米連邦通信委員会(FCC)は2026年6月26日、Covered List(要注意機器・サービスリスト)に掲載されている企業が製造した通信・監視機器について、輸入および販売のための機器認証をすべて無効化する新規則を発表しました。
これまでの規制では、Covered Listに指定される以前にすでに認証を取得していた旧型機器の販売継続が例外的に認められる「抜け道」が存在していましたが、今回の措置によりこの抜け道は閉じられ、2024年以前にリストに追加された企業の機器は原則としてすべて輸入・販売が禁止されることになります。
対象となる主要企業はHuawei・ZTE・Hikvision・Kaspersky等で、いずれも国家安全保障上のリスクを理由に米国での事業活動が長年制限されてきた企業です。今回の規則は既存の認証を遡及的に無効化するという点で、単なる新規販売の禁止措置よりも踏み込んだ内容となっています。
サマリー
- FCCは2026年6月26日、Covered Listに2024年以前に掲載された企業が製造する機器について、既存の機器認証をすべて遡及的に無効化する新規則(Public Notice)を発表
- 対象企業はHuawei・ZTE・Hytera・Hikvision・Dahua(いずれも中国企業)およびKaspersky(ロシア企業)。これらの企業は2022年以降、新規機器の輸入自体はすでに禁止されていたが、指定前に認証済みの旧型機器の販売は例外的に容認されていた
- 今回の規則はその例外(抜け道)を撤廃するもので、旧型機器であっても輸入・販売・マーケティングが一律禁止となる
- 一方、2025年以降にCovered Listに追加されたドローンメーカーDJI・Autel Roboticsの機器、および外国製ルーター全般については、今回の認証取り消しの対象から除外されている
- 老朽化した通信機器はファームウェアの脆弱性・暗号化の弱さ・非公開のリモートアクセス機能を抱えたまま使われ続けるケースが多く、APT(高度持続的脅威)グループの侵入・横展開・長期潜伏の足がかりになるリスクが指摘されている
- FCCはすでに設置済みの機器の撤去は義務付けていない。地方や小規模な通信事業者では、コストの安い旧型機器への依存度が高く、既存の攻撃対象領域が当面残り続ける点が課題として指摘されている
| 項目 | 内容 |
|---|---|
| 発表日 | 2026年6月26日 |
| 発表機関 | 米連邦通信委員会(FCC) |
| 法的根拠 | Secure and Trusted Communications Networks Act of 2019(Secure Networks Act) |
| 措置の名称 | FCC Prohibits Importation and Marketing of Certain Covered Equipment(Public Notice) |
| 対象企業 | Huawei・ZTE・Hytera・Hikvision・Dahua・Kaspersky |
| Covered List登録日(通信・監視機器) | 2021年3月12日 |
| Kaspersky追加日 | 2022年3月25日(情報セキュリティ製品)・2024年7月23日(サイバーセキュリティ・ウイルス対策ソフト) |
| 従来の規制の抜け道 | 指定前に認証済みの旧型機器は販売継続が可能だった |
| 今回の措置の効果 | 該当企業の機器認証を遡及的に無効化。旧型機器も輸入・販売・マーケティング禁止 |
| 除外される機器 | 2025年以降Covered Listに追加されたDJI・Autel Robotics製ドローン、外国製ルーター全般 |
| 既存設置機器への扱い | 撤去義務なし(新規の輸入・販売のみ禁止) |
目次
規則の背景-Covered Listとは何か
Covered Listは、Secure and Trusted Communications Networks Act of 2019(Secure Networks Act)に基づきFCCが管理する、米国の国家安全保障または米国人の安全に「容認できないリスク」をもたらすと判断された通信機器・サービスのリストです。FCC規則第1.50002条に基づき、公共安全・国土安全保障局(PSHSB)が同リストを維持・更新しています。
現在Covered Listに掲載されている主要企業は、Huawei Technologies社とZTE Corporation社(いずれも通信機器全般が対象)、Hytera Communications社・Hangzhou Hikvision Digital Technology社・Dahua Technology社(いずれも公共安全・政府施設警備・重要インフラの物理的監視等の目的で使用される場合に対象)、そしてロシアのAO Kaspersky Lab社(情報セキュリティ製品・サービス全般が対象)です。これらの企業はいずれも2021年から2024年にかけて段階的にリストに追加されてきました。
