IoTデバイスに関するEUの新規制:2025年8月以降、インターネットに接続された無線機器は、厳格なサイバーセキュリティ要件(RED指令)を満たす必要があります。対象となるデバイスと、コンプライアンスを確保する方法についてご確認ください。
はじめにと法的枠組み
IoT(モノのインターネット)は、Wi-Fi、Bluetooth、NFCなどの技術の実装により、過去10年間で驚異的な普及を遂げ、製品を相互接続し、無線機器のように動作させ、世界中の家庭や産業施設に入り込むようになりました。サイバーセキュリティ分野では、IoTデバイスは一般に重大なセキュリティリスクと見なされています。スマートホーム分野のエンドポイントのセキュリティがまだ不十分であるか、まったく保護されていないのと同様に、製造施設や産業施設では、ITおよびOTセキュリティに大きなギャップがある場合があります。欧州連合理事会が発表した調査によると、2020年のサイバー犯罪による世界の経済損失は5.5兆ユーロという恐ろしい数字であり、トレンドマイクロの2022年の調査によると、ドイツの電力、石油・ガス、製造業企業の90%が12か月以内にサイバー攻撃の影響を受け、平均で約290万ユーロの被害を受けたと述べています。最近では、一方ではウェアラブル デバイスの普及、他方では AI データ駆動型システムが OEM やメーカーの市場提供において主要な役割を担うようになり、データ保護の重要性がますます高まっているため、GDPR (規則 (EU) 2016/679) や R&TTE 指令 (99/5/EC) を超える必要性が高まっています。これらの規則や指令は、考案され発効された時期を考えると、現在では非常に現実的で考慮に入れることが非常に重要となっているサイバーセキュリティの脅威の多くの側面が考慮されていませんでした。
欧州単一市場の枠組みにおいて、RED指令は、主にハードウェアと低レベルのソフトウェアに依存する電磁両立性(EMC)、電気安全、無線スペクトル(RF)の効果的かつ効率的な使用に関する要件を確立しています。これらの既存の義務に加えて、2025年8月から、この指令は主に高レベルのソフトウェアの影響を受けるサイバーセキュリティ要件も導入します。欧州無線機器指令(RED)2014/53/EUは、2016年6月13日から施行されており、以前のR&TTE指令1999/5/ECに取って代わり、GDPRに含まれる定義のほとんどを使用しています。サイバーセキュリティとデータ保護を強化するため、欧州委員会は2021年10月29日に委任規則(EU)2022/30を採択し、第3条(3)(d)、(e)、および(f)に基づくEU REDサイバーセキュリティ義務を通じてREDを補完しました。
この規制の影響を受ける無線機器の具体的なカテゴリは次のとおりです。
- インターネット接続無線機器:直接または他の機器を介してインターネット経由で通信できるデバイス。これには、スマートフォン、タブレット、ウェアラブル端末など、幅広い民生用電子機器が含まれます。
- 育児専用に設計または意図された無線機器: ベビーモニターなど、育児を監視または支援するために特別に設計されたデバイス。
- 玩具安全指令 2009/48/EC の対象となる無線機器: 無線機能を組み込んでおり、情報の記録、保存、共有、ユーザー (特に子供) との対話、スピーカー、マイク、センサーなどのコンポーネントの統合が可能な玩具。
- ウェアラブル無線機器:人体または衣服のあらゆる部分に装着、固定、または吊り下げて使用するように設計されたデバイス。例としては、スマートウォッチ、フィットネストラッカー、ヘッドセット、イヤホン、スマートグラスなどが挙げられます。
特に、医療機器は、規則(EU) 2017/745および規則(EU) 2017/746に基づく独自のサイバーセキュリティ規定の対象となるため、委任規則(EU) 2022/30に含まれる規定の対象外となります。民間航空(規則(EU) 2018/1139)、電子道路料金システム(指令2019/520)など、既存のEU規則の対象であり、RED指令の適用範囲から除外されている他の機器にも同様の規定が適用されます。
この無線機器指令の適合規則は、当初2024年8月1日から適用される予定でした。しかし、メーカーの適合のための追加時間を確保するため、欧州委員会は適用日を1年間延長しました。委任規則(EU)2022/30の新しい適合義務期限は2025年8月1日となり、これはメーカーにとって目前に迫った期限です。メーカーは追加要件への適合に向けた技術的対策の導入を加速させる必要があるため、メーカーの接続モジュールを含むデバイスの販売業者は、そしてインテグレーター/OEMは、メーカーが製造した無線機器を使用して統合型コネクテッド製品を開発する際に、新しい要件を考慮する必要があります。
プライバシー、個人データ、詐欺行為の保護のための技術的特徴
委任規則 (EU) 2022/30 は、無線機器指令 (RED) を 3 つの重要な条項で補足し、各条項で無線機器に関する特定のサイバーセキュリティ関連の義務を扱っています。
- 第3条(3)(d)は、インターネット接続無線機器に特有のサイバーセキュリティに関する一般的な要件をすべて規定しています。この規定は、無線機器は、ネットワークまたはその機能に損害を与えず、ネットワークリソースを悪用せず、許容できないサービスの低下を引き起こさないように設計されなければならないことを規定し、機器がウェブサイトやサービスの機能を妨害することを防ぎます。
- 第3条(3)(e)には、個人データを処理する無線機器に特化した共通のセキュリティ要件が含まれています。この条項に基づき、無線機器には、利用者および加入者の個人データとプライバシーの保護を確保する安全対策が組み込まれ、消費者の個人データへの不正アクセスや送信を防止するための措置が規定されています。
- 第3条(3)(f)は、詐欺行為の防止を目的とした要件を導入しています。具体的には、仮想通貨または金銭的価値を処理できる無線機器を対象としており、これらの機器には、詐欺行為を防止するためのより優れたユーザー認証制御などの特定のセキュリティ機能を備えることが求められています。
さらに、REDは、無線機器とソフトウェアの組み合わせ、特に改造後の適合性に関する潜在的なリスクを認識しています。第4条では、製造業者に対し、無線機器とソフトウェアの意図された組み合わせの適合性に関する情報を提供することを義務付けています。これにより、新規または改造されたソフトウェアのインストール後も、無線機器が指令の必須要件への適合性を維持することが保証されます。
どのように遵守すればよいですか?
