CRAクラスIコンプライアンスガイド:ルーター、モデム、スイッチ

公開 2026年5月28日 更新 2026年5月30日

要約

家庭用 Wi-Fi ルーター、モデムルーター、インターネットモデム、メッシュルーターのノード、スイッチは、通常は 重要なクラス I 製品 として計画すべきです。注意点は中核機能にあります。主にファイアウォール、IDS/IPS、VPN ゲートウェイ、またはネットワーク管理用アプライアンスとして市場に訴求されるルーターは、別のカテゴリー分析が必要になる場合があります。

最初の証拠作成のアクションは、対象の CPE またはネットワーク機器について、分類と境界を定めるメモです。ハードウェア、ファームウェア、WAN インターフェース、無線スタック、LAN 管理 UI、モバイルアプリ、ISP またはベンダーのクラウド、リモート管理チャネル、更新機構、コンポーネント台帳、サポート期間、そして OEM 供給先ブランドや ISP によるファームウェア改変の有無を特定します。

製品バリエーション 想定される CRA クラス 理由
家庭用 Wi-Fi ルーター 重要 クラス I インターネット接続とルーティングが中核機能
ISP モデムルーターまたは CPE 重要 クラス I 製品が顧客をインターネットに接続する
単体のケーブル・DSL・ファイバーモデム / ONT インターネット接続を意図する場合は重要 クラス I インターネットモデム機能が中核となる製品機能
メッシュ Wi-Fi キット 重要 クラス I メッシュノードがルーター製品または製品ファミリーを構成する
4G/5G モバイルホットスポット 重要 クラス I セルラー WAN もインターネット接続である
マネージドスイッチ 重要 クラス I スイッチングに管理プレーンが加わり、ネットワーク製品機能に該当して証拠の境界が広がる
非管理型または設定不可のスイッチ 個別判断 マネージドネットワーク機器と同様に扱う前に、デジタル要素を含む製品かどうか、管理プレーン・ファームウェア更新経路・クラウド/アプリ機能・その他の接続機能があるかどうかを確認する
VPN ルーター 個別判断、多くは重要 クラス I そのように訴求される場合、VPN がより具体的な機能となりうる
ファイアウォール・UTM・IPS として訴求されるルーター 個別判断、重要 クラス II の可能性 ファイアウォールや防止が中核機能になりうる
単体で販売される商用ルーターファームウェア 個別判断 ソフトウェア製品自体がルーター製品となりうる
OEM ハードウェアを用いた ISP ブランド CPE 重要 クラス I、役割に依存 自社ブランド化やファームウェア変更が製造業者の義務を移しうる

分類の根拠

ルーター・モデム・スイッチの分類経路の判定。市場で訴求する中核機能に関する最初の問いが 3 方向に分岐する。強調表示された分岐 A:ルーティングとインターネット接続が中核機能であるため、ルーター、インターネットモデム、マネージドスイッチは重要なクラス I 項目 12 となる。分岐 B:主にファイアウォールまたは侵入検知・防止システムとして訴求される機器はクラス II 項目 2 の問いを生じさせる。分岐 C:非管理型または設定不可のスイッチ、あるいは商用のオープンソースファームウェアイメージは個別判断が必要。フッターは、パケットフィルタリング、ペアレンタルコントロール、VPN クライアントだけではルーターはクラス II に移らないと注記する。
最初に判定すべきは市場で訴求する中核機能です。ルーターやモデムはクラス I 項目 12 にとどまり、ファイアウォール主体の機器はクラス II 項目 2 の問いを生じさせます。

CRA はルーター、インターネットモデム、スイッチを重要なクラス I 製品として扱います。これはクラス II のファイアウォールという位置づけとは異なります。ルーティングとインターネット接続が市場で訴求する中核機能であり続ける限り、追加のセキュリティ機能があってもルーターはクラス II には移りません。

ネットワークの端に位置するというだけで製品がクリティカルになるわけではありません。クリティカルの一覧はより狭く、家庭用ルーターや ISP の CPE 全体を含みません。

ルーター製品とは何を指すか

ルーター、モデム、スイッチという製品は、樹脂の筐体だけにとどまらない要素を含みます。

  • ブートローダー、オペレーティングシステム、カーネル、無線ドライバ、WAN スタック、LAN サービス。
  • モデム、ONT、Ethernet スイッチシリコン、管理 VLAN の挙動、存在する場合は PoE 制御。
  • Web 管理 UI、モバイルアプリのペアリング、ローカルのセットアップポータル。
  • TR-069、USP/TR-369、その他のリモート管理チャネル。
  • リモートアクセス、ペアレンタルコントロール、テレメトリ、メッシュ協調、更新の調整に用いるベンダーまたは ISP のクラウド。
  • ファームウェア更新サービス、署名鍵、リカバリイメージ、サポートプロセス。

証拠ファイルには、製品の外側にあるものも記録します。顧客の ISP アカウント、サードパーティのスマートホーム機器、顧客が作成したネットワークルール、別売の場合の利用者のモデム、製造業者が供給しない下流の事業者システムです。

製造業者はどの適合経路を計画すべきか

重要なクラス I であっても、すべてのルーターに第三者評価が必要というわけではありませんが、内部統制が当然に使えると見なすべきではありません。製造業者が一般的な内部統制の経路を使え、関連する整合規格、共通仕様、または適用される必須要件に対して保証レベルが少なくとも「相当(substantial)」の適切な欧州サイバーセキュリティ認証スキームを完全に適用できている場合には、この経路が利用できる可能性があります。これらの参照が存在しない、一部しか適用されていない、適用されていない、または関連するすべての要件を網羅しない場合は、EU 型式検査に加えて内部生産管理、または完全な品質保証を計画します。一般的な経路の仕組みと EU 適合宣言書に記載すべき内容は、適合性評価適合宣言書のガイドにあります。本ページはルーター固有の選択のみを扱います。

同じハードウェアのバリエーションが、ファイアウォール、VPN ゲートウェイ、ネットワーク管理用アプライアンス、マネージドセキュリティプラットフォームとしても訴求される場合は、その SKU について別の分類メモを作成します。

RED のサイバーセキュリティ期限は CRA とどう対応するか

ほとんどのルーターとインターネット接続モデムは無線(Wi-Fi、セルラーモデムなど)を含み、その無線を備えた製品群は CRA が到来する前にすでに 1 つのサイバーセキュリティ関門を越えています。2025 年 8 月 1 日から、無線機器指令のサイバーセキュリティ要件(RED 第 3 条第 3 項の (d)、(e)、(f)、委任規則 (EU) 2022/30 が定める)が、Wi-Fi ルーター、メッシュノード、モデムルーター、セルラーゲートウェイなどのインターネット接続無線機器に適用されます。Ethernet 専用ルーターや、無線をもたない素の DSL・ケーブル・ファイバーモデムなど、純粋な有線機器は RED のサイバーセキュリティの適用範囲外ですが、いずれも CRA 上はデジタル要素を含む製品です。CRA の報告義務は 2026 年 9 月 11 日に始まり、CRA は 2027 年 12 月 11 日に完全適用となります。この日に、委任規則 (EU) 2026/339 による RED サイバーセキュリティ委任規則の廃止が発効し、2 つの規制が重複しないようになります。

無線機器のサイバーセキュリティ期限を CRA に対応づけたタイムライン。2025 年 8 月 1 日からインターネット接続無線機器が RED のサイバーセキュリティ要件((d)、(e)、(f))を満たす。その後 RED サイバーセキュリティ委任規則は委任規則 (EU) 2026/339 によって廃止され、CRA は 2027 年 12 月 11 日に完全適用となり、報告義務は 2026 年 9 月 11 日に始まる。並行する規格レーンは、RED フェーズの EN 18031 シリーズ、CRA ルーター規格の草案 ETSI EN 304 627、CRA 水平規格の草案 EN 40000 シリーズを示す。
ルーターの製造業者は 2025 年 8 月から無線機器のサイバーセキュリティ関門を越え、同じ義務が 2027 年 12 月から CRA のもとへ移ります。

