米国、安全保障上の理由から海外製造ルーターの新規販売を禁止-TP-Linkや日本への影響|セキュリティとITのニュース-セキュリティ対策Lab

投稿日時: 2026年03月26日更新日時: 2026年03月26日

米国時間2026年3月23日、米国連邦通信委員会は通信インフラを保護するための対象機器リストを大幅に更新し、海外で製造されたすべてのコンシューマー向けルーターを国家安全保障上の容認できない脅威と正式に認定しました。この決定は、特定の不祥事を起こした企業や特定の国家を狙い撃ちにした過去の個別の制裁措置とは根本的に異なり、生産地域そのものを対象とした包括的かつ前例のないハードウェア排除措置です。

【この記事のポイント】

米国連邦通信委員会が、海外製造のコンシューマー向けルーターの新規機器認証を事実上停止。
製造地が海外であれば、米国企業（CiscoやGoogle等）の製品であっても一律で規制の対象となる。
背景には、海外製ルーターの脆弱性を悪用した国家支援型ハッカー（Volt Typhoon等）によるサイバー攻撃の急増がある。
日本の情シス部門も、海外拠点の機器見直しや、従業員のテレワーク環境（シャドーIT）のセキュリティ強化

1 海外製造されたルーターの販売が不可能に
2 条件付き承認プロセスが要求する米国国内回帰の過酷な現実
3 規制強化の根本原因：国家安全保障と高度化するサイバー空間の脅威
4 中国系メーカーTP-Linkを筆頭とする通信機器業界全体への破壊的影響
5 他国メーカーおよびサプライチェーン全体への広範な波及効果
6 日本の企業情報システム部門が直面する直接的および間接的影響

海外製造されたルーターの販売が不可能に

米国連邦通信委員会による今回の措置は2026年3月23日以降、海外で製造されたコンシューマー向けルーターの新しいモデルは、米国連邦通信委員会からの機器認証を受けることが実質的に不可能となりました。米国内で電子機器を合法的に販売、流通、輸入するためにはこの機器認証が不可欠であるため、この決定は事実上の全面的な禁輸措置に該当します。

業界全体にパニックを引き起こしている要因は、対象となる生産の定義が極めて広範かつ厳格に設定されている点です。対象機器リストの更新要件を規定した国家安全保障決定の公式文書によれば、生産には製造、組み立て、設計、開発といったデバイスが作られるプロセスのあらゆる主要な段階が含まれると明記されています。

したがって、米国に本社を置く米国企業が、米国内の自社拠点で製品の基本設計やソフトウェア開発を行ったとしても、コスト削減のために実際の基板への部品実装や最終的な組み立てプロセスを台湾、ベトナム、中国などの海外拠点に委託している場合、そのルーターは海外製造とみなされ、原則として販売禁止の対象となります。

また、この措置は市場の混乱を最小限に抑えるため、法的な不遡及の原則に基づいて慎重に設計されています。対象機器リストへの追加は、あくまで新規の機器認証プロセスに対してのみ適用されます。そのため、すでに一般消費者が購入して自宅で使用している既存のルーターについて、その継続使用が違法となるわけではありません。さらに、小売業者がすでに過去の合法的な機器認証を取得して米国内に輸入済みの既存モデルの在庫を店頭やオンラインで販売し続けることも明示的に許可されています。

条件付き承認プロセスが要求する米国国内回帰の過酷な現実

全面的な禁輸措置によって米国市場からルーターの供給が完全に途絶し、デジタルインフラの整備が停滞する事態を防ぐため、米国連邦通信委員会は唯一の救済措置として条件付き承認のプロセスを用意しています。

製造業者は、米国国防省または国土安全保障省に対して、自社が製造する特定のルーターが国家安全保障上の容認できないリスクをもたらさないことを客観的に証明する申請を行い、個別の審査を経ることで、例外的に機器認証の取得が可能となります。

しかし、この条件付き承認を得るためのハードルは極めて高く設定されており、単なるソフトウェアの脆弱性診断やペネトレーションテストの結果報告にとどまらない、企業統治の根本的な透明化とサプライチェーンの劇的な再構築が要求されます。米国連邦通信委員会が公開したガイダンスに基づく、条件付き承認プロセスにおける主要な情報開示要件は以下の表の通りです。

