無線機器指令(RED)2014/53/EUの概要
無線機器指令(RED)の主な規定
欧州委員会(EC)が定める無線機器指令 2014/53/EU(RED)は、無線機器に関する規制の枠組みであり、安全性および健全性、電磁両立性(EMC)、電波スペクトルの効率的な利用に関する必須要件を定めています。本指令の第3条3項では、サイバーセキュリティを共通インターフェースごとに規定した、特定カテゴリーの無線機器に関連する要件となっています。
適合義務化までのタイムライン
2022年1月12日、欧州連合官報において、無線機器指令(RED)の第3条3項(d)、(e)、(f)に関するコンプライアンス要件を定めた委任規則2022/30/EUが公布されました。この規則は、EU市場で販売される該当する無線機器に対し、ネットワークセキュリティ、個人情報やプライバシーの保護、および詐欺からの防御を目的とした要件を定めています(図を参照)。この規則は2022年2月1日に発効し、2025年8月1日の義務化まで、無線機器メーカーには42か月間の移行期間が設けられています。
無線機器指令(RED)第3条3項におけるサイバーセキュリティ要件の詳細
無線機器指令(RED)第3条3項「サイバーセキュリティ」
第3条3項(d):ネットワーク保護
第3条3項(d)は、通信ネットワークの保護強化を目的としています。機器メーカーは、通信ネットワークに障害を与えたり、無線機器の機能を妨げることを防止するための機能を製品に組み込む必要があります。
第3条3項(e):個人情報とプライバシーの保護
第3条3項(e)は、個人情報およびプライバシー保護の強化を目的としています。例えば、機器メーカーは、消費者の個人情報の認証なしのアクセスや送信を防ぐための対策を講じることが求められます。
第3条3項(f):不正防止対策
第3条3項(f)は、詐欺行為のリスク低減を目的としています。機器メーカーは、詐欺による不正な電子決済や送金を最小限に抑えるため、ユーザー認証の強化などの機能を製品に組み込む必要があります。
無線機器指令(RED)サイバーセキュリティ要件の適用範囲と影響
新規制の対象となる機器
新規則の対象となるのは、インターネットと直接または他の機器を介して通信可能な機器です。また、機微な個人情報にアクセスする可能性のある無線機器も対象に含まれます。例:
- 携帯電話、タブレット、ノートパソコン
- ワイヤレス機能付き玩具、ベビーモニターなどの子ども用安全機器
- スマートウォッチやフィットネストラッカーなどのウェアラブルデバイス
第3条3項(d)は、ネットワークの保護に関連するデバイスに適用されます。第3条3項(e)は、個人情報、トラフィックデータ、位置データを扱う機器に適用されます。(これらのデータの詳細な定義については、EU規則2016/679第4条第1項および第2項、並びに無線機器指令2002/58/EC第2条(b)および(c)を参照してください。)
第3条3項(f)は、金銭、貨幣価値、または仮想通貨を送金可能な無線機器に適用されます(EU指令2019/713第2条(d)で定義されています)。サイバーセキュリティ対策は、暗号資産の不正マイニング(クリプトジャッキング)、ランサムウェア、近距離無線通信(NFC)を悪用した詐欺、生体認証の改ざんなど、電子決済における新たな犯罪の傾向も考慮して講じる必要があります。
適用除外および注意事項
すでに以下の欧州委員会規則や指令の対象となっており、同様のセキュリティ要件が定められている機器については、新たに追加された第3条3項(e)および(f)の適用対象外となります。・規則(EU)2019/2144(自動車の型式承認)・規則(EU)2018/1139(民間航空)・指令(EU)2019/520(道路通行料自動徴収システム)ただし、これらは第3条3項(d)には引き続き準拠する必要があります。
EN 18031シリーズ規格の概要と無線機器指令(RED)適合に向けたUL Solutionsの役割
2022年8月、欧州委員会(EC)は、欧州標準化機関(ESO)であるCENとCENELECに対して標準化の要請を行い、整合規格の策定作業が開始されました。UL Solutionsは、提案された最初のドラフト規格を精査し、文書の改善に役立ついくつかのコメントを提出しました。
