JC-STARとは?IoT機器のセキュリティ制度を紹介
2024年9月30日、情報処理推進機構(IPA)は2025年3月から「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の運用を開始すると発表しました。JC-STARとは、IoT製品のセキュリティ機能を評価し、適合性を可視化する日本の制度です。本コラムでは、JC-STARの概要について紹介します。
目次
JC-STARとは?
概要
セキュリティ要件適合評価及びラベリング制度(JC-STAR: Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)とは、制度が独自に定める適合基準(セキュリティ技術要件)に基づき、IoT製品の適合性を確認・可視化する制度です。日本独自の制度ですが、既存の国際的なセキュリティ規格との調和も考慮されています。
背景・目的
JC-STARの導入背景には、IoT製品の普及に伴うセキュリティリスクの増大および、IoT製品におけるセキュリティ対策の取り組みに関する以下のような課題がありました。
- IoT製品ベンダー: 調達者・消費者にアピールすることが難しい。
- 利用者: 製品のセキュリティ対策が適切か否か判断できない、製品の選定・調達時に確認プロセスを実行することが難しい。
JC-STARは、これらの課題を解決するために、幅広いIoT製品を対象として、共通的な物差しで製品に具備されているセキュリティ機能を評価・可視化することを目的としています。
他にも、
・特定分野において、必要なセキュリティが確保されたIoT製品のみが業界標準として採用されるようにすること
・諸外国の制度と相互承認を図ることでIoT製品を海外に輸出する際に求められるIoT製品ベンダーの負担を軽減すること
も目的に含まれています。
制度の対象となるIoT機器
JC-STARの対象となるのは、インターネットプロトコル(IP)を使用したデータの送受信機能を持つ「IoT製品」です。詳しい条件や定義などはIPAのWebページに記載されていますが、販売・購入されない自社利用の機器や、ソフトのインストールなどで利用者によってセキュリティ対策を容易に追加できる機器は、対象外とされています。
適合基準と評価手順
JC-STARには、★1~★4(レベル1~レベル4)までの4段階の適合基準があり、レベルが上がるほど高度なセキュリティ要件が課されます。★1は、IoT機器に共通の最低限の脅威に対応するための適合基準であり、★2以上は、製品カテゴリ(製品類型)ごとの特徴に応じた基準となっています。その中でも★3、★4は政府機関や重要インフラ事業者、地方公共団体、大企業等の重要なシステムでの利用を想定した適合基準と位置づけられています。
適合基準には対応する評価手順も定められており、★1と★2は自社による評価(※)、★3と★4は第三者評価機関による評価が必要です。2024年11月現在、★1についてのみ、適合基準・評価手法が公開されており、★2以上については準備中となっています。
※★2以下は、自社による評価のほか、必要に応じて外部機関に評価を依頼することもできます。また、証跡の保管をIoT製品ベンダーに課しており、疑義が生じた場合に、事後的にIPAが検査やサーベイランスを実施、証跡等の提出を要求できます。その結果によっては、適合ラベルが取り消される可能性があります。
適合ラベルと付与の流れ
適合ラベル
適合が認められた製品には、以下の図のような二次元バーコード付きの適合ラベルを付与することで、IPAが管理する「適合ラベル取得IoT製品情報ページ」にて、製品詳細や適合評価、セキュリティ情報(アップデート情報や脆弱性情報など)、問合せ先、適合ラベルのステータス(有効/失効/サーベイランス実施中など)等の情報を調達者や消費者が簡単に見られます。
そのほか、ラベルの中の★の数はレベル(1~4)を、「Registered ID」は対象のIoT製品の登録番号を表しています。
付与の流れ
★1/★2の適合ラベル(自己適合宣言)
- IPAが適合基準及び評価手順を公開。
- IoT製品ベンダーは、適合基準及び評価手順に従って自ら評価を行い、チェックリストを作成。
※必要に応じて、外部のJC-STAR評価機関やJC-STAR検証事業者に評価を依頼しても良い。 - IoT製品ベンダーは、チェックリストを添えて、IPAにラベル申請を実施。
※IPAへの証跡提出は不要だが、適合ラベルの有効期間中(原則2年)は証跡の保管義務あり。 - IPAは、経済産業省とともに確認を実施。申請受理後、IoT製品ベンダーは新規申請手数料をIPAに支払い。IPAは、適合ラベルを付与。
- IoT製品ベンダーは、適合ラベルをIoT製品のプロモーションに利用することが可能。調達者や購入者は、適切な水準の適合ラベルが付与されているIoT製品から適切な製品を購入。
★3/★4の適合ラベル(第三者認証)
- IPAが適合基準及び評価手順を公開。
- IoT製品ベンダーは、適合ラベルを取得しようとする製品について、IPAにラベル申請を行う。IPAは、経済産業省とともに確認を実施し、申請受付受理書を発行。IoT製品ベンダーは新規申請手数料を支払う。
- IoT製品ベンダーは、JC-STAR評価機関を選択し、申請受付受理書を示したうえで、評価依頼を行う。
※ラベル申請や評価依頼に先だって、評価機関に相談することは可能。 - 評価機関は適合基準及び評価手順に従って評価を行い、IPAに対して評価結果を記載した評価報告書を提出。