ルーターの製造業者にとっての実務上の読み方は次のとおりです。

  • 2025 年 8 月 1 日から 2027 年 12 月 10 日までは、該当する無線機器が RED のサイバーセキュリティ要件を満たします。整合の経路は EN 18031 シリーズを通り、その基礎となる消費者向けベースラインが ETSI EN 303 645 です。
  • 2027 年 12 月 11 日からは、同じサイバーセキュリティ義務が CRA のもとに置かれ、より広いライフサイクルの義務が加わります。既定で安全な構成、脆弱性対応プロセス、サポート期間の表明、そして 2026 年 9 月 11 日にすでに始まる報告義務です。
  • 2027 年 12 月 11 日より前に市場に投入されたルーターが CRA の対象になるのは、その日付以降に実質的に改変された場合のみです。唯一の例外は報告義務で、これは対象範囲のすべての製品(すでに販売された機器を含む)に適用されます。
  • 準備中のルーター固有の CRA 整合規格は ETSI EN 304 627(ルーター、モデム、スイッチ)で、クラス I 項目 12 と必須のサイバーセキュリティ要件に対応づけられます。これはまだ草案であるため、評価時点で実際に引用される規格に基づいて適合経路を計画し、別個のプロジェクトを立ち上げるのではなく、RED 向けに構築した管理策(安全な既定値、署名済み更新、アクセス制御)を CRA ファイルの基礎として再利用します。

どのような証拠を準備すべきか

証拠領域 ルーターまたはモデムルーターで把握すべき内容 なぜ重要か
意図された用途 家庭用ルーター、ISP CPE、モデム、ONT、メッシュシステム、モバイルホットスポット、スイッチ、VPN ルーター、マネージドスイッチ クラスは実際の製品バリエーションと表示に従う
WAN の攻撃面 DHCP、PPPoE、IPv6、DNS プロキシ、NAT、ファイアウォールの既定値、リモート管理の状態 WAN 側は利用者が何も設定する前から信頼できないトラフィックを受ける
LAN 管理 Web UI、ローカル API、セットアップポータル、パスワードポリシー、アカウント回復、アクセス制御 設定や所有に関する誤りの多くがここで起きる
無線 WPA2/WPA3 の既定値、WPS の判断、ゲスト分離、SSID/パスワードのオンボーディング、Wi-Fi チップのファームウェア 無線の既定値が家庭のセキュリティの既定値になる
リモート管理 TR-069、USP/TR-369、ベンダークラウド、ISP クラウド、モバイルアプリのリモートアクセス 単なる箱か、フリート管理される製品かの分かれ目になることが多い
更新経路 署名済みファームウェア、ロールバック保護、ISP 配信のリリース、リカバリパーティション、更新通知 ルーターの更新はサポート期間を網羅し、OEM/ISP の枝を越えて成立させる必要がある
サプライヤー証拠 SoC SDK、Wi-Fi/ベースバンドのベンダー、ブートローダー、カーネル、TLS スタック、DNS/DHCP サービス ルーターのベンダーは大きなサードパーティのコンポーネント面を引き継ぐ
役割の証拠 OEM、ISP、輸入業者、販売業者、自社ブランドの各責任 ブランド化された CPE やファームウェアの分岐が、誰が CRA ファイルを保有するかを変えうる

ルーターのアーキテクチャで見落としてはならない詳細

ルーターの証拠は、実際に出荷されるエッジ機器に合わせる必要があります。小売向け Wi-Fi ルーター、ISP モデムルーター、PON ONT、ケーブルモデム、モバイルホットスポット、メッシュノード、マネージドスイッチは、WAN の露出、リモート管理、ファームウェアの枝に関するリスクがそれぞれ異なります。

ルーターゲートウェイの内部を 4 本の水平なプレーン帯として描いた図。データプレーンは WAN ポート、LAN スイッチ、Wi-Fi 無線、ハードウェアオフロードを担う。SoC の CPU 上で動く制御プレーンは、ルーティングと NAT、ファイアウォール、DHCP と DNS、Wi-Fi 認証を担う。管理プレーンは Web 管理コンソール、SSH、SNMP、TR-069 および USP エージェント、OTA 更新クライアントを担う。プラットフォーム層はセキュアブート、A/B ファームウェアバンク、フラッシュと DRAM を担う。各プレーンは製造業者の製品ファイルに含まれるべき独立したコンポーネント群である。
ルーターは 4 つのプレーンに分かれます。データ転送、CPU 上の制御ソフトウェア、管理アクセス、そしてすべてを起動・保存するプラットフォームです。4 つすべてが製品ファイルに含まれます。
ルーターと通信する相手を示すハブアンドスポーク型のマップ。ルーターは破線の製品ファイル境界の内側、中央に位置する。家庭側にはローカル管理機器と家庭の LAN・IoT 機器がある。事業者・インターネット側には、信頼できないインターネット、ISP または事業者の自動設定サーバー、ファームウェア更新サーバー、ベンダークラウドがある。7 つのフローが境界を越える:WAN アップリンク、LAN トラフィック、Wi-Fi 接続、ローカル管理、リモート管理、署名済みファームウェア更新、ベンダーテレメトリ。
ここに示すすべてのフローが製品ファイルの境界を越えます。WAN アップリンク、家庭への LAN と Wi-Fi、ローカル管理、事業者のリモート管理、署名済み更新、クラウドテレメトリです。ファイルはこれらすべてを考慮しなければなりません。
アーキテクチャの確認点 ルーター・モデム・スイッチの証拠の着眼点
ブート連鎖とリカバリ ブート ROM、ブートローダー、セキュアブートの状態、A/B または単一バンクのイメージ、リカバリトリガー、アンチロールバックカウンタ、工場出荷時リセットの挙動を特定する。ダウングレードとリカバリ悪用の試験を保持する。
WAN とプロビジョニング Ethernet WAN、PPPoE、DHCP、IPv6、DOCSIS/PON/セルラーのプロビジョニング、事業者プロファイルを切り分ける。管理 UI が存在する前に、どのサービスが未認証の WAN 入力を解析するかを示す。
Wi-Fi とベースバンド層 Wi-Fi ファームウェアのブロブ、規制ドメイン設定、hostapd/wpa_supplicant の分岐、WPS の判断、メッシュのオンボーディングを追跡する。サプライヤーのファームウェアは助言の監視対象に含める。
リモート管理 TR-069/CWMP、USP/TR-369、ベンダークラウド、ISP クラウドについて、コントローラの ID、証明書の信頼、接続要求の挙動、コマンドの範囲、監査可能性を記録する。
スイッチとメッシュの制御 マネージドスイッチの UI、SNMP/API、VLAN、ポートミラーリング、PoE、EasyMesh や独自のメッシュコントローラには、それぞれ管理プレーンの露出確認が必要。非管理型または設定不可のスイッチは、まずデジタルな管理・更新面が存在するかどうかを確認する。
ISP と自社ブランドの分岐 OEM ビルド、ISP フォーク、事業者プロファイル、OTA 承認、サポート期間の保有者、利用者通知の経路を示す分岐マトリクスを維持する。
製造と返品 機器ごとの秘密、印字された認証情報、デバッグシェル方針、UART/JTAG の状態、RMA 時の消去、クラウド連携解除を記録する。

WAN 側は機器が最初に未認証の入力を解析する場所であり、その側はアクセス技術によって変わります。小売向け Ethernet WAN ルーター、ケーブルモデムルーター、ファイバー ONT、セルラーホットスポットは、同じプロビジョニングチャネルも同じ上流ピアも共有しません。

インターネットエッジ機器の WAN アクセス技術のバリエーション。DSL モデムは局の DSLAM に接続し、ケーブルモデムは BPI+ または SEC で暗号化・証明書認証されたリンクで CMTS に接続し、ファイバー ONT は受動スプリッターを介して OLT に接続し、Ethernet WAN ポートは上流スイッチに接続し、セルラーモジュールはモバイル網に接続する。各バリエーションは、WAN 信頼境界で何が変わるか(アクセスピア、プロビジョニングチャネル、機器に最初に到達する未認証入力)を注記する。
WAN 境界はアクセス技術によって異なります。DSL、ケーブル、ファイバー、Ethernet、セルラーはそれぞれ、アクセスピアと最初の未認証入力を変えます。