FCCは2022年11月、Covered Listに掲載された企業の機器について新規の機器認証を発行しないとする規則をすでに導入していました。
しかしこの規則には、企業がリストに掲載される以前にすでに機器認証を取得していた製品については、その認証を維持したまま販売を継続できるという抜け道が存在していました。つまり、同じ企業が製造する事実上同一の機器であっても、認証を取得したタイミングによって販売の可否が分かれるという状況が生じていたことになります。
今回の規則が変えること
2026年6月26日にFCCが公表した新しい規則(Public Notice「FCC Prohibits Importation and Marketing of Certain Covered Equipment」)は、この抜け道を明確に閉じるものです。
2024年以前にCovered Listに掲載された企業について、既存の機器認証をすべて遡及的に無効化し、新規販売の禁止だけでなく、これまで合法的に販売され続けてきた旧型機器についても輸入・マーケティングを一律で禁止します。
FCC自身が「この措置は、米国の通信セクターへのリスクを軽減し、国家安全保障を保護するために必要である」と説明しているとおり、今回の規則の狙いは、機能的に類似した旧モデルの機器がいつまでも販売され続けるという状況そのものを是正することにあります。
研究者からは、老朽化した通信機器は過去に認証を取得していたとしても、ファームウェアに未修正の脆弱性を抱えていることが多く、暗号化強度が弱く、文書化されていないリモートアクセス機能を保持したまま使われ続けるケースがあると指摘されています。こうした機器は、APT(高度持続的脅威)グループが初期侵入の足がかりとして悪用し、そこから横展開・長期潜伏へとつなげる攻撃チェーンの起点になり得るというのがセキュリティ専門家の見解です。
なお、今回の措置は2024年以前にCovered Listに掲載された企業のみを対象としており、それより後にリストへ追加されたドローンメーカーのDJI・Autel Robotics製機器、および外国製ルーター全般については、今回の認証取り消しの対象から明示的に除外されています。
既存設置機器は撤去義務の対象外
今回の厳格な禁止措置にもかかわらず、FCCはすでに設置・稼働している対象機器の撤去を義務付けてはいません。今回の規則が対象とするのはあくまで新規の輸入・マーケティング・機器認証であり、既存インフラからの物理的な排除は求められていません。
アナリストは、この措置が将来的な露出(エクスポージャー)の拡大を防ぐ効果はある一方で、すでに導入済みの機器がもたらす攻撃対象領域は当面残り続けると指摘しています。特にコストの安い旧型ハードウェアへの依存度が高い地方・小規模な通信事業者にとっては、この既存の脆弱性が引き続き課題になるとみられます。
米国では別途、連邦資金を受給する通信事業者に対してCovered Listに掲載された機器の撤去・交換・廃棄を義務付ける「Rip and Replace」プログラムが進行しており、2026年5月8日を期限として撤去作業の完了が求められていました。しかし今回のFCC規則自体は、この撤去義務を全国のすべての通信事業者に拡大するものではなく、あくまで新規の輸入・販売経路を封じる措置にとどまっている点に注意が必要です。
FCCが進める通信インフラ保護の一連の措置
今回の規則は、FCCが近年進めている外国製通信機器への包括的な規制強化の流れの一部として位置づけられます。今回の発表の前日にあたる6月25日、FCCは海底ケーブルの陸揚げ局を運用する事業者に対する新たなライセンス要件を導入し、中国企業が米国とつながる海底ケーブルの陸揚げ施設を所有・保守することを防ぐ措置を発表しています。
さらに時系列をさかのぼると、2025年12月にはドローンメーカーDJI・Autel Roboticsに関連するスパイ・妨害工作のリスクを理由に、外国製ドローンの禁止措置が導入されました。2026年3月には同様の規制がルーター製品にも拡大され、主に米国のホームネットワーキング市場で約65%のシェアを持つとされるTP-Linkが直接の影響を受けています。今回のCovered List機器の認証遡及取り消しは、こうした一連の措置の総仕上げとして位置づけられます。
FCCがこうした強硬な姿勢を維持する一方、米商務省は一部の輸出規制を緩和し、追加の中国系軍事関連企業をEntity Listに加える計画を一時停止したと報じられています。専門家からは、Section 214の包括的な認可の下でCovered List掲載企業が米国内ネットワークで事業を行うことを禁止すること、および米国の通信事業者とこれら企業との相互接続契約を制限することなど、さらなる追加措置が必要だとする指摘も出ています。国家に支援された攻撃キャンペーンが継続していることと、すでに全国に導入されている旧型の中国製機器に内在する脆弱性を踏まえれば、こうした追加措置は敵対的なアクセスをさらに減らす効果を持つと考えられています。
