IT & Information security Journal
IoT機器のセキュリティレベルを可視化する「JC-STAR」制度がスタートし、2025年3月から一部運用が始まりました。この制度には4段階のレベルが設けられており、各レベルへの適合が認められた製品には、二次元バーコード付きの適合ラベルが付与されます。
本記事では、JC-STAR制度の意義・目的や対象となるIoT製品を整理したうえで、認証取得の流れや実務ポイントについて弁護士が解説します。また、IoT製品ベンダーのみならず、IoT製品を調達・利用する企業にとっての実務上のメリットも紹介します。
寺門 峻佑
TMI総合法律事務所 弁護士
田山 翔
TMI総合法律事務所 弁護士
梶原 尚樹
TMI総合法律事務所 弁護士
この記事のポイント
JC-STAR制度では、IoT製品共通の最低限の脅威に対応するための適合基準★1(レベル1)と、IoT製品類型ごとの特徴に応じた適合基準である★2〜4(レベル2〜4)を定め、適合が認められた製品には、二次元バーコード付きの適合ラベルが付与される
2025年3月25日から、★1の申請受付と適合ラベル取得製品リストの公開が始まった。★2以上の申請受付等は、2026年1月以降に順次開始される見込み
認証取得を目指すIoT製品ベンダーは、適用対象となるIoT製品の洗い出しと製品類型判定、GAP分析、対応計画の策定・実施などの対応が必要
IoT製品を調達・利用する企業にとっては、IoT製品の選定・調達が容易になる、IoT製品に関わるサプライチェーンリスクが低減する、IoT製品のセキュリティに関する情報の透明性が向上するといったメリットがある
「JC-STAR(Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)」制度とは、多くのIoT製品を対象として、一定水準のセキュリティ要件に対するセキュリティ対策の適合性を評価し、その結果を認証やラベルの付与等により調達者・消費者を含む利用者がわかる形で可視化する制度です。
IoT製品の急速な普及に伴い、その脆弱性を狙ったサイバーリスクへの対策 1 をはじめとしたセキュリティ確保への取組みが世界各国で進んでいます。
我が国においても、IoT機器特有のセキュリティ確保に向けて、様々な検討が重ねられ、端末設備等規則や各省庁のガイドライン、JISEC 2 等の認証制度などが定められてきました。しかしながら、これらはIoT製品の調達者・利用者からみて、その製品のセキュリティ対策が適切か否かの判断が困難である、あるいは認証取得のための金銭的・時間的コストが大きいために活用のハードルが高いといった問題がありました。
このような状況を踏まえ、諸外国の取組みも踏まえつつ創設されたのがJC-STAR制度です。2024年8月に経済産業省が公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づいて構築され、独立行政法人情報処理推進機構(IPA)が運営しています。
前記の意義を踏まえ、JC-STAR制度は以下の3点を目的として掲げています。
政府機関や企業等で調達する製品について、共通的な物差しでIoT製品のセキュリティを評価・可視化できるようにすることで、各組織の求めるセキュリティ水準を満たしたIoT製品の選定・調達を容易にする。
特定分野のシステムに組み込まれて調達・利用されるIoT製品に求められるセキュリティ要件を定め、必要な認証・ラベルを各業界団体等で指定できるようにすることで、当該特定分野において求められるセキュリティが確保されたIoT製品のみが採用されるようにする。
諸外国の制度と協調的な制度を構築し、相互承認を図ることで、IoT製品を海外に輸出する際に求められる適合性評価にかかるIoT製品ベンダーの負担を軽減する。
(出典:経済産業省 商務情報政策局 サイバーセキュリティ課「IoT製品に対するセキュリティ適合性評価制度構築方針」(2024年8月23日)P4)
また、上記の目的を達成することを通じて、将来的には、以下のようなIoT製品のセキュリティを社会全体として確保していくことの実現に本制度が貢献することが望ましいとしています。
IoT製品のセキュリティ対策状況を調達者・利用者が価値として認め、IoT製品ベンダーが対策に要するコストを適切に製品販売価格に反映できるようになる。
セキュリティに関するスキルや知見に依存することなく、消費者を含む調達者・利用者が、適切な対策が施されたIoT製品を選べるようになる。
ラベルが付与された製品を調達・利用することで、調達者・利用者としての一定の責務を果たしたと見なされるようになる。
調達者・利用者が、セキュリティ機能を備えたIoT製品を購入するだけでなく、購入後の適切なパスワードの設定、セキュリティアップデートの実施等、自らのセキュリティ対策・管理も必要であることを理解するようになる。