実際のルーターの脅威分析はどのようなものか

技術ファイルの脅威分析で期待される深さの例として、これを参照してください。製造業者は依然として、実際のルーター、モデムのチップセット、無線スタック、リモート管理チャネル、サプライヤーの SDK、更新の保有関係、販売上の表示、サポート期間の約束に対して、分析を実施する必要があります。

製品プロファイルの例

例の製品:ExampleCo HomeRouter R1。EU で小売および ISP ホワイトラベルのチャネルを通じて販売される Wi-Fi 7 家庭用ルーター。Ethernet WAN、4 つの LAN ポート、ゲスト Wi-Fi、ローカル Web 管理 UI、モバイルアプリのオンボーディング、任意の ISP リモート管理、署名済み OTA ファームウェア、自動更新チェック、DNS/DHCP サービス、ペアレンタルコントロールのプロファイル、リカバリイメージを備えます。

製品境界には、ルーターのハードウェア、ブートローダー、カーネル、Wi-Fi ドライバ、WAN サービス、LAN サービス、ファイアウォールの既定値、ローカル Web UI、モバイルアプリのペアリング、リモートアクセス用のベンダークラウド、任意の ISP リモート管理エージェント、OTA サービス、リカバリイメージ、サポートサイト、協調的開示の受付と助言プロセスが含まれます。除外されるのは、別売の場合の顧客のモデム、ISP の契約、サードパーティのスマートホーム機器、利用者の ID プロバイダ、そして同じ経済事業者が製品の一部として供給しない限りの下流の ISP の OSS/BSS システムです。

例のルーターについて、工場から返品までのプロビジョニングライフサイクル。段階 1、工場:機器ごとの ID、固有の認証情報、証明書、既定 SSID。段階 2、WAN 接続:Ethernet、PPPoE、DOCSIS、PON、セルラーが最初の未認証入力を決める。段階 3、プロビジョニング:事業者またはベンダーが ACS または USP プロファイルとコマンド範囲を紐付ける。段階 4、オンボード:パスワードの強制変更、ゲスト分離、WPS の判断。段階 5、ファームウェア:ダウングレードを拒否する署名済みベースライン。段階 6、リセット・再販・RMA:クラウド連携解除、トークン失効、メッシュ参加の解除。下部の帯は各移行で合格すべき否定的試験を列挙する。
各ライフサイクルの段階は、何が変わるかと、誤った当事者がルーターを乗っ取れないことを証明する管理策を示します。
HomeRouter R1 の証拠の境界 ルーターのファイルは、ハードウェア、ファームウェア、無線、クラウド管理、ISP バリエーション、サポート期間の運用をつなぐ必要があります。
事業者への依存が大きい
顧客と ISP の環境 展開の前提
ISP アカウント 別売のモデム スマートホーム機器 家庭の端末 ISP OSS ツール
証拠

想定される家庭での利用、ISP プロビジョニング、管理者の保有関係、サポート対象外の展開形態に関する前提を文書化する。

ルーター製造業者の製品が始まる地点
ルーターのハードウェア EU 市場に投入
WAN LAN スイッチ Wi-Fi 無線 SoC リセットボタン リカバリスロット
証拠

製品ファイル | SKU 境界メモ | リスクファイル | DoC | CE 記録 | サポート期間の表明

ファームウェアとサービス 評価すべき攻撃面
ブートローダー カーネル DNS/DHCP Web 管理 TR-069 / USP OTA エージェント
証拠

コンポーネント台帳 | サービス台帳 | 無線既定値の試験 | 安全な更新の試験 | リモート管理のレビュー

サプライヤー層 ルーターコンポーネントの相当注意
SoC SDK Wi-Fi ファームウェア Ethernet ドライバ TLS ライブラリ DNS サービス モバイル SDK
証拠

サプライヤーの助言、SDK バージョンの記録、ファームウェア分岐の保有、コンポーネントの CVE トリアージ、パッチ伝搬の証拠。

サポート期間中
稼働中の CPE フリート 更新と役割の引き継ぎ
OEM ファームウェア修正 ISP 分岐のマージ セキュリティ助言 利用者通知 悪用報告
証拠

分岐マトリクス、更新リリースの記録、ISP 承認の経緯、助言の記録、積極的に悪用されている脆弱性や重大なセキュリティインシデントに関する報告判断の記録を維持する。

ISP ブランドの CPE には特別な証拠が必要です。製品が設計、ブランド、ファームウェア承認、リモート管理、利用者サポートを異なる経済事業者に分散させうるためです。
例のルーターの初回起動時の露出ウィンドウ。タイムラインは、工場出荷時の既定値が有効な電源投入から、既定値が置き換えられウィンドウが閉じるオンボード済みまで進む。その間は露出ウィンドウが開いたままで、利用者が何も変える前に 4 つのものがすでにルーターへ到達しうる:ログイン前に解析される DSL・DOCSIS・PON・セルラーの WAN 入力、出荷時の既定 SSID とパスワード、プロファイルを紐付けできる事業者の TR-069 または USP サーバー、ベンダークラウド・モバイルペアリング・OTA エンドポイント。帯は、オンボーディングでウィンドウを閉じるものを列挙する:パスワード強制変更、署名済みファームウェアのベースライン、範囲限定のリモート管理、ゲスト網の分離。
リリースゲート:ファームウェア工学が初回起動のベースラインを保有し、製品セキュリティが露出試験を保有し、サポートがリセットと RMA の証拠を保有します。成果物:プロビジョニング記録、セットアップ後の露出スキャン、ダウングレード拒否の試験、移転または連携解除の結果。
問いへの答え:家庭が設定を変える前に、どの WAN 入力、事業者プロファイル、既定サービスがすでにルーターへ到達しうるか。
リモート管理のコマンド境界TR-069/CWMP、USP/TR-369、ベンダークラウド、ISP クラウドは、フリート制御の経路として範囲を定めるべきです。
コマンド領域
典型的な操作
リスクの問い
保持すべき証拠
設定
DNS、Wi-Fi、ファイアウォール、ポート転送、ブリッジモード。
コントローラは評価済みプロファイルが許す以上を変更できるか。
コマンド範囲のマトリクスと監査サンプル。
診断
ログ、パケットカウンタ、回線統計、サポートバンドル。
エクスポートが SSID、トークン、顧客識別子、トポロジを漏らすか。
マスキング試験とデータ一覧。
ファームウェア
事業者承認の更新、リカバリイメージ、分岐の切替。
古い、または誤った地域向けビルドを配信できるか。
署名済みマニフェスト、分岐マップ、ロールバック拒否。
所有権
クラウドペアリング、ISP 移行、機器返品、再販。
前所有者、ISP、アプリのトークンがまだ機器を制御できるか。
リセット、連携解除、移行の試験。
証拠ゲート:リモート管理は単なる事業者向け機能ではなく、フリート制御の経路です。リリースファイルは、各コントローラの ID をコマンド範囲とファームウェアの枝に紐付けるべきです。成果物:TR-069/USP プロファイルのレビュー、コントローラ証明書の台帳、コマンド監査サンプル。
問いへの答え:どのリモート管理コマンドが DNS、ファイアウォール、ファームウェア、所有権の状態を変えられるか、そしてその範囲を誰が承認したか。
OEM・ISP・自社ブランドのファームウェア分岐マトリクス同じハードウェアでも、サポート保有者、クラウドエンドポイント、パッチのタイミングが異なる形で出荷されうる。
OEM ベース参照ファームウェアとコンポーネント台帳