日本の状況
日本政府も米国と同様の方向性で、中国製通信機器の政府調達からの排除を段階的に進めてきました。2018年12月、日本政府は各府省庁および自衛隊が使用する情報通信機器から、Huawei・ZTEの製品を事実上排除する方針を固めています。この方針は米国で成立した国防権限法(NDAA)がHuawei等中国政府と関係のある企業の製品使用を禁止し、同盟国にも同様の対応を要請したことを踏まえた判断とされ、日本国内でHuawei・ZTE製品を採用する国内企業の製品についても排除対象とする方向性が示されました。これは名指しこそしていないものの、事実上の中国製通信機器排除を意図した「申合せ」という形での対応でした。
その後、日本の経済安全保障policyは段階的に法整備が進み、外国為替及び外国貿易法(外為法)の改正による輸出管理の拡充、対内投資審査の強化、そして2022年の経済安全保障推進法の施行、さらにセキュリティ・クリアランス制度の導入へとつながっています。これらの制度は特定の国・企業を名指しするのではなく、技術・データ・製品の流出リスクを審査する枠組みとして構築されてきました。
より直接的にFCCの動きと軌を一にする最新の動きとして、当サイトで既報のとおり、総務省は2026年4月、自治体が使用するIT機器について政府の評価制度で認定された製品のみの調達を義務付ける方針を固めたと報じられています。認定製品には現状、中国製品が含まれておらず事実上の排除につながるとされ、2026年6月にも省令を改正し、2027年夏からの運用開始が見込まれています。ここで中核となる評価制度が、IPA(情報処理推進機構)が運営するJC-STAR(IoT製品向けセキュリティ適合性評価制度)です。ただし、この制度は現時点でIoT製品を主対象としており、PCやサーバー、クラウドサービスをどの認定枠組みで評価するかは整理途上にあります。
日本の対応は、FCCのように特定企業を名指しして輸入・販売を一律禁止する規制ではなく、調達要件を証拠・認証ベースで標準化し、その結果として中国製品が事実上排除されるという設計になっている点が米国との違いです。この違いは自治体・企業の情報システム部門にとって重要な意味を持ちます。名指しの禁止令であれば対応すべき対象企業が明確ですが、認証ベースの制度では「どの認証を取得していれば調達可能か」を継続的に確認し、次回の機器更新のタイミングでサポート年限・署名付きアップデート・ログ取得機能・脆弱性通知体制といった要件を仕様書に反映していく地道な対応が求められます。現時点で総務省令の正式な改正は確認されていませんが、既存の中国製機器を保有する自治体・企業においては、資産の棚卸しと更新優先順位付けの先行着手が現実的な対応となります。
日本企業・情報システム部門への示唆
今回のFCC規則は米国国内の輸入・販売規制ですが、グローバルに事業を展開する日本企業にとっても間接的な影響が及びます。米国向けにハードウェア製品を輸出・販売している企業は、自社製品または部品にCovered List掲載企業の機器・コンポーネントが含まれていないかを確認する必要があります。特にOEM供給や部品調達の多段階化が進む通信機器業界では、最終製品のブランドが中国企業と無関係であっても、内部のモジュールやコンポーネントに規制対象企業の部品が使われているケースがあり得る点に留意が必要です。米国子会社・米国拠点を持つ企業においては、今回の規則で機器認証が遡及的に無効化された対象製品を現地拠点で使用していないかについても、あわせて確認しておくことをお勧めします。
情報システム部門としては、自社が導入している監視カメラ・ネットワーク機器・通信インフラにCovered List相当の企業の製品が含まれていないかの棚卸しを行い、サポート切れ・脆弱性放置のリスクがある老朽化機器の計画的な更新を進めることが望まれます。危険なのは「中国製」というラベルそのものではなく、サポート終了後も使われ続けるファームウェアの未更新状態や、遠隔保守の不透明性、サプライチェーンの追跡不能性である点は、今回の米国の規制強化からも改めて確認できる教訓です。
出典
- List of Equipment and Services Covered By Section 2 of The Secure Networks Act – Federal Communications Commission
- Commission Documents(2026年6月26日付Public Notice一覧) – Federal Communications Commission(1次ソース)
- FCC Introduces New Bans on Chinese-Produced Equipment Linked to Cyber Risks – Foundation for Defense of Democracies(FDD)
当サイト関連記事:








