01
2025.05.16(Fri)
Hyper connected Society
2025.07.04(Fri)
サイバー攻撃対策の新たな一手に!「JC-STAR」制度がスタート
#IoT
目次
JC-STARは、IoT機器のセキュリティ機能を★の数で評価する制度
2025年3月より、IoT製品のセキュリティ性能を星(★)の数でラベリングする制度「JC-STAR」の運用がスタートしました。
JC-STARは正式名称を「セキュリティ要件適合評価及びラベリング制度」といい、インターネット通信が行えるIoT製品を対象に、製品に備わっているセキュリティ機能を共通的な物差しで評価・可視化することを目的とした制度です。JC-STARという名前は、同制度の英語名の頭文字を取ったものです(Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)。
本制度がスタートした背景には、IoT機器に対するサイバー攻撃の増加が存在します。NICT(情報通信研究機構)が2025年2月に公開したレポートによると、日本国内では1日当たり約730~11,500ものホストが、IoTを悪用しサイバー攻撃を行うプログラム「IoTボット」に感染しており、1日平均で約2,600台が感染しているといいます。
加えて、IoT製品のセキュリティ対策が分かりづらいという課題もあります。IPA(情報処理推進機構)によると、IoT製品のベンダー側が機器の購入者に対してセキュリティ対策をアピールすることは難しく、逆に購入者側でも、製品のセキュリティ対策が適切かどうか、その判断基準が無く、製品の選定・調達時にセキュリティ機能や対策状況を確認するプロセスが実行できない現状があるといいます。
こうした課題を解決するため、JC-STARでは適合が認められたIoT製品に対し、QRコード付きの適合ラベルを付与。そのQRコードを読み取ると、IPAが管理する「適合ラベル取得IoT製品情報ページ」が表示され、購入者側は製品の詳細や適合評価、セキュリティ情報を簡単に取得できるという仕組みになっています。
(経済産業省「IoT製品に対するセキュリティラベリング制度(JC-STAR)の運用を開始しました」のページより引用)
(経済産業省「IoT製品に対するセキュリティラベリング制度(JC-STAR)の運用を開始しました」のページより引用)
適合ラベルを受けた製品には、どんなセキュリティ機能が搭載されているのか?
JC-STAR制度にてIoT製品に付与される適合ラベルには、星1(★)、星2(★★)、星3(★★★)、星4(★★★★)の4種類が用意されます。星の数が多いほど、多くのセキュリティ要件をクリアした製品であることを示します。
2025年6月の時点では、星1(★)のみ運用がスタートしています。星1では、以下の4点が脅威と設定されており、星1に適合する製品にはこうした脅威に対抗するためのセキュリティ機能が求められています。
【1】①弱い認証機能、②脆弱性の放置、③未使用インタフェースの有効化により、外部からの不正アクセスの対象となり、マルウェア感染や踏み台となる攻撃等を受けることで、情報漏えい、改ざん、機能異常の発生につながる脅威
【2】機器の通信が盗聴され、守るべき情報が漏えいする脅威
【3】廃棄・転売等された機器から、守るべき情報が漏えいする脅威
【4】ネットワーク切断や停電等の事象が発生した際に、セキュリティ機能に異常が発生する脅威
(経済産業省「特定分野システムのIoT製品におけるJC-STAR制度活用ガイド 1.1版」より引用)
星1の適合ラベルを得るためには、IoT製品ベンダーがIPAに対し、自社の製品が基準をクリアしていることをIPAに申請する「自己適合宣言」を行う必要があります。申請の際には、製品が星1の適合基準を満たしていることを証明するためのチェックリストの提出も求められます(チェックリストはIPAのサイトにて公開)。申請が受理された後、ベンダーは新規申請手数料をIPAに支払うことで、適合ラベルを当該製品のプロモーションに利用することができます。
星1の有効期間は適合ラベル発行日から2年間です。もし有効期間内に自己適合宣言の評価に影響を及ぼすほどの仕様変更があった場合は、ベンダーがその旨をIPAに報告する必要があり、その報告後に適合ラベルは失効されます。
星3~4の取得には、第三者の評価が必要
JC-STAR制度にて具体的な適合基準が定められているのは、2025年6月時点では星1のみです。星2(★★)、星3(★★★)、星4(★★★★)については、現在のところは具体的な適合基準・評価手順は公開されていません。
その一方で、適合基準の大枠はすでに決定しています。星2については、星1と同様にIoT製品ベンダーが自己適合宣言を行うもの、星3と星4については政府機関や地方公共団体、大企業などにおける重要なシステムでの利用を想定した製品類型ごとにセキュリティ要件を定め、適合基準を満たしているか否かを独立した第三者が評価して示すものとされています。
(経済産業省「特定分野システムのIoT製品におけるJC-STAR制度活用ガイド 1.1版」より引用)
星1の適合ラベルを取得した製品については、IPAの「適合ラベル取得製品リスト」のページに掲載されており、星1に適合したルーターやネットワークカメラの製品名が確認できます。
冒頭でも触れたように、IoT機器はサイバー攻撃から狙われる存在のため、何も対策が取られていない製品を導入することはビジネスリスクになり得ます。しかし、適合ラベルを取得した機器であれば最低限のセキュリティ要件は満たしているため、導入するだけで一定のセキュリティ対策ができているともいえます。
2026年1月からは、星2以上の製品についても申請の受付がスタートされる予定です。IoT機器を導入する際は、その製品がJC-STARの適合ラベルを取得しているかどうか事前に確認しておくことが、サイバー攻撃の被害を回避するためには重要といえるでしょう。
OPEN HUB
THEME
Hyper connected Society
#IoT