ソース分岐、SDK バージョン、Wi-Fi ファームウェア、カーネル、署名鍵が出発点のベースライン。

ISP フォーク事業者プロファイルとリリースゲート

ACS/USP エンドポイント、ブランド、既定設定、承認ワークフロー、利用者通知の保有者を文書化する。

小売 SKUベンダークラウドとアプリ連携

モバイルアプリ、クラウドペアリング、メッシュサービス、サポート期間の表明はベンダーのリリースプロセスのもとに残る。

パッチのマージセキュリティ修正の伝搬

OEM・ISP・自社ブランドの各分岐が同じセキュリティ修正、または文書化された例外を受けたかを追跡する。

パッチゲート:サポート期間の約束は、利用者が実際に受け取るファームウェアの枝に従います。証拠:分岐マトリクス、枝ごとのコンポーネント台帳の差分、ISP 承認の経緯、自社ブランドのリリース保有者、ある枝が同じ修正を取り込めない場合の文書化された例外。
問いへの答え:OEM がルーターの脆弱性を修正したとき、ISP・小売・自社ブランドの各分岐は、その修正が利用者に届いたことをどう証明するか。

資産台帳

資産 なぜ重要か どこに存在するか
WAN から LAN へのトラフィック制御 家庭のインターネットへの露出を制御する NAT、ファイアウォールの既定値、カーネルのネットワーク
ルーター管理者アカウントとセッション DNS、Wi-Fi、ポート転送、更新、リセットの制御権を付与する Web UI、モバイルアプリ、ローカルのトークンストア、クラウドアカウント
Wi-Fi の認証情報とゲスト分離 弱い既定値が家庭ネットワークと接続機器を露出させる Wi-Fi 設定、オンボーディングフロー、ゲスト網のルール
リモート管理の認証情報 フリート制御の認証情報は多数のルーターに影響しうる TR-069/USP エージェント、証明書ストア、ISP ACS/クラウド
ファームウェア署名の信頼の起点 ルーターの更新チャネルを保護する ブートローダー、セキュアストレージ、OTA サービス
DNS/DHCP 設定 利用者をリダイレクトしたり接続を壊したりしうる ローカルサービス、管理 UI、ISP プロビジョニング
スイッチの管理状態 VLAN、ポート分離、PoE、管理アクセスが下流ネットワークを露出させうる マネージドスイッチの UI、CLI、SNMP/API、スイッチ ASIC の設定
モデム/ONT のプロビジョニング状態 登録、ブリッジ/ルーターモード、管理の認証情報がインターネットの端に影響する モデムファームウェア、事業者プロファイル、リモート管理エージェント
サポートと診断のログ SSID、シリアル、IP、顧客アカウントの紐付け、クラッシュデータを露出しうる 機器ログ、モバイルアプリ、サポートポータル
ファームウェアの分岐状態 ISP/OEM の分岐のずれが脆弱性を未修正のまま残しうる OEM の Git/リリースシステム、ISP フォーク、OTA リポジトリ
セキュアブートとアンチロールバックの状態 リカバリ経路を保護し、既知の脆弱なイメージの復帰を防ぐ ブートローダー、eFuse/RPMB/TPM の状態、生産記録
Wi-Fi/ベースバンドのファームウェア 無線ファームウェアが認証、可用性、ネットワークの露出に影響しうる Wi-Fi チップ、ファームウェアブロブ、ベンダー SDK、生産イメージ

信頼境界

環境 想定される露出 リスクの帰結
WAN インターフェース 信頼できないネットワークトラフィックに継続的にさらされる パーサーのバグや露出したサービスが機器を侵害しうる
LAN とセットアップ網 家庭の端末や IoT 機器と共有される ローカルの攻撃者が管理、探索、弱い既定値を狙いうる
無線インターフェース 物理的に近接していれば到達可能 WPS、弱いオンボーディング、ゲスト分離の失敗が LAN を露出させる
スイッチ管理プレーン 構成に応じて管理 VLAN、LAN、事業者ツールから到達可能 弱い既定値が VLAN、PoE 制御、ミラーポートを露出させうる
リモート管理経路 ベンダーまたは ISP のインフラから機器に到達する 認証情報の漏洩や ACS の侵害が多数のルーターへ拡大しうる
OTA とリカバリの経路 特権的なファームウェアイメージを受け取る 弱い署名やロールバックがすべてのセキュリティ修正を損なう
ISP/自社ブランドの分岐 ファームウェア、クラウドエンドポイント、サポート期間を変えうる ブランドがリリースとサポートの判断を握ると義務が移りうる

脅威シナリオ

ID 脅威シナリオ 危険にさらされる資産 侵入口
R1 WAN 管理エンドポイントが既定または ISP プロファイルで有効化されている 管理者アカウント、ルーター設定 WAN
R2 初回利用のパスワードが共有・予測可能、またはバッチ間で使い回される形で印字されている 管理者アカウント、Wi-Fi 認証情報 オンボーディング
R3 DHCP、IPv6、DNS、PPPoE のパーサーの不具合が認証前に起動されうる ルーターの完全性、可用性 WAN サービス
R4 TR-069 または USP の認証情報が漏洩し、リモートの設定変更を許す リモート管理の認証情報、DNS、ファームウェアチャネル ISP/ベンダー管理
R5 OTA リカバリが未署名または古いファームウェアを受け入れる ファームウェアの完全性 OTA / リカバリ
R6 ゲスト Wi-Fi が LAN 機器や管理 UI へ到達しうる 家庭の端末、ルーター管理 無線 / LAN
R7 WPS または QR オンボーディングが初期設定後に悪用されうる Wi-Fi 認証情報 無線オンボーディング
R8 デバッグシェル、telnet、SSH、UART が生産環境で到達可能なまま残る ルーターの完全性、秘密 ファームウェア / 物理
R9 ISP ブランドのファームウェア分岐が OEM のセキュリティ修正を取りこぼす ファームウェアの分岐状態 リリースプロセス
R10 モバイルアプリのリモートアクセストークンが、ルーター移転や工場リセット後も有効なまま残る 管理者アカウント、所有権 クラウド / アプリ
R11 DNS またはペアレンタルコントロールのクラウド障害が、安全でないフォールバック挙動を生む DNS の完全性、可用性 クラウド依存
R12 SoC SDK、Wi-Fi ファームウェア、同梱ネットワークデーモンのサプライヤー脆弱性が、サポート中にトリアージされない ルーターの完全性、可用性 サプライヤーコンポーネント
R13 マネージドスイッチの UI または SNMP/API が、弱い既定認証情報で利用者 LAN 上に露出する スイッチの管理状態、VLAN の完全性 LAN / 管理プレーン
R14 モデムまたは ONT のプロビジョニングプロファイルが、評価済みのリリース状態の外でリモート管理やブリッジモードの挙動を有効化する モデム/ONT のプロビジョニング状態、WAN の露出 事業者プロビジョニング
R15 リカバリモード、リセット長押し起動、TFTP リカバリが、未認証または格下げされたイメージを受け入れる ファームウェアの完全性、セキュアブートの状態 ブートローダー / リカバリ
R16 Wi-Fi ファームウェア、メッシュのオンボーディング、WPS の挙動が、リリース証拠なしにハードウェアリビジョン間で異なる Wi-Fi 認証情報、ゲスト分離 無線 / サプライヤー SDK
R17 USP/TR-369 または TR-069 のコマンド範囲が、事業者プロファイルの意図を超える操作を許す リモート管理の認証情報、DNS、OTA ISP/ベンダー管理
R18 アプリ連携またはクラウド所有権トークンが、工場リセットや ISP 返品後も残る 管理者アカウント、所有権 リセット / クラウドアカウント