そして2024年8月14日、EN 18031シリーズ規格が整合規格の候補として正式に発表され、同年8月に一般規格として正式に公開されました。
EN 18031全3部で構成されています:EN 18031-1、EN 18031-2、EN 18031-3は、無線機器指令(RED)第3条3項の(d)、(e)、(f)にそれぞれ対応しています。
- EN 18031-1:2024-無線機器の共通セキュリティ要件 - 第1部:インターネット接続無線機器
- EN 18031-2:2024-無線機器の共通セキュリティ要件 - 第2部:データ処理を行う無線機器(インターネット接続無線機器、保育用無線機器、玩具用無線機器、ウェアラブル無線機器を含む)
- EN 18031-3:2024-無線機器の共通セキュリティ要件 - 第3部:仮想通貨または金銭的価値を取り扱うインターネット接続無線機器
EN 18031シリーズは、2025年1月28日付で条件付き整合規格として承認されました(Implementing decision - 2025/138 - EN - EUR-Lex)。並行して、欧州委員会のDG GROWは、整合化をサポートするためのガイダンス文書を公開しました。
メーカーは、EN 18031シリーズ規格に完全に適合している場合、認証機関(ノーティファイド・ボディー:NB)による評価を受ける必要はありません。ただし、PSA、EN 303 645、ISA/IEC 62443など、その他の規格については、NBによる適合性評価が必要です。
また、EN 18031シリーズは「制約付き整合規格」として承認されていますので、メーカーが該当する規格を完全に適用し、「制約」に抵触しなければ、NBによる評価を受ける必要はありませんが、そうでない場合は、NBによる評価が必須となります。
EN 18031-1:2024(インターネット接続無線機器):条件
- 「rationale(根拠)」および「guidance(ガイダンス)」の各章は、適合を保証するものではありません。
- ユーザーがパスワードなしの設定で機器を操作できる設計は、要件を満たしているとは見なされません。
※補足:これらの章(「根拠」「ガイダンス」)は以下の目的があります。
- Rationale(根拠):特定の要件の背後にある考え方や理由を説明するものであり、特定のセキュリティ対策が必要とされる理由について、メーカーや評価者が理解できることが目的となります。
- Guidance(ガイダンス):要件にどう対応すべきか、またどのように解釈すべきかといった補足情報を提供し、製造業者に対して実践的なアドバイスを提示することが目的です。
なお、これらの章は規格を理解し適用する上で役立ちますが、無線機器指令(RED)2014/53/EUの第3条3項に定められた必須要件への適合を推定するものではないことに留意する必要があります。つまり、「根拠」や「ガイダンス」の内容に従ったという根拠だけでは、REDサイバーセキュリティ要件への適合性を証明するには不十分であることを意味します。
EN 18031-2:2024(データ処理を行う無線機器):
- 「rationale(根拠)」および「guidance(ガイダンス)」の各章は、適合を保証するものではありません。
- ユーザーがパスワードなしの設定で機器を操作できる設計は、要件を満たしているとは見なされません。
- 特定の実装カテゴリーに対する両親/保護者によるアクセス御の不備(該当する機器カテゴリーには、保護者/監督者による有効なアクセス制御を実装する必要があります)
EN 18031-3:2024(仮想通貨を取り扱う機器):
- 「rationale(根拠)」および「guidance(ガイダンス)」の各章は、適合を保証するものではありません。
- ユーザーがパスワードなしの設定で機器を操作できる設計は、要件を満たしているとは見なされません。
- 玩具に両親または保護者によるアクセス制御が確保されていない場合、NBによる評価が必要です。
