RED-DAとは？2025年8月に何が義務化される？

このコラムを読んでわかること

• RED-DAの概要
• 主な技術要件と適用範囲
• RED-DAが組込みソフトウェア開発に及ぼす影響
• 今後の展望と取るべき対策

1. 概要

RED-DAは、欧州において無線機器のセキュリティを強化と消費者のプライバシーと個人情報を保護するために導入された、RED（Radio Equipment Directive：無線機器指令）のサイバーセキュリティ要件を実行するための委任法令です。

2014年６月、無線機器がEU市場で販売される際に遵守すべき基本的な技術的要件を定めた指令として、REDが施行されました。ここでは、安全性、電磁両立性（EMC）、無線スペクトルの効率的な使用が含まれ、無線機器の設計、製造、販売に関する規制を定めています。この指令は、無線通信機器が安全であり、他の機器やサービスに干渉しないことを保証するための枠組みを提供しています。

2022年1月、REDはセキュリティに関連した追加法Regulation (EU) 2022/30を含めて更新され、無線機器の基本的なセキュリティ要件を強化しました。REDの委任法令として導入されたRED-DAはこれをさらに補完したもので、無線機器のサイバーセキュリティ要件が具体的かつ詳細に定められています。

EN 18031は、インターネットに接続可能な無線機器のセキュリティを確保し、RED-DAの第3条3項(d), (e), (f)に定めるセキュリティ要件に対応するために開発された整合規格です。2025年1月にEN 18031が欧州委員会により承認されたことを受け、2025年8月1日以降EU市場に投入される対象機器は、この規格に基づきサイバーセキュリティの追加要求事項に準拠することが必須となります。

2. RED-DAのセキュリティ要件

RED-DAにおけるサイバーセキュリティの追加要件を以下に示します。

• サイバーレジリエンスの向上：無線機器がサイバー攻撃に対して強固な防御を確保することでネットワークの安全性が向上し、攻撃による被害を最小限に抑えることができます。
• プライバシー保護：個人データやトラフィックデータの保護、位置データなどの保護を強化することにより、ユーザーのプライバシーが守られ、不正なデータ収集や漏洩を防ぎます。
• 金融詐欺リスクの軽減：無線機器を利用した金融詐欺のリスクを低減して消費者の財産を保護する、信頼性の高い通信環境が提供されます。

医療機器の無線機指令

欧州の医療機器規制であるMDR 2017/745では、無線通信機能を持つ医療機器にREDの基準も満たすことを求めていましたが、（RED第３条３項のサイバーセキュリティ範囲を発動する委託法令である）RED-DAでは、既に医療機器はMDR 2017/745, MDR 2017/746で規定されているため、対象外となっています。CRAの適用が開始される2027年12月には、RED-DAがCRAに統合されるか、両者の要件が整合されることになる可能性も考えられます。

より詳しく技術や関連製品について知りたい方へ

本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。

お問い合わせはこちらから

3. RED-DAの適用範囲

RED-DAは、さまざまな無線機器に適用されます。対象機器と対象外機器には以下のような機器が含まれます。

対象機器

• 通信機器: スマートフォン、タブレット、ノートPC、無線LANルーター、Bluetoothデバイスなど
• IoT機器: 産業用制御システム、スマートホーム製品、ウェアラブルデバイス、センサー、アクチュエーター、おもちゃ、ベビーモニターなど

対象外機器

• 医療機器：無線通信を利用する医療機器や健康管理デバイスは(EU) 2017/745, 2017/746にて規定
• 自動車：無線通信を利用する自動車は(EU) 2019/2144にて規定
• 民間航空機：無線通信を利用する民間航空機は(EU) 2018/1139にて規定
• 道路料金システム：無線通信を利用する道路料金システムは(EU) 2019/520にて規定

4. RED-DAにおける組込みソフトウェアの役割

RED-DAの対象となるほとんどの無線機器は、OS、ドライバ、通信プロトコルスタック、システム制御ファームウェアといった組込みソフトウェアによって動作しています。もし、この部分にセキュリティ脆弱性があると、攻撃者による不正アクセスが行われる可能性があります。脆弱性対策が放置されると、データの漏洩や改ざん、なりすましによる個人情報の流出、無線機器を踏み台にしたサーバーへの侵入によるサービスの停止など、重大なセキュリティインシデントが発生するリスクが高まります。そのため、機器設計者側は以下のような対策を検討・実装する必要があります。

• 設計段階から脆弱性を考慮して更新やパッチの適用が容易な構造にする
• セキュアブートを使用してOSや管理者権限を保護する
• マイコンに対しセキュアなメモリ領域を作り、鍵や証明書を保管することでファームウェアを保護しデータの機密性を確保する
• デジタル署名や証明書ベースの認証方法を活用する
• TLSを使用した暗号化でOTAアップデートの際になりすましをされないようにする
• 開発中はさまざまなテストを行程中に実施し脆弱性を早期に発見して対策を講じる
• 機器が完成した後は各種ツールを使用してセキュリティ検証を実施し製品に潜在する脆弱性を発見して修正する

開発済み、市場に出荷済み製品のセキュリティ検証

既に開発が完了している、もしくは市場に出荷済みの製品に対しては、第三者機関のセキュリティ検証を受けることで脆弱性の有無を確認できます。第三者による報告書は、エビデンスとして有用になります。ユビキタスAIでは、IoT機器セキュリティ検証サービスを提供しており、機器の特性や各種プロトコルスタックを熟知したエンジニアが、ホワイトハッカー視点でランダムな攻撃やイレギュラーな通信による攻撃をしかけることで、より深いレベルの脆弱性検証を行うことが可能です。

5. 今後の展望

無線通信技術の進化に伴い、RED-DAも継続的に改定されて行くことが予想されます。エレクトロニクス機器への無線機能搭載は増加する一方であることは間違いないため、今後さらなるセキュリティに関する新たな規制やガイドラインが策定されると考えられます。また、RED-DAの重要性の増加に伴い、他のセキュリティ規約との統合も想定されます。機器製造者は、規制の変化に迅速に対応し、セキュアで持続可能な製品開発を進めるためにも、Security by Designのアプローチを採用し、設計初期段階から最終段階まで、各設計フェーズでテストを実施し脆弱性を排除できる体制を整えることが求められます。ユビキタスAIでは、豊富なツールやソフトウェア、サービスを取り揃えており、要求分析から設計、開発、テストまでプロジェクト全体を包括的にサポートします。

このコラムの著者

株式会社ユビキタスAI

エンベデッド第3事業部

永井 玲奈​（ながい れな）

長年、組込みソフトウェアの営業・製品マーケティングに携わる。現在はユビキタスAIでIoT機器セキュリティ検証サービス事業の営業およびプロダクトマーケティングを担当。医療機器、車載製品、民生品などあらゆる機器を製造する大手製品ベンダーの多岐に渡るセキュリティ課題解決に取り組む。

より詳しく技術や関連製品について知りたい方へ

本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。

お問い合わせはこちらから