初期リスク台帳

ID 起こりやすさ 影響 初期判断 根拠
R1 リリース前に対処 リモート管理の露出は直接の制御を与え、スキャンも容易
R2 リリース前に対処 オンボーディングが変更を強制しない限り、家庭の利用者は既定値を保つことが多い
R3 リリース前に対処 WAN のパーサーは認証前に露出する
R4 深刻 リリース前に対処 リモート管理の失敗は ISP のフリート全体に拡大しうる
R5 深刻 リリース前に対処 ファームウェアのロールバックが既知の脆弱なビルドを存続させうる
R6 リリース前に対処 ゲスト分離は利用者の中核的な期待
R7 リリース前に対処 物理的近接の攻撃は集合住宅や共有空間で現実的
R8 リリース前に対処 デバッグアクセスは生産環境で繰り返し生じる抜け道
R9 リリース前に対処 OEM と ISP のリリースが分かれると分岐のずれは予見可能
R10 リリース前に対処 ルーターの再販や ISP 返品のフローは予見可能
R11 リリース前に対処 クラウド依存の管理策には安全なフォールバック挙動が必要
R12 リリース前に対処 ルーターのコンポーネントスタックはサポート期間を通じて脆弱性を受ける
R13 リリース前に対処 マネージドスイッチの設定は多数の下流機器に影響しうる
R14 リリース前に対処 プロビジョニングのずれはフリート規模でインターネットの端を露出させうる
R15 深刻 リリース前に対処 リカバリは攻撃者やサービスチームが到達できる特権的な経路
R16 リリース前に対処 無線とメッシュの挙動はサプライヤー SDK やハードウェアリビジョンで変わることが多い
R17 深刻 リリース前に対処 リモート管理の範囲の誤りはフリートに影響しうる
R18 リリース前に対処 ルーターの返品、再販、ISP の交換は通常のライフサイクル事象

管理策と証拠の対応づけ

脅威 設計上の管理策 製造業者が保持すべき証拠
R1, R8 WAN 管理を既定で無効、生産環境のサービス台帳、管理向けファイアウォールルール、telnet や工場シェルなし 露出スキャン、生産イメージのチェックリスト、サービス一覧の差分
R2, R7 固有のセットアップ秘密または認証情報の強制作成、短いペアリング窓、WPS の無効化または正当化、レート制限 オンボーディング試験、認証情報生成の証拠、無線セットアップのレビュー
R3 パーサーの堅牢化、ファジング、サービスの権限分離、既定で WAN を遮断する姿勢 ファジングレポート、サービス分離の設計、クラッシュのトリアージ
R4 相互認証、証明書のローテーション、最小権限のプロビジョニング、ACS/USP プロファイルのレビュー リモート管理のセキュリティレビュー、証明書ライフサイクルの記録
R5 セキュアブート、署名済みファームウェア、単調増加するバージョンカウンタ、リカバリイメージの署名検証 OTA 試験レポート、ダウングレード拒否、リカバリ試験
R6 ゲスト網の分離、ゲストから到達できない管理 UI、メッシュノード横断の回帰試験 ネットワーク分離試験、メッシュローミング試験
R9 OEM/ISP の分岐マトリクス、パッチマージ方針、リリース承認、サポート終了の整合 分岐マトリクス、パッチ伝搬の記録、ISP 承認の経緯
R10 所有権移転のワークフロー、リセット時のクラウド連携解除、トークン失効、返品機器の消去 リセット試験、所有権移転試験、RMA チェックリスト
R11 ローカル DNS のフォールバック挙動、安全なペアレンタルコントロールの失敗モード、明確な利用者通知 失敗モード試験、利用者通知の証拠
R12 コンポーネント台帳の監視、サプライヤー助言の受付、ファームウェアコンポーネントの責任者、リリースノートの追跡可能性 コンポーネント台帳の差分、助言ログ、コンポーネント判断の記録
R13 管理プレーンの束縛、固有の管理者セットアップ、SNMP/API を既定で無効または堅牢化、VLAN 分離試験 露出スキャン、既定設定試験、スイッチ管理のレビュー
R14 評価済みプロビジョニングプロファイル、リモート管理の制限、事業者の変更管理、ロールバックと監査の経緯 プロビジョニングプロファイルの記録、フリート設定の監査、事業者承認の経緯
R15 認証付きリカバリ、署名済みリカバリイメージ、アンチロールバック状態、必要に応じた物理リカバリの警告 リカバリ悪用試験、ブート連鎖の記録、ダウングレード拒否
R16 ハードウェアリビジョンのマトリクス、Wi-Fi ファームウェア台帳、WPS/メッシュの回帰試験、規制ドメインのレビュー リビジョンマトリクス、無線ファームウェアの記録、無線セットアップ試験
R17 最小権限のリモート管理プロファイル、コントローラ証明書の台帳、コマンドの監査と承認 TR-069/USP プロファイルのレビュー、証明書ライフサイクルの記録、監査サンプル
R18 所有権移転のワークフロー、リセット時のクラウド連携解除、ISP 返品時の消去、トークン失効 リセット試験、返品機器のチェックリスト、クラウド連携解除の証拠

管理策適用後の残余リスク

残余領域 なぜ残るか 運用上の証拠
ISP 分岐のずれ OEM と ISP のリリース承認は異なる速度で進みうる 分岐マトリクス、エスカレーション経路、リリース差分のレビュー
家庭端末の侵害 LAN クライアント上のマルウェアが、ローカル管理や DNS 設定を依然として攻撃しうる ローカル認証の管理策、トークン失効、管理者アラート
新たな WAN 脆弱性 WAN 側のコードはサポート期間中、敵対的なトラフィックを受け続ける 悪用の監視、ファジングの頻度、緊急更新プロセス
サプライヤーのファームウェア遅延 Wi-Fi や SoC のベンダーは独自のタイムラインで修正を出しうる サプライヤー SLA の記録、緩和策の注記、顧客向け助言プロセス

サポート、更新、報告はどう運用すべきか

HomeRouter R1 の例では、実務上の CRA ファイルに、市販前のリリース証拠だけでなく、サポート期間の運用モデルも含めるべきです。

運用領域 準備すべき証拠
サポート期間 小売 SKU と ISP ブランド SKU のサポート期間の根拠。購入時およびルーターの UI で技術的に可能な場合は終了日(月/年)を表示。想定される利用がより短い場合を除き、少なくとも 5 年を計画する。
セキュリティ更新の入手可能性 セキュリティファームウェア修正とセキュリティ更新パッケージを、発行後少なくとも 10 年間、またはサポート期間が長い場合はその残りの間、取得可能な状態に保つ。リカバリイメージ、ハッシュ、リリースノート、ロールバック判断は証拠として保持すべきだが、セキュリティ以外のすべてのパッケージを法的な 10 年の入手可能性の主張として説明すべきではない。
OEM と ISP の分岐マトリクス どのファームウェアの枝が評価され、誰が署名し、誰がリリースを承認し、誰が緊急修正を保有し、上流のセキュリティ修正がどのように自社ブランドのビルドへ届くか。
単一の脆弱性連絡先 製造責任者の直接の脆弱性報告連絡先。加入者サポートや自動応答のみのチャットボットだけではない。ブランド SKU の製造業者が ISP である場合、その ISP が製品セキュリティ報告の受付経路を保有する。
コンポーネントの相当注意 カーネル、無線ファームウェア、DNS/DHCP サービス、TLS スタック、モバイル SDK、リモート管理エージェントのコンポーネント台帳の監視。適切な場合はサプライヤー助言のトリアージ、上流への通知、修正の共有を行う。
積極的悪用のワークフロー 単一の報告プラットフォームを通じ、調整役に指定された CSIRT と ENISA へ報告する。24 時間以内の早期警告、72 時間以内の詳細通知、是正または緩和措置が利用可能になってから 14 日以内の最終脆弱性報告、そして適切な場合は影響を受ける利用者への通知や緩和手順。
重大な製品セキュリティインシデントのワークフロー 同じプラットフォームと宛先へ報告する。24 時間以内の早期警告、72 時間以内の詳細通知、インシデント通知から 1 か月以内の最終インシデント報告、そして適切な場合は利用者通知を含む顧客/ISP との連携。
技術ファイルの目次 製品の識別情報、境界図、WAN/LAN/無線の資産、脅威モデル、リスク台帳、管理策、試験証拠、コンポーネント台帳、更新プロセス、脆弱性プロセス、サポート期間の根拠、説明書、適合宣言、適合経路の記録。

