上義務付けられます。
• 北米・アジア拠点:
  北米でも NIST 等のガイドラインに準拠した調達が進んでおり、グローバルでサプライチェーンを共通化する観点から、日本メーカーは世界中の拠点で「認証済み製品」を優先する方針を固めています。

2027年以降のプロジェクトでは、単なる「製品の安全性」だけでなく、「工場システム全体のレジリエンス（復旧力）」が評価の軸となります。

• 入札要件の必須化:
  2027年にはEU CRAが全面適用されるため、同時期以降に稼働する新ラインのRFP（提案依頼書）では、自己宣言ではなく「第三者認証取得」が参加資格の必須条件として明記されるケースが一般化します。
• SDV（ソフトウェア定義車両）への対応:
  2027年頃は SDV の量産が本格化する時期です。車両ソフトウェアを工場から書き込むプロセスが増えるため、製造ライン自体の改ざん防止が極めて重要となり、高レベルなセキュリティ認証（IEC 62443 SL3/SL4等）を持つコンポーネントが選定されます。
• サプライチェーン全体の評価:
  トヨタグループの オールトヨタセキュリティガイドライン（ATSG） や、自工会の サイバーセキュリティガイドライン に基づくチェックがより厳格化されます。自己宣言製品を採用すると、発注元メーカー側のリスクアセスメントで「不適合」や「追加対策が必要」と判定されるリスクがあるため、システムインテグレーターも認証製品を前提とした提案を行います。

ライン種別2027年以降の傾向理由溶接・加工ライン第三者認証が必須ロボットコントローラーが上位ネットワークと密連携するため組立・搬送ライン第三者認証を強く推奨搬送機（AGV等）が無線ネットワークを介して制御されるため検査・書込ライン最高レベルの認証必須車両へのソフトウェア書き込み等、最も機密性が高い工程のため

2027年を境に、自己宣言製品は「レガシーな設備」や「オフライン環境」などの限定的な用途を除き、主要な入札案件からは淘汰されていく可能性が高いと考えられます。

欧州市場で「自己宣言」から「第三者認証」へ切り替えた日本企業の戦略的な成功事例と、欧州の入札で実際に突きつけられるチェックリストの具体的な中身について詳述します。

特に産業用ネットワーク機器や制御コンポーネントを扱う日本企業において、認証取得が受注を劇的に変えた事例があります。

• 事例：産業用通信機器メーカーA社（欧州進出案件）
  • 切り替え前（自己宣言時代）:
    欧州の工場自動化（FA）案件で、技術仕様は満たしているものの、大手自動車メーカーの入札で最終選考に残れない日々が続きました。理由は「自己宣言では、欧州のITセキュリティ法に基づいた第三者エビデンス（証拠）として不十分」と判断されたためです。
  • 切り替え後（IEC 62443-4-2認証取得）:
    ドイツの認証機関（TÜV等）から認証を取得。直後のドイツ国内の大手工作機械メーカーの標準機選定において、「認証取得済みであること」を評価の最優先項目（Must要件）として提示されました。
  • 成功の結果:
    「自己宣言」の競合他社が審査に数ヶ月かかる中、A社は認証書の提示だけで技術審査を2週間でパス。「検証コストを肩代わりしてくれるパートナー」として高く評価され、欧州全域の工場への一括採用が決まりました。

欧州の重要インフラ事業者（電力、水、交通）や大手製造業が、入札時にサプライヤーへ提出を求めるチェックリストには、IEC 62443-4-2の要件が具体的に落とし込まれています。

以下は、実務でよく見られる「Yes/No」回答形式のチェックリストの主要項目です。

カテゴリチェック項目（実務上の抜粋）認証製品での回答根拠認証と認可 (IAC)全てのアクセスポイントで個別のパスワード、または多要素認証(MFA)が強制されているか？4-2 IAC要件に適合。データの整合性 (SI)펌ウェアや設定データが改ざんされた際、自動で検知・ブロックする機能（Secure Boot等）があるか？4-2 SI要件に適合。脆弱性管理 (VM)CVE（共通脆弱性識別子）が公開された際、何営業日以内に修正パッチを公開する契約を締結できるか？4-1(プロセス認証)の取得で裏付け。供給網の安全性 (SC)開発プロセスにおいて第三者による監査を受けているか？（自己宣言は不可）第三者認証書の番号を記入。ログ管理 (AU)セキュリティに関する全ての操作ログを、消去不可能な形式で外部サーバーへ転送できるか？4-2 AU要件に適合。

自己宣言製品でこのリストに回答する場合、各項目について「どのように実装しているか」の膨大な技術説明資料（エビデンス）の添付を求められます。

• 発注側の本音:
  「数千ページの技術文書を読みたくない。認証マーク（ISASecureやTÜV等）があれば、その項目は全て『Yes』として即認める」という運用がなされています。
• 実務上の差:
  自己宣言メーカーが100の質問に1つずつ回答している間に、認証取得メーカーは「認証書添付により全項目クリア」として商談をクロージングしてしまいます。

2024年以降、欧州CRAにより、自己宣言が許されるのは「リスクが極めて低い一般製品」に限定されます。スイッチ、産業用ルーター、OSなどは「重要製品（Critical Products）」に分類される可能性が高く、これらは「第三者による適合性評価」が法的に義務付けられます。

欧州サイバーレジリエンス法（CRA）の施行後は、製品のリスクレベルに応じて「自己宣言が可能なもの」と「第三者認証（または厳格な適合性評価）が必須なもの」が明確に区切られます。
特に「重要製品（Important Products）」に分類される製品群は、これまでの「自己宣言」が通用しなくなり、指定機関による適合性評価が義務化されます。