- IPAは、評価報告書を確認・認証した後、そのIoT製品に対する適合ラベルを付与。
- IoT製品ベンダーは、適合ラベルをIoT製品のプロモーションに利用することが可能。調達者や購入者は、適切な水準の適合ラベルが付与されているIoT製品から適切な製品を購入。
※JC-STAR検証事業者 : ★1,★2の適合評価を実施できる機関。経済産業省「情報セキュリティサービス基準」の「機器検証サービス」に登録済みの機関が相当する。
※JC-STAR評価機関 : ★3,★4の適合評価を行う機関。製品評価技術基盤機構(NITE)が認定する(認定制度未開始)。認定制度開始までは、他制度(JISEC)の評価機関である「一般社団法人 ITセキュリティセンター」などを利用可能。
JC-STARの利点と限界
JC-STARの主な利点は、IoT製品のセキュリティ水準を共通の基準で評価・可視化できる点にあります。これにより、調達者や利用者は求めるセキュリティ水準を満たした製品を容易に選択することが可能となります。また、IoTベンダーにとっては、製品本体やパッケージ、マニュアル、ホームページなどに適合ラベルを表示することで、自社製品のセキュリティ対策をアピールできるという利点があります。
一方で、このラベル制度には重要な限界があります。適合ラベルは、取得時点(または有効期間延長時点)での基準に対する最低限の要件を満たしていることを示すものであり、完全なセキュリティを保証するものではありません。特に、適合基準が想定していない脅威に対しては、必要なセキュリティ機能が考慮されていない可能性があります。そのため、実際の運用環境に応じて、想定される脅威に対応したレベルの適合ラベルを持つ製品を選択することが重要となります。
JC-STARの活用に向けて
政府調達基準等での活用
政府機関等では、令和6年7月に公表された「政府機関等の対策基準策定のためのガイドライン(令和5年度版)一部改定版」において、(制度整備の状況を踏まえつつ)2025年度中に★1以上の取得を機器選定基準に含める、★2以上も順次反映していく旨が記載されています。また、ラベル付与製品が普及した段階で、セキュリティ水準に応じたラベル付与製品の調達を必須化する方針です。そのほか、地方公共団体や重要インフラ事業者に対しても、IoT製品調達時にラベル付与製品の選定・調達を求める方向で検討が進められています。
参考:NISC「政府機関等の対策基準策定のためのガイドライン(令和5年度版)の一部改定(令和6年7月)」
IoT製品に関わる業界団体の協力
制度の普及に向けて、IoT製品に関わる業界団体:情報通信ネットワーク産業協会(情報通信関連機器)、デジタルライフ推進協会(消費者向けネットワーク機器)、電子情報技術産業協会(スマートホーム関連機器、ヘルスケア関連機器)、日本防犯設備協会(防犯カメラ/デジタルレコーダ、その他防犯設備機器)、ビジネス機械・情報システム産業協会(プリンター・複合機、データプロジェクター、その他事務機)が賛同団体として協力しています。
海外制度との相互認証
IoT製品を海外に輸出する際に求められる適合性評価にかかるIoT製品ベンダーの負担軽減のため、諸外国におけるIoT 製品の適合性評価制度設立の動向も踏まえ、各国の制度との連携を図り、相互承認することも目指しています。現在、シンガポール(Cybersecurity Labelling Scheme)、イギリス(PSTI法)、アメリカ(U.S. Cyber Trust Mark)、EU(CRA法)の各国担当機関との間で相互承認に向けた交渉を行っています。
出典:IPA「JC-STAR活用に向けた取り組み」
JC-STARに関するQ&A
いつから適用になるの?
2025年3月から★1の申請受付開始が予定されており、その後ラベル付与・付与製品の公表がなされる予定です。2024年11月時点では、★2以上についてはまだ基準作成の段階であり、申請受付は2025年度下期になる見込みです。
ラベルのない商品は売れなくなるの?
JC-STARはあくまで任意の制度であるため、ラベルが付与されていない商品が販売できなくなるということはありません。一方で、同制度の目的の1つとして、「業界標準として特定分野において必要なセキュリティが確保されたIoT製品のみが採用されるようにすること」が含まれるため、特定分野においてはラベルが付与されていない製品が採用されなくなる可能性があります。
購入者にはどんなメリットがあるの?
JC-STAR 制度およびラベルが付与された製品の普及により、購入者(調達者や利用者)は求めるセキュリティ水準を満たした製品を容易に選択することが可能になります。
認証にはどれくらい費用がかかるの?
2024年11月に開催されたIPA主催のJC-STAR説明会では、★1の取得申請料は19.8万円(税込)予定、申請数の推移見通し状況によっては(軽減方向で)見直す可能性があるとのことでした。
まとめ
JC-STARは、2025年3月から★1(レベル1)の申請受付開始を予定しており、今後、政府や地方自治体、重要インフラ事業者を始めとした調達に影響を与えると想定されます。★2以上の適合基準等は準備中ですが、公開されている★1の基準をもとに自社製品の評価体制を整備することで、政府調達や市場での製品アピールに向けた対応が可能となるでしょう。
参考:情報処理推進機構「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」、「セキュリティラベリング制度(JC-STAR)についての詳細情報」