リリース前に通すべき検証ゲートはどれか

ルーターのリリースは、漠然とした「セキュリティ確認済み」の注記で通すべきではありません。出荷を止めうる具体的な判断を列挙し、それぞれに、防ぐべき失敗、それを締める管理策、その管理策が実際に動くことを証明する成果物を与えます。

ルーターのリリースゲートとクローズアウト記録 ルーターの製造業者が承認前に締められるべき 6 つの判断。それぞれに名前の付いた証明成果物を伴う。
  1. G1初回利用の認証情報リリースを止める
    • 失敗

      共有または予測可能な管理者・Wi-Fi のパスワード、あるいはバッチ間で使い回される印字された秘密。

    • 管理策

      機器ごとの固有の秘密、または認証情報の強制作成。WPS は無効または正当化。

    • 証明

      オンボーディング試験と認証情報生成の証拠。

  2. G2プロビジョニング後の WAN 露出リリースを止める
    • 失敗

      リモート管理、または未認証の WAN 入力を解析する不要・未評価のサービスが、利用者が何も設定する前に到達可能。

    • 管理策

      WAN 管理を既定で無効、既定で遮断する姿勢、パーサーの堅牢化、最小限のサービス一覧。

    • 証明

      プロビジョニング後の WAN 露出スキャン。

  3. G3無線とゲスト分離リリースを止める
    • 失敗

      ゲスト網が LAN 機器へルーティングしたり、管理 UI へ到達したりできる。

    • 管理策

      既定でゲスト分離、ゲストから到達できない管理 UI、メッシュノード横断の回帰。

    • 証明

      ネットワーク分離とメッシュローミングの試験。

  4. G4更新とリカバリの経路リリースを止める
    • 失敗

      OTA またはリカバリが未署名または古いファームウェアイメージを受け入れる。

    • 管理策

      セキュアブート、署名済みイメージ、単調増加するバージョンカウンタ、ダウングレード拒否。

    • 証明

      ダウングレード失敗とリカバリ悪用の試験結果。

  5. G5リモート管理の範囲文書化なしなら止める
    • 失敗

      TR-069 または USP のコマンド範囲が、コントローラに評価済み事業者プロファイルを超える変更を許す。

    • 管理策

      最小権限のプロファイル、コントローラ証明書の台帳、コマンド監査。

    • 証明

      プロファイルのレビューとコマンド監査サンプル。

  6. G6サプライヤースタック監視付きで出荷
    • 失敗

      サポート期間中に SoC SDK、Wi-Fi ファームウェア、同梱ネットワークデーモンに脆弱性が生じる。

    • 管理策

      名前の付いた責任者をもつコンポーネント台帳、助言の監視、バックポートの準備。

    • 証明

      影響を受けるコンポーネントのトリアージ判断。

リリースを止める文書化なしなら止める監視付きで出荷
各ルーターのリリースゲートは、出荷を止める失敗と、それを締める記録を対にします。

構想からサポートまで、誰がルーター開発を保有するか

ルーターのリリースの保有は、製品定義から、顧客の家庭や ISP の網で稼働するフリートへと進む中で移っていきます。下のレールは、各段階に説明責任を負う単一の責任者、その責任者が最新に保つ記録、次の段階が始まる前に締めるべきゲートを与えます。

構想からサポートまでの 6 段階(構想、設計、ファームウェア、リリース、運用、保守)にわたるルーターリリースの所有権レール。各段階は責任者、維持する記録、レビューゲートを示す。段階間にはフリーズマーカーがある:境界を固定、設計を固定、候補を固定、判断を固定、運用を継続。保守から構想へ戻る破線のフィードバックループは、脆弱性報告、ISP やサプライヤーの助言、悪用されたバグの結果が次の境界メモ、脅威リスト、コンポーネント台帳を再開させることを示す。
所有権レールは、各ビルド段階に記録の保有者、締めのゲート、レビューの契機を割り当てます。

各移行はフリーズポイントです。アーキテクチャが始まる前に境界が、コードの前に設計意図が、検証の前にビルドが、出荷の前にリリースが固定され、その後はサポート期間を通じてファームウェアが稼働し続けます。脆弱性報告、ISP やサプライヤーの助言、現場での不具合は、すでに出荷したものではなく、次の境界メモ、脅威リスト、コンポーネント台帳を再開させます。

どの証拠記録がファイルに含まれるべきか

ファイルは、レビュー担当者が製品の識別情報からセキュリティ管理策まで、ルーターの判断をたどれるようにすべきです。各行は、ばらばらのスクリーンショットのフォルダではなく、維持された記録を指します。

証拠領域 ルーター・モデムルーター・スイッチで把握すべき内容
製品の識別情報 型式、ハードウェアリビジョン、SoC と Wi-Fi チップセット、WAN 種別、ファームウェアの枝、モバイルアプリのバージョン、スイッチ/メッシュのオプション
意図された用途 家庭用ルーター、ISP CPE、インターネットモデム、ONT、メッシュキット、モバイルホットスポット、マネージドスイッチ、VPN ルーター。小売と ISP ブランドのバリエーションを明記
サイバーレジリエンス設計ファイル WAN の露出、LAN と無線の既定値、リモート管理の権限、OTA とリカバリの経路、脅威リストと対処計画
コンポーネント台帳 ブートローダー、カーネル、Wi-Fi ファームウェア、WAN-PHY/モデムスタック、DNS/DHCP サービス、TLS スタック、リモート管理エージェント、モバイル SDK。名前の付いた責任者と助言の監視を伴う
セキュアな既定値 共有の既定認証情報なし、WAN 管理を既定で無効、署名済み更新、ダウングレード拒否、ゲスト分離、ロックされたデバッグポート、プロビジョニング後のサービス台帳
更新機構 署名済みファームウェア、リカバリイメージ、アンチロールバック状態、ISP/OEM の分岐マップ、利用者向け更新通知
脆弱性対応 開示方針、単一の窓口、トリアージのワークフロー、コンポーネント助言の監視、ISP/自社ブランドの助言ルーティング
利用者向け説明 安全なオンボーディング、パスワードとゲストの設定、更新設定、サポート終了の開示、廃棄とリセット
トレーサビリティと連絡先 型式/バッチ/シリアルの情報、製造業者または ISP の連絡先、サポート期間の終了日、自動応答ボットだけではない単一の脆弱性報告連絡先

ルーターのコンポーネント台帳には何を入れるか

CRA は、製品のコンポーネントを識別し、少なくともトップレベルの依存関係を網羅する機械可読のコンポーネント台帳を求めますが、特定の形式を 1 つに固定してはいません。ルーターの製造業者は通常 CycloneDX または SPDX を選びます。コンポーネント台帳の仕組みに関する製品横断の詳細は、専用のコンポーネント台帳ガイドにあります。本節はルーター固有のツリーを扱います。

ルーターのリリースは、1 つのバイナリではなく、更新サイクルの異なる複数のデジタル要素を出荷します。CRA の最低要件を満たすパターンは 2 つあります。要素ごとに区分された製品レベルの単一のコンポーネント台帳(ブートローダー、カーネル、Wi-Fi ファームウェア、WAN-PHY スタック、ネットワークデーモン、TLS、リモート管理エージェント、Web UI をそれぞれバージョン固定する)か、出荷要素ごとに 1 つの台帳を各リリースで更新するかです。機械可読でトップレベルの依存関係を網羅していれば、どちらも受け入れられます。

1 つのルーターリリースのコンポーネント台帳を、左から右へ伸びる根付きツリーで描いた図。根はルーターリリース。8 本の枝が、ルーターに出荷されるトップレベルのデジタル要素に至る:ブートローダーとセキュアブート連鎖、カーネルと OS、Wi-Fi ファームウェア、WAN-PHY とモデムスタック、ネットワークデーモン、TLS ライブラリ、リモート管理エージェント、Web 管理 UI。各枝は代表的なコンポーネントを葉の例として列挙し、右端のバッジが識別子方式(PURL、CPE、サプライヤー ID、署名、ビルドハッシュ)を示す。フッターは CRA の最低要件を繰り返す:CycloneDX や SPDX など広く使われる機械可読形式でのトップレベル依存関係。
コンポーネント台帳は、トップレベルの各デジタル要素、その通常の内容、バージョン固定の証拠を網羅すべきです。