- 6.3.2.4項に示された評価基準は、適合性を示すには不十分です(6.3.2.4項に基づく評価だけでは、適合性は保証されません)。本文の段落(8)では次のように説明されています: 整合規格EN 18031-3:2024の6.3.2.4 項には、安全なアップデートに関する評価基準が含まれています。この評価基準では、電子署名、安全な通信手段、アクセス制御メカニズム、その他の手法に基づき、4つの実装カテゴリーが設けられています。しかし、これらの手法のいずれか1つのみでは、金融資産を取り扱うには十分ではありません。このため、この評価基準は関連する認証リスクに適切に対応しているとは言えず、無線機器指令(RED)2014/53/EUの第3条3項(f)の必須要件への適合性を保証できるものとは見なされません。
- 「ガイダンス」より:整合規格EN 18031-3:2024の6.3.2.4項が適用される製品のメーカーは、製品の設計内容にかかわらず、「みなし適合」を受けることはできません。第三者機関(NB)による適合性評価が必須となります。
EN 18031シリーズは、無線機器指令(RED)2014/53/EU 第3条3項(d)、(e)、(f)で定められた必須要件をサポートする整合規格であり、対象となる無線機器に関する技術仕様が定められています。これらの技術仕様には、次のような内容が含まれます:ネットワークトラフィックの監視、DoS攻撃への対策、認証およびアクセス制御の仕組み、セキュアなソフトウェア更新の実装、攻撃対象領域(アタックサーフェス)の最小化。また、データのセキュリティとプライバシーに関する仕様も定められており、特にデータの偶発的または不正なユーザーが意図しない保存、処理、アクセス、開示、破壊、損失の防止への対応が求められます。さらに、ユーザーが無線機器を廃棄する前に、保存されていた個人情報を簡単に削除できる機能を提供し、情報漏えいのリスクを防ぐことも重要です。
REDサイバーセキュリティ適合にUL Solutionsを選ぶ理由
サイバーセキュリティと規格への適合に関する専門知識
REDは、EU市場で販売される無線機器を製造するすべてのメーカーに影響があります。
メーカーは、製品のライフサイクル全体にわたってサイバーセキュリティの責任を負う必要があります。UL Solutionsは、アドバイザリーサービスを通じてギャップの特定を行い、お客様がビジネスの目標を達成するための教育やガイダンスを提供することで、無線機器指令(RED)への適合を支援します。
戦略立案から実装までを包括的にサポート
UL Solutionsでは、お客様が製品開発を行う上でのあらゆる段階においてサポートが可能です。開発の初期段階のプロジェクトでは、セキュリティ・バイ・デザインの考え方をどのように適用し、組織のガバナンスやプロセスにセキュリティをどのように組み込めばよいかを提案します。その一環として、弊社のセキュリティの専門家が主導するトレーニングやワークショップを通じて、お客様のチームが製品を適切に実装できる知識を身につけられるようサポートします。
開発の後期段階のプロジェクトでは、EN 18031-1/EN 18031-2/EN 18031-3、EN 303 645、IEC 62443-4-2に基づくギャップ分析や適合性評価を実施し、製品のセキュリティレベル向上をサポートします。EN 303 645およびIEC 62443-4-2は、無線機器指令(RED)の必須要件に対応する要件と重複する内容を含んでいるため、RED適合に向けた準備に大きく貢献します。
コンプライアンスアドバイザリーおよびトレーニングサービス
RED DAおよびEU規制動向ワークショップ
このワークショップでは、EUにおけるサイバーセキュリティ規制の概要を紹介し、無線機器指令の委任法令(RED DA)第3条3項(d)、(e)、(f)の内容と、接続機器のセキュリティおよびプライバシー向上の重要性についての理解を深めます。さらに、今後の欧州サイバーレジリエンス法(Cyber Resilience Act)が与える影響についても取り上げます。
アドバイザリーサービス
UL Solutionsは、RED適合に向けたあらゆる段階のお客様に対し、トレーニングサービスを提供しています。
- 初級-レベル1:初期段階
初級(基本)レベルのアドバイザリーサービスは、RED DAへの対応をこれから始めようとしており、今後の適合に向けた主なギャップを特定するために専門家のサポートが必要なメーカー向けに設計されています。
- 中級-レベル2:開発段階
中級レベルのアドバイザリーサービスは、すでにRED DA適合に向けての作業に着手しており、サイバーセキュリティ認証に関する一定の経験を持つメーカー向けに設計されています。