(出典:経済産業省 商務情報政策局 サイバーセキュリティ課「IoT製品に対するセキュリティ適合性評価制度構築方針」(2024年8月23日)P4〜5)
JC-STAR制度は、本記事の公開時点では一部の運用が開始された段階です。
3以降で詳しく述べますが、JC-STAR制度は、★1〜★4の4つのレベルを定めています。そのうち、まず★1について、2025年3月25日から、申請受付と適合ラベル取得製品リストの公開が始まっています。今後、本制度に関する各業界団体やワーキンググループにおける検討を踏まえて、★2以上の申請が2026年1月以降に開始される見込みです。
また、日本政府は、諸外国の各担当機関との間で、JC-STAR制度の相互承認に向けた交渉を進めています 3。海外では、JC-STAR制度と同趣旨の制度として、アメリカのCyber Trust Mark、EUのCyber Resilience Act(CRA、サイバーレジリエンス法)、英国のProduct Security and Telecommunications Infrastructure Act 2022(PSTI)等があります。
JC-STAR制度の対象となる製品は、「IoT機器」と「必須付随サービス」を内包するものです。それぞれの用語「セキュリティ要件適合評価及びラベリング制度の基本規程」4 の1.4において、以下の表のとおり定義されています。
| 用語 | 定義 |
|---|---|
| IoT製品 | 供給者による販売又は利用者による購入の単位となるものであって、意図した目的を達成するための単独のIoT機器、又はIoT機器と必須付随サービスとで構成される一式。 |
| IoT機器 | インターネットプロトコル(IP)を使用したデータの送受信機能を持つ、インターネットに接続可能な機器又は内部ネットワークに接続可能な機器(他の「インターネットに接続可能な機器」や「内部ネットワークに接続可能な機器」に接続し、IPを使用してデータを送受信する機能を持つ機器)であって、利用者自身によって、当該IoT機器本体に対してソフトウェア製品のインストール等により容易にセキュリティ対策を追加することが困難であるもの。 |
| 必須付随サービス | IoT製品が意図した目的を提供するために、IoT機器と一体で提供することが必須となるデジタルサービス。当該IoT機器本体だけでは、当該IoT製品が意図した目的を提供できない場合に、当該IoT機器に付随して提供する。 |
※注:下線は筆者
つまり、以下の要件をすべて満たすものがJC-STAR制度の対象となります。
機器が含まれていること(機器に対してラベルが付与される)
※ソフトウェアやクラウドサービスのみでは対象外
※必須付随サービス単体でも対象外
インターネットプロトコル(IP)を使用したデータの送受信機能を持つこと
直接・間接を問わず、インターネットにつながる(可能性がある)こと
※インターネット側からの攻撃ができる可能性がある製品が対象
※論理的な制御(アクセスコントロール)によって分離されていても、「インターネットにつながる可能性がある」と判断される場合は対象
※物理的分離、または完全な論理的切断による分離であれば、「インターネットにつながる可能性がない」と判断でき、ベンダーが対象/対象外を判断できる
購入時に具備されているセキュリティ機能を利用するものであり、アップデート以外で(調達者・利用者が自らの意志で)後からセキュリティ機能を追加することが困難な(またはできない)こと
※利用者は購入時点でIoT製品に備えられているセキュリティ機能を利用することになるため、必要なセキュリティ機能があらかじめ具備されるよう求めることが主眼となる
※容易にセキュリティ機能を追加できる汎用PC、スマートフォン、タブレット等は対象外となります。なお、汎用OSを搭載したIoT製品については、利用者が製品本体に容易にセキュリティ対策を追加できない場合は対象となる
上記の要件を満たすものであれば、いわゆる製品だけではなく、IoT製品に組み込まれるコンポーネントやモジュールでも理論的にはラベル取得は可能です。また、PC・タブレットをベースとした独自IoT製品(例:POSレジ用のタブレット端末など)も、特定の条件(セキュリティ機能のインストール制御、汎用PC・タブレットとしての利用を防止する対策、汎用OSベンダーが提供する脆弱性対応の適切なコントロール)を満たせばラベル取得が可能です。
JC-STAR制度では、IoT製品共通の最低限の脅威に対応するための適合基準である★1(レベル1)と、IoT製品類型ごとの特徴に応じた適合基準である★2(レベル2)、★3(レベル3)、★4(レベル4)を定めています。適合基準の各レベルの位置付けは下表のとおりです。
| レベル | 位置付け | 評価方式 |
|---|---|---|
| ★1 | 全IoT製品に共通の最低限のセキュリティ要件を定めている。チェックリストに基づく低コストな自己評価。 | 自己適合宣言 |
