　当社（Moxa）は産業分野におけるサイバーセキュリティ必須化を見据え、2019年から、産業サイバーセキュリティの国際規格IEC 62443に基づく対応を進めてきた。2020年には会社としてIEC 62443-4-1（セキュア開発ライフサイクル）認証を取得し、その後、無線機器およびスイッチ製品で製品レベルのIEC 62443-4-2（SL2）に適合した。

　こうした基盤を生かし、2025年7月、Wi-Fi無線機などの製品が第三者評価を経てEN 18031（RED-DA）を取得し、産業用無線機器メーカーとして最初期の認証取得企業の1つとなった［参考文献2］。

　本稿では、REDの新サイバーセキュリティ対策要件の内容と導入の背景、産業分野における影響、そして実務的な対応のポイントを、産業用無線機器メーカーとしての経験に基づき解説する。

なぜサイバーセキュリティ対策要件を必須化したのか

　無線機器指令RED（2014/53/EU）は、欧州市場における無線機器の流通を規制する法的枠組みとして2017年から施行されている［参考文献3］。従来は「健康と安全」「電磁両立性（EMC）」「無線周波数スペクトラムの効率的利用」の3つの柱で構成されいてた。EUの基準に適合していることを示すCEマーキングの根拠となり、欧州市場での販売に必須の条件であった。

　REDにサイバーセキュリティ対策要件が導入された背景には、無線機器の脆弱（ぜいじゃく）性が大規模な被害を引き起こした事例がある。

　2016年に起きたMIRAI事件では、初期認証情報を放置したIPカメラや家庭用ルーターがMIRAIマルウェアに乗っ取られた。その結果、数十万台規模のbotネットが形成され、大規模DDoS攻撃が発生し、世界中のオンラインサービスに断続的な障害をもたらした。

　こうした事案は、無線機器の脆弱性が国境を越えて社会や経済に影響を及ぼすことを示し、製品段階で最低限のセキュリティを法的に担保する必要性を明確にした。

REDの適用範囲とサイバーセキュリティ要求の内容

　REDの適用範囲は広い。

　意図的に電波を送受信して通信または測位を行う無線機器を対象とし、Wi-Fi、Bluetooth、NFC、LTE/5G などの無線機能を備える機器、スマートフォン、ルーター、産業用無線機器、ベビーモニター、RFID 機器、ウェアラブル、ドローンなどが含まれる［参考文献1］。Moxaの製品群では、Wi-Fi4/5/6の無線機器、ローカル5G製品（UE）、セキュアルーター、産業用IoTゲートウェイ、無線通信機能内蔵のArm-BasePCなどが対象である。

　2022年1月に採択された委任規則（EU）2022/30により、RED第3条3項（d）（e）（f）が有効化された。これにより以下の3要件が「必須要件」として義務化された。

（d）ネットワーク保護

　項（d）は、無線機器がネットワークの機能を損なったり、ネットワーク資源を悪用してサービス品質を低下させることを防止する要件である。具体的には、機器がDDoS攻撃の踏み台になることや、botネットに組み込まれることを防ぐ技術的対策が求められる。

（e）個人データ／プライバシー保護

　項（e）は、EU一般データ保護規則（GDPR）と密接に連携した要件で、個人データの保護を技術的に実装することを求めている。これはプライバシー・バイ・デザインおよびプライバシー・バイ・デフォルトの原則に基づいている。

（f）詐欺防止

　項（f）は、電子決済や仮想通貨を扱う無線機器に対する詐欺防止要件である。不正取引や身元詐取を防ぐための技術的保護措置の実装が義務付けられている。


文書番号	種類	目的・位置付け	施行日
2014/53/EU［参考文献3］	指令（Directive）	無線機器の市場投入に関する基本規則（RED本体）。第3条3項（d）（e）（f）にサイバー関連要求を規定。	13.6.2016
2022/30/EU［参考文献1］	委任規則（Delegated Regulation）	RED第3条3項（d）（e）（f）の適用範囲と内容を具体化（通称：RED-DA）	1.8.2025
2025/138/EU［参考文献4］	実施決定（Implementing Decision）	EN 18031-1/-2/-3 を調和規として公示し、適合推定の根拠を提示。	発効中
表1 RED関連法令・規格の位置付けと適用日