- 上級-レベル3:定義済み段階
上級レベルのアドバイザリーサービスは、RED DA適合に向けた取り組みが順調に進んでおり、自社の対応状況について専門家による評価が必要なメーカー向けに設計されています。
適合性評価サービス
一部のケースでは、製造業者は製品の適合性を認証機関(ノーティファイド・ボディ:NB)による評価を通じて証明する必要があります。UL SolutionsはNBとして、無線機器指令(RED)第3条3項(d)、(e)、(f)に関する適合性評価サービスを提供しています。UL SolutionsのNBとしての評価サービスを利用することで、2025年8月1日の義務化前に適合性を証明でき、義務化直前の評価や試験が集中する可能性のあるピーク時期を避けることができます。
さらに、メーカーがスムーズにグローバル市場へ参入できるよう、弊社は以下の分野において評価、試験、認証サービスを提供しています。
- EN 303 645:Cybersecurity for Consumer Internet of Things(消費者向けIoT機器のサイバーセキュリティ規格)
- The Cyber Resilience Act (CRA)(サイバーレジリエンス法)
- ISA/IEC 62443:Security for Industrial Automation and Control Systems(産業用オートメーションおよび制御システムの包括的なセキュリティ)
- The U.K. Product Safety and Telecommunications Infrastructure Act (PSTI)(英国製品セキュリティおよび通信インフラストラクチャ法)
- US NISTIR 8259A:IoT Device Cybersecurity Capability Core Baseline(IoTデバイスのサイバーセキュリティ機能のコアベースライン)
- US NISTIR 8425:Profile of the IoT Core Baseline for Consumer IoT Products(消費者向けIoT製品のためのIoTコアベースラインプロファイル)
- California Internet of Things Security Act SB 327(カリフォルニア州IoTセキュリティ法 SB 327)
- Singapore Cybersecurity Labeling Program (CLS)(シンガポール サイバーセキュリティ ラベリング制度)
- UL Verified IoT Device Security Rating (MCV 1376)(UL Verified IoTデバイスセキュリティレーティング)
- ISO 27001:情報セキュリティ、サイバーセキュリティおよびプライバシー保護 — 情報セキュリティマネジメントシステム(ISMS)
- FIPS 140-3
- コモンクライテリア
REDサイバーセキュリティ適合のまとめ
無線機器指令(RED)2014/53/EU は、インターネット接続機能を持つ機器や、機微な個人情報を取り扱う機器に対して、重要なサイバーセキュリティ要件を盛り込んでおり、これらの要件に対応するための技術仕様やソリューションも整備されています。メーカーには、2025年8月1日以降にEUへ出荷する製品にこれらの規制への適合が求められます。UL Solutionsは、RED適合に向けた総合的な支援サービス(アドバイザリー、ギャップ分析、適合性評価)を提供しており、製品の開発初期段階における「セキュリティ バイ デザイン」の導入支援から、後期段階での適合性評価まで、幅広いフェーズをカバーしています。新たな規制の複雑さと対応期限が近づいていることを踏まえ、メーカーの皆様には、製品が確実にEU市場におけるサイバーセキュリティ規格に適合できるようにすることをお勧めします。REDに適合するためのガイダンスやサポートについてぜひ弊社にご相談ください。
X
お気軽にお問合せください
UL Solutionsのサービスにご関心をお持ちいただき、ありがとうございます。お問合せ内容とお客様情報をご記入ください。後ほど、担当者よりご連絡いたします。
Please wait…