リリース承認は何を確認するか

EU リリース前の承認は、下に Q1 から Q4 として示す 4 つの記録フォルダを締められるべきです。完全なファイル索引は上の証拠マップにあります。ここでの 4 つの問いは、フォルダが空のときにリリースを止めるものだけです。

フォルダ リリースの問い ルーター固有の証拠の指針
Q1 分類根拠メモ なぜこの製品はこの分類なのか 中核機能(ルーティングとインターネット接続)、意図された用途、販売上の表示、小売対 ISP のバリエーション、選んだ適合経路
Q2 出荷要素台帳 製品とは正確に何か ルーターのハードウェア、ファームウェア、WAN/LAN/無線のサービス、Web UI、リモート管理エージェント、OTA サービス、クラウドエンドポイント、除外する顧客/ISP のシステム
Q3 セキュア既定値の試験パック 何が既定で保護され、どう安全に更新されるか 共有の既定認証情報なし、WAN 管理を既定で無効、署名済み更新、ダウングレード拒否、ゲスト分離、WPS の判断、ロックされたデバッグポート、プロビジョニング後のサービス台帳
Q4 脆弱性対応プロセス 出荷後に脆弱性や重大インシデントをどう扱うか 公開連絡先、開示方針、トリアージのワークフロー、コンポーネント助言の監視、ISP/自社ブランドの助言ルーティング、24 時間・72 時間通知の準備
リリース承認の場面。レビュー机の上に Q1 から Q4 の 4 つの記録フォルダが並ぶ:Q1 分類根拠メモ、Q2 出荷要素台帳、Q3 セキュア既定値の試験パック、Q4 脆弱性対応プロセス。各フォルダからの矢印が、チェックマークの付いたリリース承認印に集約する。注記はリリース前チェックを列挙する:ファイルはファームウェアの枝とサプライヤーベースラインに固定、24 時間・72 時間通知の準備をもつ名前の付いた責任者、機器ごとの認証情報と WAN 管理の姿勢を網羅するセキュア既定値の試験パック。フッターはゲートを繰り返す:記録が欠ければリリースは出荷されない。
証拠:4 つの記録それぞれを、それが承認する正確なファームウェアバージョンに固定し、後で答えを再導出せずに同じリリースを再び開けるようにします。
承認の前に、製造業者は 4 つの記録を指し示せるべきです。分類根拠、出荷要素台帳、セキュア既定値の試験、脆弱性対応の準備です。

リリース承認フォルダ Q1 から Q4

  1. Q1 分類根拠メモ。 なぜクラス I 項目 12 か。中核機能、意図された用途、販売上の表示、小売対 ISP のバリエーション、選んだ適合経路。
  2. Q2 出荷要素台帳。 ルーターのハードウェア、ファームウェア、WAN/LAN/無線のサービス、Web UI、リモート管理エージェント、OTA サービス、クラウドエンドポイント、除外する顧客/ISP のシステム。
  3. Q3 セキュア既定値の試験パック。 共有の既定認証情報なし、WAN 管理を既定で無効、署名済み更新、ダウングレード拒否、ゲスト分離、WPS の判断、ロックされたデバッグポート。
  4. Q4 脆弱性対応プロセス。 公開連絡先、開示方針、トリアージのワークフロー、コンポーネント助言の監視、そして警告・通知・最終報告の報告準備。

承認ゲート:記録が 1 つでも欠ければリリースは承認されません。

ルーターは輸入業者・販売業者・ISP・事業者へどう引き継がれるか

ルーターリリースの経済事業者間の引き継ぎ。製造業者または OEM のリリースパックがフローレールに沿って、輸入業者の市販前受け入れ、販売業者の目に見える相当の注意、製造業者となりうる ISP または自社ブランド、事業者または加入者へと進む。停止条件の行は、出荷や掲載を止める事由を列挙する:パック・トレーサビリティ・サポート日付・脆弱性連絡先の不一致、または評価済みビルドと異なるファームウェアの枝やリモート管理プロファイル。サイドチェック A は、認定代理人の委任は任意であり、これをもたない非 EU 製造業者は輸入業者・販売業者・最多利用者のカスケードを用いると説明する。サイドチェック B は、自社ブランドの輸入業者・販売業者、またはブランド化ファームウェアの分岐や新しい管理クラウドなどの実質的改変者が、そのオファーの製造業者となると説明する。
引き継ぎマップは、誰が各販売前チェックを保有し、各役割でルーターを何が止めるかを示します。

経済事業者間の引き継ぎ:役割とサイドチェック

  1. 01 製造業者 / OEM。 リリースパックを保有:適合宣言、CE、ファイル索引、サポート期間、脆弱性連絡先。
  2. 02 輸入業者。 パック、CE、ファイル索引、サポート日付、脆弱性連絡先を検証し、受領したビルドが評価済みビルドであることを確認する:無線の国別設定、ISP プロファイル、リモート管理証明書、アプリのペアリング、OTA エンドポイント。いずれかに疑いがあれば出荷を一時停止する。
  3. 03 販売業者。 目に見える CE、付属文書、サポートと更新の表明を確認し、評価済みの境界の外にある「セキュリティゲートウェイ」「業務用ファイアウォール」「マネージド VPN アプライアンス」といった表示を加えない。サポートを誇張する、適合宣言と矛盾する、または既知の問題があるのに販売を続ける場合は掲載を一時停止する。
  4. 04 ISP または自社ブランド。 ブランド化、クラウド管理、更新の保有、リモート管理の運用は、それ自体で製造業者の義務を生じさせうる。ルーターを自社の名前で投入する、または実質的に改変する(ブランド化ファームウェア、新しいクラウド、新しい更新チャネル)と、そのオファーの製造業者となるため、サプライヤーのファイルは自社の役割分析の代わりにはならない。
  5. 05 事業者または加入者。 助言と更新を受け取り、問題を報告する。製造業者ではない。

サイドチェック A。 認定代理人の委任は任意ですが、存在する場合は書面で、適合宣言と文書の入手可能性の維持、当局への協力を網羅しなければなりません。これをもたない非 EU 製造業者は、輸入業者、販売業者、次いで最多の利用者基盤というカスケードを用います。報告連鎖に EU 拠点の事業者が存在しない場合、報告先は最も利用者の多い加盟国に帰します。

サイドチェック B。 自社ブランドの輸入業者・販売業者、または実質的改変者は、影響を受けるオファーの製造業者となります。

よくある質問

ファイアウォールがあるからルーターはクラス II ですか

既定ではそうではありません。通常のルーターは多くの場合、重要なクラス I です。ファイアウォール、侵入検知、侵入防止が製品の中核機能である場合に、クラス II の問いになります。

ISP が提供するルーターは対象ですか

はい、デジタル要素を含む製品として EU 市場に投入される場合は対象です。実務上の鍵は、ブランド化ファームウェア、サポート期間、更新チャネル、脆弱性プロセスについて誰が製造業者かという点です。

ルーターはクリティカルですか

いいえ。家庭用ルーター、ISP モデムルーター、スイッチは、ネットワークアクセスにとって重要だというだけではクリティカルになりません。

商用のオープンソースルーターファームウェアは答えを変えますか

変え得ます。商用に供給されるファームウェアイメージやアプライアンス用ディストリビューションは、それ自体がデジタル要素を含む製品であり得ます。製造業者は、何が市場に投入され、誰が更新と脆弱性対応を保有するかを文書化すべきです。

ソフトウェアが真に自由ソフトウェアおよびオープンソースソフトウェアに該当し、重要カテゴリーに入る場合、CRA には、市場投入時に必要な技術文書が公開される特定の適合オプションがあります。オープンソースのパッケージを含むというだけで、この経路を私的な ISP のファームウェア分岐や商用アプライアンスに適用してはなりません。

