かつてデジタルセキュリティの門番であったパスワードは、現代の深く組み込まれた接続デバイス・エコシステムにおける主な弱点となっています。Verizonの2023年版「データ漏えい調査レポート」によると、侵害の約75%は認証情報の窃取に関与しており、その多くはフィッシングやソーシャルエンジニアリングによるものでした1。これらの攻撃手法が高度化する中、パスワードに依存することはもはや十分とは言えません。
この変化は規制の動向にも反映されています。2025年8月1日より、インターネット接続型の無線機器、個人データを処理するデバイス、および金融取引を可能にする無線機器に対し、EU無線機器指令(RED)の3つの新しい要件が適用されます。第3.3条(d)、(e)、(f)に関する適合性評価は、これまでのようにノーティファイドボディ(認証機関)を通すのではなく、欧州委員会官報に掲載される整合規格EN 18031-1、-2、-3への準拠によって対応可能となります。
従来のパスワードベースのシステム、特にデフォルトやハードコードされた認証情報を用いたものは、RED第3.3条が要求するネットワークの保護、個人データの保護、不正アクセスの防止という要件を満たすには不十分と見なされつつあります。
ユーザーがパスワード保護をバイパスまたは無効化できるデバイス、あるいは強固な代替認証手段を欠くデバイスは、EN 18031-1、-2、-3の意図を満たさない可能性があります。実際、そのようなケースはこれら整合規格の整合状態に対する制限事項として明示されています。たとえば、パスワード設定をスキップできる設計や、堅牢なペアレンタルコントロールを欠く製品が該当条項に抵触する場合、「内部生産管理(Internal Production Control)」は適用できず、市場投入にはノーティファイドボディの関与が必要になります。
このような背景から、多くのメーカーは公開鍵暗号、生体認証、セキュアトークンによるペアリングなどを用いたパスワードレス認証の導入を進めています。これらの技術は共有された秘密情報を使用せず、不正アクセスへの耐性が高く、第3.3条(d)、(e)、(f)の要件とより整合的です。ただし、リカバリーコードやセカンダリーデバイスによるペアリングなどの代替手段も同様に高い基準を満たす必要があります。これらが不適切に実装された場合、設計上は安全であってもRED適合が損なわれる可能性があります。
整合規格とは、EUの指令や規則への適合性を示す手段として欧州委員会が公式に認めた技術規格です。整合規格の使用は義務ではありませんが、関連する整合規格を完全に適用したメーカーは、RED第17条に基づき「内部生産管理(モジュールA)」を通じて自己宣言による適合性評価が可能です。
一方で、独自の管理方式や非調和の国際規格に基づく適合性戦略を選択した場合、技術文書の評価にはノーティファイドボディの関与が必要となります。RED第3.3条(d)、(e)、(f)においては、公開されたEN 18031-1、-2、-3が整合規格として使用可能であり、ネットワーク保護、個人データ保護、不正防止に関するREDのサイバーセキュリティ条項への準拠に利用できます。
無線機器指令(RED)の第17条に基づき、メーカーには以下の3つの適合性評価オプションがあります:
第3.1条(安全性およびEMC)および第3.4条(共通充電器)に関しては、メーカーは一般的にどのルートも自由に選択できますが、第3.2条(無線周波数)および第3.3条(サイバーセキュリティ)にはより厳格なルールが適用されます。パスワード保護に依存する、またはそれを無効にすることが可能な接続デバイスにおいては、第3.3条(d)、(e)、(f)への適合が特に重要です。
第17条に基づき、これらの要件について「内部生産管理(モジュールA)」が使用できるのは、整合規格が完全に適用された場合に限られます。独自のセキュリティ実装や代替手段の存在、パスワード保護の欠如などにより整合規格の要件を満たさない場合、市場投入にはノーティファイドボディによる技術文書の審査が必要となります。一方で、EN 18031-1、-2、-3の整合規格は、ユーザー認証や個人データ処理を伴う場面において、明確で公式に受け入れられたサイバーセキュリティ適合への道筋を提供します。
これらの規格は条件付きで整合認定されていることに留意する必要があります。すなわち、特定の制限条項が製品に該当する場合、それらの規格は整合規格とは見なされず、ノーティファイドボディの関与が必須となります。
ユーザーがパスワードを設定・使用しないことを許容する製品(条項6.2.5.1および6.2.5.2)には、この規格は整合規格として適用できません。スマートディスプレイや認証をスキップ可能な接続モニターなど、「パスワードが任意」の設計は内部生産管理の対象外となります。調和認定を得るには、これらの条項に該当しないか、パスワード使用がデフォルトで強制される必要があります。
上記と同様のパスワード制限に加え、条項6.1.3~6.1.6が該当する場合、製品は保護者または監督者によるアクセス制御を確保しなければなりません。これは特にスマートトイや育児用デバイスに関係します。十分な保護者監視機能が実装されていない場合、この規格は整合規格として適用できません。
他の2つと同様にパスワードに関する制限が適用されるほか、条項6.3.2.4の「安全な更新メカニズム」に関する制限も加わります。金融取引を扱う製品が、この条項に記載された更新カテゴリのみに依存している場合、適合性の推定に必要な要件を満たさないことになります。より堅牢な更新機構の実証が必要であり、通常はノーティファイドボディの支援が求められます。
また、各規格に含まれる「ガイダンス」および「根拠」の条項は情報提供の目的のみであり、適合性の推定の根拠とはなりません。したがって、メーカーは対象製品が制限条項に該当するかを慎重に評価し、ノーティファイドボディの関与が必要か否かを判断する必要があります。
2025年8月のRED施行期限が迫る中、メーカーは今すぐ行動を起こし、接続デバイスの将来性を確保する必要があります。リスク評価、技術文書、適合プロセスを確実に整備し、必要に応じてノーティファイドボディと連携することで、コストのかかる遅延を回避できます。すべてのEU市場向け製品は、新旧ブランドを問わずCEマークの表示が義務付けられている点も忘れてはなりません。
これらの要件の対応が難しく感じられる場合は、GRLがサポートいたします。弊社の専門家との連携により、最新の接続エコシステムに適したRED適合および堅牢なサイバーセキュリティ試験を迅速に実施し、いち早く市場で優位に立ちましょう。
1. https://www.beyondtrust.com/blog/entry/how-compromised-passwords-lead-to-data-breaches