Granite River Labs Blog
Categories
Browse All Categories
By GRL Team on 8月 25, 2025

EU REDサイバーセキュリティコンプライアンス:2025年8月1日に向けた準備

2025年8月1日からEU市場に投入されるすべての無線機器は、無線機器指令(Radio Equipment Directive, 2014/53/EU)に基づく委任法(2022/30)の適用範囲内であれば、CEマーキングを継続するために強化されたサイバーセキュリティ要件に適合しないといけないと正式に発表されました。これらの措置は、デジタル環境での個人データの保護を強化し、ネットワークの整合性を確保し、詐欺行為を防止することを目的としています。調和規格EN 18031-1、EN 18031-2、EN 18031-3に定義された要件を満たすことができれば、特定のコンプライアンスの除外が認められます。

当初は2024年8月1日の施行予定でしたが、調和規格の策定および導入計画のための追加期間を確保する目的として1年間の猶予が与えられました。しかし、製造者には早急な対応が強く推奨されています。今から準備を始めることで、コストのかかる後期段階での再設計のリスクを軽減し、発展しているEU規制環境への対応が可能になります。

どのデバイスがEU REDのサイバーセキュリティ適用対象となるのか

すべての無線機器がEU REDの適用対象となるわけではないということが重要です。サイバーセキュリティコンプライアンスが求められるのは、以下のような機器です:

  1. インターネット接続可能な消費者用電子機器
    例:スマートフォン、タブレット、カメラ、スマートTV

  2. IoT対応機器
    例:スマートホームハブ、ウェアラブル機器、接続型おもちゃ

  3. 玩具、育児用品、安全装置例:ベビーモニター、GPSトラッカー

  4. 産業用無線機器およびネットワーク接続型の自動車電子サブアセンブリ

  5. 無線通信およびインターネット接続が可能なすべての機器

以下のデバイスはそれぞれの業界で規制されていることから、完全に除外されるか、特定のEU RED条項から除外される場合があります:

  • 完全に除外:医療機器

  • 条項3(3)(e)と(f)から除外: 
    • 航空機、モーター車両、電子式道路通行料システム
    • オフライン専用の無線機器(例:DABラジオ、レーダーユニットなど)で、インターネット接続されていないもの

自社製品がEU REDサイバーセキュリティの適用対象かどうか分からない場合は、欧州委員会の公式ウェブサイト1またはGRLのサイバーセキュリティ専門家へ相談することを推奨します。

既存機器におけるEU REDコンプライアンス

すでにEU市場に流通している機器は、セキュリティに関する規則がない限り、寿命を迎えるまで引き続き使用可能です。ただし、2025年8月1日以降に市場に投入されるすべての無線機器は、既存の製品シリーズに属しているかどうかにかかわらず、新しい要件に適合していなければなりません。

EU RED改定がサイバー脅威にどのように対応しているのか

スマートフォン、産業用IoTモジュール、さらにおもちゃなどのような日常的に使用する機器が無線エコシステムに加わる中、サイバーセキュリティのリスクはかつてないほど高まっています。これを受けて、欧州委員会は無線機器指令(RED)の条項3(3)(d)、(e)、(f)を発動しました:

条項3.3 (d):無線機器はネットワークやその機能に害を及ぼさず、ネットワークリソースを不正使用することによってサービスの許容できない劣化を引き起こしてはならない。

例:ファームウェア更新やエラー復旧中にデータレート制御やバックオフ戦略を実装して、ネットワークの過負荷を回避すること。
※EN 18031-1の要件を満たすことで適合可能。

条項3.3 (e):無線機器は、ユーザーおよび加入者の個人データおよびプライバシーの保護を確保するための安全策を組み込んでいなければならない。

例:クラウド通信の暗号化、不要なデータ収集の最小化、保存データの保護。※EN 18031-2の要件を満たすことで適合可能。

条項3.3 (f):無線機器は、詐欺から保護する機能をサポートしなければならない。

例:セキュアブート、ファームウェアの暗号署名、ユーザー認証などの詐欺対策機能の導入。※EN 18031-3の要件を満たすことで適合可能。

インターネット接続デバイス vs オフラインデバイス

無線機器は、インターネット接続の可否に応じて、EU REDの特定の条項から除外される場合があります:

  • インターネット接続機器は詐欺やデータ漏洩から保護するため、暗号化、安全な認証機構、安全なソフトウェア更新機能をサポートしなければなりません。

  • 非接続型の無線機器は条項3(3)(e)および(f)の適用からは除外されますが、他の機器やシステムと相互作用する場合は、ネットワーク整合性の確保のために条項3(3)(d)への適合が求められる場合があります。

パスワードなしの機器

ユーザーが設定可能な認証情報を持たない機器(例:Bluetoothビーコンやパッシブセンサーなど)も、EU REDのサイバーセキュリティ要件からは除外されません。これらの場合では、パスワードがなくとも、機器が悪用・再プログラムされないことを証明するために技術的安全策を導入する必要があります。このような機器は自己宣言によるCEマーキングは許可されず、通知機関(Notified Body)の関与が必要です。

技術的安全策の例:

  • ペアリングやファームウェア制御用の一意な機器識別子

  • 容易に悪用されないような事前設定された安全なデフォルト設定

  • セキュアブート機構や制限されたファームウェア更新経路

 

EU RED適合への競争がすでに始まっています

安全性、プライバシー、ネットワーク回復力を引き上げるには、安全な製品開発と早期テストが鍵です。Granite River Labsは、EU域内で安心して製品を流通させるための、エンドツーエンドのサイバーセキュリティ試験ソリューションを提供しています。

 

参考文献

1. Radio Equipment Directive. European Commission.
Published by GRL Team 8月 25, 2025

COPYRIGHT 2025 GRANITE RIVER LABS INC. ALL RIGHTS RESERVED.

Privacy Policy