| ★2 | ★1に要件を追加したもの。製品類型ごとの特徴(例:ネットワークカメラ、通信機器など)を考慮している。 | 自己適合宣言 |
| ★3/★4 | 政府機関等や重要インフラ事業者、地方自治体、大企業の重要なシステムでの利用を想定した製品類型ごとの汎用的なセキュリティ要件を定める。 | 第三者による評価・認証 |
また、★1と★2ではIoT製品ベンダーによる自己適合宣言が認められる一方、★3以上では第三者認証が求められます。適合基準と評価方式のイメージを下図に示します。
JC-STAR制度の適合基準を満たした製品には、それを示す目印として「適合ラベル」が付与されます。
適合ラベルには、適合するレベルに応じた個数の★と、URLを埋め込んだ二次元バーコードが掲載されており、二次元バーコードを読み込むことで製品ごとの情報提供ページを閲覧できます。
これにより、調達者や利用者は、適合ラベルの情報とセキュリティ情報・問い合わせ先等を一元的に確認することができます。
適合基準を満たし、JC-STAR制度での適合ラベルを取得した製品はすべて、IPAのホームページ上で「適合ラベル取得製品リスト 5」として公開されます。
同リストには以下の情報が記載されており、調達者・利用者としては、利用しようとする製品がJC-STAR制度の適合ラベルを取得しているのか否かを容易に確認することができます。
適合ラベルの登録番号
ラベル取得事業者(製造ベンダー)
製品名称
セキュリティレベル
ステータス
ラベル取得日および有効期間
なお、IPAは、ラベル付与製品に対して事後的に検査やサーベイランスを行える権利を有します。
★1と★2では、IPAは適合ラベル交付時には、自己評価の結果が定められた適合基準に適合しているかどうかを確認せず、評価の信頼性はベンダーの信頼性に依存しています。ただし、ベンダーは評価の証跡の保管義務を負います。仮に、適合基準への適合に疑義が生じた場合、IPAは、必要に応じて証跡提出の要求やサーベイランスを実施することができ、サーベイランスの結果次第では「適合ラベル取消し」も有り得ます。
IoT製品ベンダーがJC-STAR制度の認証および適合ラベルを取得するにあたっては、以下のような流れで対応を進めることとなります。
まず、JC-STAR制度の適用対象となるIoT製品(開発予定のものも含まれます)を洗い出します。なお、すでに現在運用が開始されている★1は、全IoT製品共通のセキュリティ要件を定めていますが、今後運用が開始される★2以上のレベルでは、製品類型ごとに要件が設定されるため、当該製品類型に当てはまるかを判定する必要があります。
続いて、IPAから公表されている各レベルの適合基準・評価手法およびチェックリスト 6 を参照し、製品の現状とJC-STAR制度で要求されるセキュリティ要件・適合基準とのGAP分析を行います。そして、それらの要求事項に準拠するためにはどのような対策を実装する必要があるかを特定します。
また、製品だけでなく、IoT製品ベンダーとしての体制も適合基準に含まれているため、これについても同様にGAP分析を実施します。このようにして特定した、対応が必要なアクションについて、準拠予定時期を踏まえた具体的な対応計画を作成します。
適合基準を満たした場合、★1と★2では自己適合宣言によりラベルを付与することとなります。この際、必要に応じて有資格者、検証事業者、評価機関等への評価委託も可能です。自社の負担を軽減したり正確な評価を得たりするために、このような外部機関の利用も有用です。
また、★3と★4については、評価機関による評価が必須となるため、その手続にかかる期間や費用を見据えた計画を作成する必要があります。
JC-STAR制度は、サイバーセキュリティのための技術的な基準への適合のみならず、製品ベンダーの体制整備、最新情報の収集、ユーザーへの情報提供、IPAからの検査やサーベイランスへの対応といった様々な部門における対応が必要になります。したがって、対応を進めるにあたっては、法務・情報システム・情報セキュリティ・広報・主要事業部門などから、部門横断的に適切なメンバーを揃える必要があります。
加えて、運用開始間もない制度であることや、★2以上のレベルについては今後新たに要件等が設定されていくという状況に鑑み、その専門的対応や情報収集という観点からは、セキュリティ・法務の外部専門家と協働することも有益であると考えられます。
前記のとおり、JC-STAR制度における適合ラベルのレベルは★1〜★4の4段階に分けられており、★1と★2は自己適合宣言、★3以上は第三者認証の評価方式を採用しています。それぞれの認証取得手続・適合性評価は以下の流れで行われます 7。
IoT製品ベンダーは、★1または★2の適合基準・評価手順を用いて評価を実施し、チェックリストを作成する(有資格者や検証事業者、評価機関等への委託も可)。
IoT製品ベンダーは、IPAに申請を行い、チェックリストを提出する。