審査カテゴリー	要求される具体的な開示情報および提出資料	審査の主要な目的と背景
企業構造と資本の完全な透明化	法的名称、設立管轄区域、主たる事業所の所在地。親会社、子会社、関連会社、合弁事業を含む完全な所有構造ツリー。 5%以上の株式を保有する実質的受益者の特定。国籍および居住国を含む取締役および経営陣の構成履歴。	外国政府、特に敵対的国家からの資本的・人的な影響力の徹底的な排除。ダミー会社を通じた影の支配者の特定。
外国政府の関与と影響力の排除	外国政府からの所有、支配、影響力、資金調達、物理的支援の有無。外国人や外国政府が業務、意思決定、技術へのアクセスに影響を与えることを可能にするあらゆる取り決めの詳細な特定。	隠しチャネルの構築や、国家情報法などを迂回した外国政府主導の組織的諜報活動への加担リスクの評価。
サプライチェーンの現状把握	対象ルーターの現在の米国内での製造および組み立て状況に関する詳細な説明。米国内で組み立てられている部品群の正確な割合。現在の米国内の従業員数、施設の場所、およびその機能の詳細。	既存のハードウェア構成部品における外国依存度の正確な定量化と、サプライチェーン攻撃の標的となり得る脆弱性ポイントの特定。
米国内製造への移行計画（オンショアリング）	今後1〜5年間にわたる米国内での製造および組み立てに充てられる予定の資本的支出、資金調達、その他の投資計画。期待されるタイムラインとマイルストーンを含む詳細な事業計画書。	ルーター製造の完全な国内回帰の実現と、外国のサプライチェーンへの長期的かつ構造的な依存からの脱却。

この厳格な要件リストの中でも、産業界にとって最も過酷であり実現困難な条件が、期限付きの米国内製造確立・拡大計画の提出義務です。

企業は、単に資本関係の潔白を証明し、現在の製品にバックドアが存在しないことを証明するだけでは不十分です。

アジア地域に高度に最適化され集中しているプリント基板の表面実装技術、ネットワーク専用のシステムオンチップや電波法に準拠したアンテナなどの精密部品調達、そして最終組み立てのラインを、数年以内に人件費が高騰している米国本土へ移転させるという、従来の経済的合理性を完全に度外視した巨額の投資計画を確約しなければならないのです。これは、ルーターという製品群を、純粋なコンシューマー向け家電から、兵器システムや航空宇宙産業と同等レベルの高度な安全保障物資として取り扱うという米国政府の強力な意思表示に他なりません。

規制強化の根本原因：国家安全保障と高度化するサイバー空間の脅威

米国政府がここまで強力かつ広範な市場介入に踏み切った背景には、悪意のある国家支援型ハッカーグループによる、極めて高度かつ破壊的なサイバー攻撃の急増という差し迫った危機があります。米国連邦通信委員会は独自にこの対象機器リストを更新したわけではなく、安全保障ネットワーク法に基づく厳格なプロセスを経ています。具体的には、ホワイトハウスが主導して招集した、国家安全保障の専門知識を持つ政府機関間の委員会の決定に従って行動しています。

この政府間委員会が指摘した根本的な原因は、海外製の小規模オフィスおよびホームオフィス向けルーターに存在するセキュリティ上の脆弱性が、米国の重要インフラに対する直接的な攻撃プラットフォームとして悪用されているという事実です。

特に、Volt Typhoon、Flax Typhoon、Salt Typhoonと命名された近年の大規模なサイバー攻撃キャンペーンにおいて、海外製造のルーターが攻撃の足場として直接的に関与していたことが明記されています。

こうして乗っ取られた数百万台規模のコンシューマー向けルーターは、巨大なボットネットの一部として組織化されます。

攻撃者はこのボットネットを利用して、通信の送信元IPアドレスを米国内の一般家庭の正当なIPアドレスに偽装し、IPアドレスのジオロケーションベースのアクセス制限を容易に突破し、政府機関、シンクタンク、法律事務所、エネルギー企業、防衛産業基盤のネットワークに対するパスワードスプレー攻撃や総当たり攻撃を実行することが可能になります。

米国のサイバーセキュリティ・社会基盤安全保障庁や連邦捜査局、国家安全保障局の合同報告によれば、これらの攻撃は単なるデータ窃取にとどまらず、将来の有事の際に米国の通信、電力、交通、水道などの重要インフラの機能を瞬時に停止させるための事前準備であると分析されています。

また、マクロな視点での原因として、トランプ政権が2025年に策定した国家安全保障戦略が決定的な役割を果たしています。この戦略文書では、米国は国家の防衛や経済に不可欠な原材料、部品、完成品に至るまでの中核的コンポーネントにおいて、いかなる外部勢力にも依存してはならないと宣言されています。

