IoT機器のセキュリティ制度JC-STARの★1の申請・取得方法を解説

以前のコラムでは、IoT製品のセキュリティ制度であり、情報処理推進機構(IPA)が運営する「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」について紹介しました。同制度は、2025年3月から★1(レベル1)の申請受付が開始予定であり、2025年1月下旬には、それまで公開されていた★1に関する適合基準や評価ガイド、チェックリストに加え、★１の新規申請手続きに関する申請書も公開されました。本コラムでは、いよいよ申請開始が近づいてきたJC-STARの★1の内容と申請方法について解説します。

JC-STARの概要

JC-STARは、IoT製品のセキュリティ機能を評価し、適合性を可視化する日本の制度です。IoT製品の普及に伴うセキュリティリスクの増大に対応するため、共通の基準で製品のセキュリティ機能を評価・可視化することを目的としており、インターネットプロトコル（IP）を使用したデータの送受信機能を持つIoT製品が対象です。また相互承認枠組みを作るべく、シンガポール、英国、米国、EUなどと交渉もされています。
JC-STARには、★1(レベル1)～★4(レベル4)の4段階の適合基準があり、★1は最低限のセキュリティ要件を満たす基準で、レベルが高くなるほど高セキュリティとなります。ラベルの認定・取得にはIPAへの申請手続きが必要で、申請の際には★1と★2は自社評価、★3と★4は第三者評価が必要です。適合が認められた製品には、二次元バーコード付きの適合ラベルが付与され、IPAが管理する情報ページで詳細が確認できるようになります。
JC-STARのラベルが付与された製品が市場に多く流通することで、調達者や利用者は求めるセキュリティ水準を満たした製品を容易に選択することが可能となります。JC-STAR制度全体についてのより詳しい内容は、以下のコラムをご参照ください。

※IPA「セキュリティラベリング制度（JC-STAR）についての詳細情報」を元に作成

★1の位置づけとセキュリティ水準

JC-STAR ★1では、広範なIoT製品を対象とした「最低限の脅威に対抗」するための要件が定められており、ベンダー自身が低コストで自己適合宣言できるよう設計されています。IPAが公開するチェックリストや評価ガイドを用いて低コストで自己評価が可能となっており、適合性評価チェックリストの申請に基づきラベルが付与されます(※)。
「最低限の脅威に対抗」するためのセキュリティ水準としては、以下のような内容が想定されています。

①マルウェアに感染してボット化するのを防ぎ、特に感染した機器からの感染拡大を防止すること。
②インターネット側からの遠隔攻撃を主に想定し、スクリプトキディレベル(※)の攻撃に対して実用的な耐性を持たせること。
③製品不具合や脆弱性に対する対応・サポート方針を明確化し、適合ラベル有効期間内にアップデートファイルの提供などのサポートを確実に提供すること。
④廃棄前に、運用中に生成されたデータを適切に削除することができるようにすること。

※スクリプトキディレベル：限定的な専門知識を持ち、公開されているクラックツールを使用するレベル

★1における守るべき資産、攻撃経路、想定脅威

JC-STAR ★1では、広範なIoT製品を対象とした「最低限の脅威に対抗」するということで、想定する守るべき資産を個人情報等の一般的に機密性が高い情報など一部に限定しています。また、想定する攻撃経路からも「製品運用時の物理的接触」や「製品開発・調達等のサプライチェーンにおける接触」を除き、通常使用やメンテナンス用の通信部分(I/F)、未使用のポート、ソフトウェアのバグや脆弱性、製品廃棄時の物理的な接触に限っています。これらを考慮の上、JC-STARでは★1で考慮すべき主な4つの脅威を以下のとおり定めています。

• 外部からの不正アクセスの対象となり、マルウェア感染や踏み台となる攻撃等を受けることで、情報漏えい、改ざん、機能異常の発生につながる脅威
• 機器の通信が盗聴され、守るべき情報が漏えいする脅威
• 廃棄・転売等された機器から、守るべき情報が漏えいする脅威
• ネットワーク切断や停電等の事象が発生した際に、セキュリティ機能に異常が発生する脅威

※攻撃経路から除外した通り、★1では運用時の物理的な不正操作や破壊・窃盗、不正改造などの脅威は対象外としています。

★1における適合基準

JC-STAR ★1で考慮すべき主な4つの脅威に対し、★1の位置付けや海外制度の基準等を踏まえ、製品／製品ベンダーにおいて実現すべき対策を選定し、最終的に★1で求める適合基準として、図のとおり16個を設定しています。IPAが公開している「★1 適合基準・評価手順」にその詳細およびそれらの基準に対する適合性を評価するための具体的な手順が示されています。また、「★1 評価ガイド」は、適合基準に基づいてIoT製品のセキュリティ機能を評価するための詳細なガイドラインを提供しています。具体的な評価方法やエビデンスの取り扱いについても説明されています。

※IPA「JC-STAR制度説明会資料 ★1 適合基準・評価ガイドの説明」を元に作成

★１の申請手続き

申請書とチェックリストの作成

JC-STAR ★1の新規申請に当たっては、申請書とチェックリストの作成が必要です。既にIPAから★1の申請に必要な申請書とチェックリストが公開されています。申請書については、申請書の書き方も合わせて公開されているため、適宜参照しながら作成します。
チェックリストでは、同ファイル内に使い方に関する説明も記載されています。16個の適合基準に対して、評価結果、エビデンスの名称、エビデンスに基づく根拠（もしくは対象外であることの理由）を記入する必要があります。別途公開されている「★1 適合基準・評価手順」や「★1 評価ガイド」に記載されている適合基準や評価手法、評価ガイドの内容もチェックリスト内に記載されており、使いやすくなっています。
エビデンスについては、申請時の提出は求められませんが、適合ラベル有効期間中のエビデンス文書の保管が義務付けられている点に留意が必要です。他にも概要把握に役立つJC-STAR制度の説明会資料や、気になる点が掲載された質疑応答についての資料もIPAから公開されていますので、作成に当たって適宜参照すると良いでしょう。

申請・ラベルの付与

申請書とチェックリストの作成後、実際の申請は(3月の運用開始当初は)メールベースでの申請となります。申請が受理された後に、新規申請手数料（★1では19.8万円(税込)予定）を支払う必要があります。その後、IPAから、申請されたIoT製品に対する適合ラベルが付与され、適合ラベルの利用ガイダンスに従い、適合ラベルをそのIoT製品のプロモーションに利用することができます。なお、適合ラベルの有効期間は、適合ラベル発行日から最大2年間となっており、有効期間を延長するための延長申請手続きの詳細については、2026年に公表される予定です。

JC-STAR ★1の申請に関するQ&A

海外のベンダーからIoT機器を仕入れて日本国内の総代理店として販売しているのですが申請できますか？

申請は、申請製品の製造ベンダー自身か、製造ベンダーからの委任を受けた代行者が行えます。そのため、申請製品の製造ベンダーの同意や委任があれば申請できます。申請に当たって、製造ベンダーから申請製品の製造方法やファームウェアの開発・保守に関する情報の開示等に協力してもらう必要があります。また、適合ラベルはその製造ベンダーの製品に対して発行される点に留意が必要です。

団体や個人事業主でも申請できますか？

申請企業になれるのは自社ブランドのIoT製品を作っているという前提があります。団体や個人事業主であっても自社ブランドのIoT製品を作っているであれば申請できます。

まとめ