欧州委員会は2025年1月28日、RED指令に基づき3つのEN 18031規格を整合化し、メーカーがサイバーセキュリティのコンプライアンスを実証するためのより明確な道筋を確立しました。ただし、これらの規格には特定の条項に特定の制限が課されていることに注意することが重要です。つまり、メーカーはこれらの整合規格を遵守するだけでは、完全なコンプライアンスを保証することはできません。例えば、パスワード保護を義務付けずにユーザーが操作できる製品や、必要なペアレンタルアクセス制御が欠如している製品では、規格自体に加えて追加のコンプライアンス対策が必要となる場合があります。
このような状況では、メーカーは認証機関(Notified Body)と直接連携する必要があります。認証機関とは、EU加盟国が指定する機関で、市場投入前に製品の適合性を評価する責任を負います。認証機関は、第三者による評価が必要な場合、適用法令で定められた適合性評価手順に関連する業務を実施します。欧州委員会は、このような機関の公式リストを保有しています。認証機関と連携することで、メーカーの製品は、REDが概説するサイバーセキュリティ固有の要件をすべて満たし、整合規格内の制限事項も考慮に入れることができます。
さらに、メーカーは、セキュアブートメカニズム、相互認証、一貫したセキュリティアップデートの実施など、堅牢なサイバーセキュリティ対策を積極的に導入する必要があります。こうした対策は、個人データの保護と不正行為の防止というREDの重要な目標を満たすだけでなく、デバイス全体のセキュリティ強化にもつながります。
規制環境は刻々と変化するため、メーカーは統一規格やREDのサイバーセキュリティ要件の最新情報を常に把握しておく必要があります。SECOなどの業界専門家との定期的な対話や、関連するトレーニングセッションやワークショップへの参加は、コンプライアンスへの備えを大きく強化します。
SECOとCleaの役割
SECOは研究開発と品質保証において確固たる実績を誇り、無線機器指令(RED)をはじめとする進化する規制枠組みへの対応に尽力する信頼できるパートナーとしての地位を確立しています。SECOはIoTデバイスの規制基準の動向を継続的に監視し、認証機関と積極的に連携し、お客様とのオープンな対話を維持することで、今後のコンプライアンス要件への対応とサポート体制を強化しています。
SECOの包括的なIoTソフトウェアスイートであるCleaは、今後のREDサイバーセキュリティ規制への準拠を目指すメーカーに大きな価値をもたらします。Cleaは、安全なデータオーケストレーション、デバイス管理、AI駆動型アプリケーションのための強力なツールを提供し、RED準拠に向けて積極的に取り組むメーカーにとって戦略的なソリューションとなります。相互SSL認証、証明書ローテーション、安全なOTA(Over-the-Air)アップデートなどの機能により、Cleaはエンドポイントセキュリティ管理とネットワーク整合性を強化し、メーカーが将来の規制ニーズに対応する堅牢なサイバーセキュリティフレームワークを構築できるよう支援します。また、IoTデバイスのサイバーセキュリティのためのExeinプレミアムプラットフォーム、特にランタイムセキュリティとアナライザーの統合により、コネクテッドフリートはリアルタイムで保護され、展開前後で脆弱性が自動的に検出されます。
さらに、Cleaは、サービタイゼーションへの移行を進めるメーカーを支援するプラットフォームとして機能し、Cleaポータルを通じて、データ収益化、サブスクリプションモデル、統合AI/MLパイプラインなどの機能を提供します。SECOは、この積極的なアプローチを通じて、お客様が規制コンプライアンスの課題に対処しながら、成長とイノベーションの新たな機会を創出できるよう支援するというコミットメントを示しています。
SECO.com にアクセスして、最先端の IoT セキュリティ、サービス化機能、シームレスな接続性を備えた RED 準拠のスマート製品の開発を SECO がどのように支援できるかをご覧ください。