米国民の96パーセントが日常的にインターネットを利用し、企業の経済活動や緊急サービスがネットワークインフラに完全に依存している現代において、各家庭に設置されネットワークの関所となるルーターは、単なる家電製品ではなく国家防衛に不可欠な中核コンポーネントに他なりません。

現在、米国家庭に普及しているルーターの過半数が海外で製造されており、このサプライチェーンにおける外国への過度な依存が、米国経済と安全保障に対する容認できない脆弱性を生み出していると結論付けられました。

中国系メーカーTP-Linkを筆頭とする通信機器業界全体への破壊的影響

この包括的な規制措置により、世界の通信機器業界はかつてない激震に見舞われています。中でも特に深刻な影響を受けており、米国政府の最大の標的となっているのが、米国ホームネットワーキング市場の約65パーセントという圧倒的なシェアを握る巨大企業、TP-Linkです 。

TP-Linkはもともと中国で創業された企業ですが、現在では米国市場での事業展開を本格化させるため、米国カリフォルニア州アーバインに本社機能を移転しています。しかし、同社は米国連邦通信委員会の規制が発表される以前から、米国政府の極めて厳しい監視下に置かれていました。その最大の理由は、同社製品の米国市場における圧倒的な支配力と、不透明な価格設定戦略に対する米国司法省の犯罪的独占禁止法違反の調査です。

関連：TP-Linkのルーターは国家安全保障上の脅威-米国議員が指摘

この司法省の調査では、TP-Linkが意図的に原価を割る略奪的価格設定を用いて製品を不当に安く販売し、競合他社を市場から駆逐して独占状態を作り出そうとした重大な疑惑がもたれています。ネットワークインフラストラクチャの世界において、市場シェアの独占は単なる経済的・商業的な問題ではありません。

特定メーカーの機器が一国のネットワーク網の大部分を占めることは、有事において特定のコマンドによって一斉に機能停止を引き起こされたり、ハードウェアレベルのバックドアを通じて国家規模の大規模な監視網が構築されたりするという、国家レベルのインテリジェンスの脅威と直結します。

TP-Link側もこの事態に対して長文の公式声明を発表し、徹底的な防戦を展開しています。同社は、自社のサプライチェーンの安全性に絶対の自信を持っており、特定の企業を排除するのではなく業界全体を対象とした今回の包括的な評価を歓迎すると述べています。

また、中国の親会社であるTP-LINK Technologiesとの資本的・組織的な切り離しがすでに完了していることを強く強調し、米国向けの製品は中国本土ではなくベトナムの工場で製造しているため、中国政府が製品の設計や生産プロセスにアクセスしたり制御したりする権限や機会は一切ないと主張しています。

さらに、米国の厳格なセキュリティ基準に自発的に準拠するため、米国政府がスポンサーとなっているセキュアバイデザインの誓約に署名したことも公表し、透明性のアピールに努めています。

しかしながら、米国連邦通信委員会が定義した生産の概念が、ベトナムを含むすべての海外での製造プロセスを対象としているため、米国に本社を置きベトナムで製造するというTP-Linkの現在の事業モデルでは、新たな機器認証を取得することは完全に不可能です。同社の広報担当者が指摘するように、現代の通信機器産業において事実上すべてのルーターは米国以外の国で製造されており、米国企業を含む業界全体が壊滅的な影響を受けることは避けられない情勢となっています。

他国メーカーおよびサプライチェーン全体への広範な波及効果

影響を受けるのは、中国にルーツを持つTP-Linkだけではありません。この規制の特異な点は、メーカーの国籍を一切問わず、物理的な製造地のみを基準としていることです。そのため、台湾を拠点とするAsus、米国カリフォルニア州サンノゼに本社を置く老舗ネットワーク機器メーカーのNetgear、Amazonの傘下に入りベトナムで製造を行うメッシュWi-FiブランドのEero、さらにはエンタープライズ市場でも強固な地盤を持つCisco Systems、Linksys、Alphabet傘下のGoogle Nestといった米国を代表するテクノロジー企業のコンシューマー向け製品群も、その製造や組み立てプロセスの大半をアジアのサプライチェーンに依存しているため、すべて一律に規制対象に組み込まれます

日本の企業情報システム部門が直面する直接的および間接的影響

この米国の劇的な政策転換は、日本国内で業務を完結している企業にとっては一見すると対岸の火事のように思えるかもしれません。しかし、グローバルに事業を展開し、サプライチェーンの最適化を図っている日本の企業情報システム部門に対して、極めて甚大かつ直接的な影響をもたらします。