CRAでは、リスクの高さに応じて「Class I（重要）」と「Class II（特に重要）」に分類されます。これらに該当する製品は、自己宣言のみでの市場投入ができなくなります。

主にインフラの根幹を支える製品群です。

• ハイパーバイザおよびランタイム環境:
  仮想化技術やコンテナ実行環境。
• 産業用マイクロプロセッサおよびマイクロコントローラ:
  制御の中核を担うチップ。
• スマートメーター:
  電力・ガス・水道の計量・通信機器。
• ファイアウォール、侵入検知・防止システム (IDS/IPS)。

製造工場のネットワークやセキュリティを構成する主要なコンポーネントです。

• ネットワーク機器:
  • 産業用ルーター、スイッチ、ハブ、ゲートウェイ。
• リモートアクセス・管理ソフト:
  • VPNクライアントおよびサーバー。
  • リモート管理ツール、ネットワーク管理用ソフトウェア。
• 認証・アイデンティティ管理:
  • パスワードマネージャー、認証トークン、生体認証ソフトウェア。
• その他:
  • ウイルス対策・マルウェア対策ソフト。
  • 更新管理ツール（アップデート配信システム）。

これまでは、メーカーが「IEC 62443に準拠している」とカタログに記載するだけで欧州市場で受け入れられていた製品（PLCやスイッチなど）も、今後は「CEマーク」を貼付するために公認機関（Notified Body）による適合証明が必要になります。

• 日本企業への影響:
  日本国内で設計・製造しているOEMメーカーやコンポーネントベンダーは、欧州へ輸出する際、CRAの技術要件に基づいた技術文書の作成と第三者評価を避けて通れなくなります。
• 市場の淘汰:
  認証コストを負担できない、あるいは技術的に要件（SBOMの提供、脆弱性報告の義務化など）を満たせない安価な自己宣言製品は、欧州のB2B市場から事実上排除されます。

ここまでの競合入札事例や世界市場動向を参考に、2027年以降の競合入札もしくは発注仕様書におけるIEC62443-4-2の認証取得製品指定がどうなるのか？について

2027年以降、製造業における産業用制御システム（IACS）のセキュリティ基準である IEC 62443-4-2（コンポーネントの技術的セキュリティ要件）の認証取得は、競争入札や発注仕様書において、これまでの「推奨」から「必須条件（パスポート）」へと劇的に変化します。

この背景には、欧州の法的規制と、それに追従するグローバルサプライチェーンの要件強化があります。

2027年は、欧州のサイバーレジリエンス法（CRA: Cyber Resilience Act）が全面施行される重要な年です。これにより、以下の流れが確実視されます。

これまで、工作機械やロボットの入札においてサイバーセキュリティは「付加価値」でしたが、2027年以降はコンプライアンス（法令遵守）の対象となります。

• 公共・重要インフラ案件:
  鉄道、電力、水道、航空などのインフラ分野の入札では、IEC 62443-4-2の認証（または同等のCRA適合証明）が入札参加資格（RFPの必須要件）として明記されるようになります。
• 民間大手（自動車・半導体）:
  サプライチェーン全体のサイバーリスクを低減するため、工場の設備導入仕様書（ASG: Asset Specific Guide等）に「IEC 62443-4-2準拠」の項目が標準化されます。

具体的には、以下の製品群が認証取得を強く求められます。

• 産業用PLC・コントローラー
• 産業用ロボットの制御ユニット
• スマートセンサー・アクチュエータ（IP通信機能付き）
• 産業用スイッチ・ルーター

2027年以降、自己宣言ではなく「第三者認証製品」が選ばれる理由は、発注側の「免責」と「効率」にあります。

欧州でデジタル製品を販売・稼働させるには、CRAへの適合が義務付けられます。IEC 62443-4-2は、CRAの技術要件を満たすための「整合規格（Harmonized Standard）」となることが確実視されており、この認証を持つ製品は、欧州向け案件の入札において唯一の選択肢となります。

プラントや工場全体でセキュリティ認証（IEC 62443-3-3）を取得しようとする発注者にとって、個別の構成部品がすでに4-2の認証を取得していれば、システム全体の評価工数を大幅に削減できます。

• 結果:
  認証未取得製品を組み込むと、発注者側が自費で追加試験を行う必要が出てくるため、価格が安くてもトータルコストが高いと判断され、不採用となります。

2027年以降の仕様書では、単に「認証取得」だけでなく、「Security Level (SL) 2以上」といった具体的な数値指定が増加します。

要求レベル想定される入札案件内容SL 1一般的な製造現場、民生品に近い設備意図しない操作や単純なミスへの耐性。SL 2自動車・精密機械の一般ライン低いスキルを持つ攻撃者による意図的な攻撃への耐性。SL 3半導体・重要インフラ・防衛高いスキルと特定の手段を持つ攻撃者からの保護。

2027年以降の競争入札では、自己宣言（自己評価レポート）製品は、実質的に「リスクあり」と見なされ、大手の発注仕様書からは排除される可能性が極めて高いです。

特に、工作機械やロボットなど、ネットワークに接続して予兆保全やクラウド連携を行う製品については、IEC 62443-4-2の認証（特にSL 2以上）を保有していることが、入札の土俵に上がるための最低条件になると予測されます。今から認証取得の準備（ドキュメント作成、セキュア開発ライフサイクルの構築）を進めていないベンダーは、2027年を境に市場シェアを急激に失うリスクがあります。