RED のサイバーセキュリティ期限を満たせばルーターはすでに CRA 準拠ですか

いいえ。2025 年 8 月 1 日からインターネット接続無線機器は無線機器指令のサイバーセキュリティ要件を満たし、それらの管理策(安全な既定値、更新の完全性、アクセス保護)は正しい基礎です。しかし CRA はより広いライフサイクルを加えます。文書化された脆弱性対応プロセス、公開されたサポート期間の終了日、製品全体での既定で安全な構成、そして報告義務です。RED サイバーセキュリティ委任規則は 2027 年 12 月 11 日に廃止され、CRA が引き継ぎます。

再確認の契機:RED ファイルを出発点として扱い、2027 年 12 月 11 日より前に CRA の必須要件と突き合わせてギャップを評価します。

CRA のもとでルーターにはどの整合規格が適用されますか

無線機器のフェーズでは、整合のセットは EN 18031 シリーズで、消費者向けベースラインの ETSI EN 303 645 を基礎とします。準備中のルーター固有の CRA 規格は ETSI EN 304 627(ルーター、モデム、スイッチ)で、クラス I 項目 12 に対応づけられます。これはまだ草案であるため、評価時点で引用される規格と整合の制約を確認します。

適合の記録:依拠する規格、そのバージョン、製品に合わない制約、結果として選んだ適合経路を記した短いメモ。

マネージドスイッチはルーターと同様に扱われますか、また非管理型スイッチは対象ですか

マネージドスイッチは管理プレーン(Web UI、CLI、SNMP/API、VLAN)とファームウェア更新経路をもつため、通常は重要なクラス I のネットワーク機器として、独自の管理プレーンの証拠とともに扱われます。管理面がなく、ファームウェア更新も接続機能もない純粋な非管理型・設定不可のスイッチは、そもそもデジタル要素を含む製品かどうかについて個別判断が必要です。

境界の記録:スイッチ SKU ごとに、管理面または更新面が存在するかどうかを述べる 1 行の注記。

メッシュ Wi-Fi キットは 1 製品ですか、複数ですか

システムを構成するメッシュノードは、通常はルーター製品または製品ファミリーです。出荷される形で、コントローラノード、サテライトノード、オンボーディングフロー、メッシュ制御プロトコルを評価します。ノード間の信頼とオンボーディングのハンドシェイクは無線の攻撃面の一部です。

境界の記録:境界メモに、キットに含まれるノード、メッシュ制御プロトコル、オンボーディング方式を記す。

単体のモデムや ONT は、ブリッジするだけでも対象ですか

インターネット接続を意図するモデム、ケーブルモデム、ファイバー ONT は、ブリッジモードであっても通常は重要なクラス I です。インターネットモデム機能が中核となる製品機能であり、機器には依然としてファームウェア、プロビジョニングチャネル、しばしばリモート管理エージェントがあるためです。ブリッジ対ルーターモードは露出を変えますが、基本的な分類は変えません。

境界の記録:プロビジョニングチャネル、リモート管理エージェント、そしてブリッジとルーターのどちらが評価済みの既定かを記録する。

4G/5G モバイルホットスポットは対象ですか

はい。セルラー WAN もインターネット接続であるため、モバイルホットスポットや 4G/5G ルーターは通常、重要なクラス I です。セルラーのプロビジョニング経路と SIM/eSIM の取り扱いは WAN の攻撃面の一部です。

境界の記録:セルラーモジュール、プロビジョニング経路、管理チャネルを記す。

ルーターはどれだけの期間サポート・更新すべきですか

サポート期間は、想定される利用時間がより短い場合を除き、少なくとも 5 年です。多くのルーターや ISP CPE はそれよりはるかに長く稼働するため、製造業者が実際に提供できる期間をファイルに記し、購入前に終了日を示すべきです。セキュリティ更新は、発行後少なくとも 10 年間、またはサポート期間が長い場合はその残りの間、取得可能な状態に保つべきです。一般的な規則はサポート期間サポート終了の開示のガイドにあります。

サポートの記録:小売 SKU と ISP ブランド SKU のサポート期間の根拠。購入時およびルーターの UI で可能な場合に終了日を表示する。

ルーターにとって安全な更新とは何ですか

セキュアブート連鎖を通じて検証される署名済みファームウェアイメージで、単調増加するバージョンカウンタにより古い脆弱なビルドを再インストールできないようにし、リカバリ経路も未署名または格下げされたイメージを拒否するものです。ISP 配信と OEM の更新は、いずれもこの経路に従わなければなりません。

試験の成果物:正確なファームウェアビルドについての、署名済み更新の検証ログ、ダウングレード失敗の試験、リカバリ悪用の試験。

TR-069 や USP のリモート管理は製品境界を変えますか

製造業者または ISP がリモート管理チャネルを供給する場合、それは境界の内側にあり、単なる事業者向け機能ではなくフリート制御の経路です。事業者の自動設定サーバー、接続要求の仕組み、コマンドの範囲、証明書の信頼は、いずれも評価に含まれます。

証拠:評価済みの事業者プロファイルに紐付けた、コントローラ証明書の台帳とコマンド範囲のマトリクス。

ISP ブランドの CPE の製造業者は誰ですか

自社の名前または商標で製品を市場に投入する者、または評価済み製品を実質的に改変する者です。OEM ハードウェアを再ブランド化する、ファームウェアを分岐する、管理クラウドを運用する、更新チャネルを保有する ISP は、そのブランド SKU について、脆弱性報告連絡先を含む製造業者の義務を負う可能性があります。

役割の記録:適合宣言、ファームウェアの枝、更新チャネル、サポート期間、報告連絡先を誰が保有するかの書面による分担。

ルーターメーカーが最初に作成すべき証拠項目は何ですか

対象となる正確な SKU についての、短い分類・境界メモです。ルーター、モデムルーター、メッシュキット、スイッチ、ホットスポット、VPN ルーターのいずれかを特定します。WAN 種別、無線スタック、LAN 管理面、リモート管理チャネル、クラウドサービス、更新の保有、サポート期間、除外されるシステムを明記します。

分類の記録:リスク評価、適合経路の選択、輸入者向け資料、サポート期間の声明がいずれも参照できる、1 ページの境界メモ。

リリース後にルーターのファームウェアで脆弱性が見つかったらどうしますか

直ちに是正措置を取り、報告のシーケンスに備えます。積極的に悪用されている脆弱性に対する 24 時間の早期警告、72 時間の通知、是正または緩和措置が利用可能になってからの最終報告、そして利用者通知です。ルーターでの是正措置は通常、OEM・ISP・自社ブランドの各分岐に配信される署名済みファームウェア更新で、ある枝が同じ修正を取り込めない場合は文書化された例外を伴います。一般的な報告の仕組みは脆弱性対応協調的脆弱性開示のガイドにあります。

是正措置の記録:影響を受ける型式とファームウェアの枝、署名済み更新の成果物、枝への伝搬の経緯、利用者向け助言の文面、通知の参照。

ルーターの脅威分析はいつ更新すべきですか

出荷済みのルーターが、信頼境界を動かす形で変わるたびです。新しい WAN 種別、新しいリモート管理プロファイル、Wi-Fi や SoC の SDK の変更、新しいクラウド依存、メッシュのオンボーディングの変更、デバッグポートの挙動の変更、新しい ISP の分岐などです。変更が露出や権限の経路を再び開く場合、リリースノートだけでは不十分です。報告義務は 2026 年 9 月 11 日から適用されるため、開示方針と単一の連絡先はそれより前に機能している必要があります。

再確認の契機:WAN の露出、無線の既定値、リモート管理の範囲、更新経路、サプライヤーコンポーネント、ISP の分岐のいずれかの変更が、境界メモと脅威分析を再び開きます。

次に何をすべきか

SKU レベルの境界メモから始めます。ルーター、モデムルーター、メッシュキット、スイッチ、VPN ルーター、ファイアウォールのバリエーションです。次に、ファームウェア、無線スタック、リモート管理、クラウドサービス、サプライヤーコンポーネント、更新の保有、サポート期間を技術ファイルに対応づけます。そのファイルの製品横断の構造は技術文書ガイドにあります。