米国事務所や米国企業のルータ見直し

第一に、グローバルなハードウェア調達戦略と資産管理の根本的な見直しが不可欠となります。米国に子会社や駐在員事務所を持つ日本企業は、現地の従業員が自宅のテレワーク環境で使用しているネットワーク機器のメーカーとモデルを早急に監査し、リスト化する必要があります。現時点で稼働している既存のルーターの継続使用は法的に認められているものの、Volt TyphoonやSalt Typhoonなどの攻撃事例が明確に示している通り、脆弱性を抱えた古いルーターを使い続けることは、企業ネットワークの内部を外国の国家支援型ハッカーの標的に直接さらすことと同じです。

したがって、老朽化した機器の刷新が必要となりますが、市場から安価なアジア製のコンシューマー向けルーターが姿を消し、厳しい政府の承認プロセスを経た非常に高額な米国製、あるいは承認済みのルーターしか調達できなくなるため、ITインフラのランニングコストは必然的に高騰します。

また、日本国内の拠点向けには従来通りアジア製の安価な機器を採用し、米国拠点向けには高価な承認済み機器を採用するという、サプライチェーンの分断に対応するための二重のベンダー管理体制を構築する運用負荷も新たに発生します。

サイバーセキュリティに関する国家的な波及

サイバーセキュリティの国際的な標準化の波及効果による国内規制の強化です。米国のサイバーセキュリティおよびインフラストラクチャセキュリティ庁や米国国立標準技術研究所が策定した厳しい基準は、多くの場合、数年のタイムラグを経て日本の内閣サイバーセキュリティセンターや経済産業省が発行するガイドラインに標準として取り込まれる傾向があります。

米国国立標準技術研究所は、コンシューマー向けルーターのセキュリティ要件を定義するにあたり、以下の表に示すような世界各国の通信標準化団体や政府機関の基準を包括的に参照し、統合しています。

参照元機関・団体	策定された主要な標準・ガイドライン	関連する技術的要件
Broadband Forum (BBF)	TR-124 Issue 8 – Functional Requirements for Broadband Residential Gateway Devices	住宅用ブロードバンドゲートウェイデバイスの基礎的な機能要件と安全なルーティングプロトコルの実装。
CableLabs (CL)	Security Gateway Device Security Best Common Practices	セキュリティゲートウェイデバイスにおけるアクセス制御、暗号化、およびファームウェアの完全性検証のベストプラクティス。
ドイツ連邦情報セキュリティ庁 (BSI)	TR-03148: Secure Broadband Router – Requirements for secure Broadband Routers	ブロードバンドルーターのセキュアな設定のデフォルト化、およびバックドアの排除に関する厳格な要件。
シンガポール情報通信メディア開発庁 (IMDA)	Technical Specification Security Requirements for Residential Gateways	住宅用ゲートウェイのネットワークレイヤーにおける攻撃防御機能と、定期的な脆弱性パッチ適用プロセスの義務化。

このように、NIST IR 8425Aで示されたコンシューマー向けルーターのセキュリティ要件はすでに国際的なコンセンサスを形成しつつあり、将来的に日本国内の電気通信事業法や関連する技術基準に直接反映される可能性が極めて高いと言えます。

その結果、日本市場においても特定の海外製ルーターに対する販売規制や、企業が調達すべきハードウェアの基準が大幅に引き上げられるシナリオは十分に想定しておくべきです。

個人利用の海外製ルーターによるシャドーIT化

第三に、従業員の自宅ネットワーク環境、いわゆるシャドーITに対する情報システム部門の管理責任の急激な拡大です。今回の米国の決定は、家庭用の安価なルーターが企業の機密情報や認証情報へのアクセスポイントとして日常的に悪用され、国家のインフラまでをも脅かしている事実を公式に認めたものです。日本の情報システム部門はこれまで、従業員の自宅の通信回線やルーターの機種選定については個人のプライバシーの観点から「自己責任」として深く関与しない方針を採るケースが大半でした。

しかし、エンドポイントのPCに導入された高度なEDRだけでは、PCの外部に位置するルーターというネットワーク経路そのものを完全に掌握して行われる通信の傍受やDNSポイズニングを完全に防ぐことはできません。

結果として、テレワーカーの自宅ネットワーク環境に対する定期的なセキュリティアセスメントの実施や、安全性が担保された企業指定のゼロトラスト対応ルーターを一律に貸与するといった、これまで手当てしてこなかった領域への莫大な投資とセキュリティポリシーの全面的な改定が急務となります。

出典

米国政府・公的機関（FCC・ホワイトハウス・NIST）