IPAは、チェックリストの形式確認を行う。
IPAは、申請されたIoT製品に対し、ラベルを付与する。
IoT製品ベンダーは、IPAに申請を行う。
IoT製品ベンダーは、評価機関に対して、評価依頼を行う。
評価機関は、★3以上の適合基準・評価手順を用いて評価を実施する。
評価機関は、評価報告書をIPAに提出する。
IPAは、認証機関として評価報告書の内容に問題がないか確認する。
IPAは、申請されたIoT製品に対し、認証・ラベルを付与する。
現在運用されている★1は、以下の3点を最低限実現することを求めています。
マルウェアに感染してボット化するのを防ぐ。とりわけ、感染した機器からの感染拡大を防止する
インターネット側からの遠隔攻撃を主に想定し、スクリプトキディレベル(限定的な専門知識のみを有し、インターネットやダークウェブなどで公開されているクラックツール等を用いてシステムの脆弱性を利用して攻撃するレベル)の攻撃(不正アクセスや盗聴など)に対して実用的な耐性を持たせる
製品不具合や脆弱性に対する対応・サポート方針を明確化し、適合ラベル有効期間内のサポート(アップデートファイルの提供等)が確実に提供されるようにする
廃棄前に、運用中に生成されたデータを適切に削除することができる
このような実現目標とポイントを踏まえ、★1で想定する守るべき資産とアタックサーフェス、および想定されるそれらへの脅威を整理したうえで、セキュリティ要件・適合基準が以下のとおり定められています。
上記のセキュリティ要件・適合基準は、製品および製品ベンダーにおいて以下の対策を実現することを目的に定められています。これらの対策を実現できているかという点が、要件・適合基準への準拠のアセスメントのポイントになるといえます。
上記のセキュリティ要件・適合基準への準拠については、その義務が多岐にわたっていることや、製品のセキュリティ仕様の変更および製品ベンダーにおける体制整備といった対応も必要となり得ます。そのため、JC-STAR制度の認証取得にあたっては、早い段階から計画的に対応を進めていくことが推奨されます。
JC-STAR制度のセキュリティ要件に応じたラベルをIoT製品に付与することで、IoT製品ベンダーには以下のようなメリットがあります。
政府機関等や重要インフラ事業者、地方公共団体等といった、社会的にセキュリティリスクが高く確かな制度利用が見込まれる組織のIoT製品の調達要件の中に、ラベルが付与された製品の選定が含まれる場合に、要件を満たすことができる(すでに「政府機関等のサイバーセキュリティ対策のための統一基準」・ガイドライン 8 には反映済)。
業界標準として、IoT製品ベンダーと調達者・利用者が、ラベルが付与された製品の製造・販売と選定・調達する分野を確保できる。この点、政府機関等で主に調達されるIoT製品を中心に、関連団体・業界団体と連携が進められている。
諸外国の制度と協調的な制度を構築し、相互承認を図ることで、IoT製品を海外に輸出する際に求められる適合性評価にかかるIoT製品ベンダーの負担を軽減できる。
さらに、EU市場に製品を輸出する事業者は、EU市場で流通するデジタル製品をサイバーセキュリティの観点から規制しているサイバーレジリエンス法(Cyber Resilience Act)への準拠対応も必要となります。このサイバーレジリエンス法への対応は、上記のJC-STAR制度への対応と重なる部分が多いことから、併せて行うことで日本とEUの両方の市場に対応できるというメリットがあります。
JC-STAR制度が普及することで、IoT製品の調達者・利用者である企業のIT・セキュリティ担当者は、実務上、以下のような恩恵を受けることができます。
共通的な物差しでIoT製品のセキュリティを評価・可視化することで、各組織の求めるセキュリティ水準を満たしたIoT製品の選定・調達を容易にし、社内外に対してIoT製品の選定理由を明確に示すことができる
特定分野のシステムに組み込まれて調達・利用されるIoT製品に必要なラベルを付与し、各業界団体等で指定できるようにすることで、当該特定分野において求められるセキュリティが確保されたIoT製品のみが採用されるようになり、IoT製品の最低限のセキュリティ水準が確保できる
利用するIoT製品のセキュリティ水準が明確になることで、サプライチェーンリスクの低減と、セキュリティに関する情報の透明性の向上が期待できる
「端末設備等規則」とは、日本の電気通信事業法に基づき、電気通信回線設備に直接接続する端末機器に関する技術基準(セキュリティ基準)を定めたものです。この端末設備等規則に則った実務対応が求められる事業者も少なくないと思われるため、最後に、JC-STAR制度との主な違いについて下表に整理します。
| 端末設備等規則 | JC-STAR制度 | |
|---|---|---|
| 対象機器 |
|
|
| 位置付け |
|
|
| 趣旨 |
|
|
| セキュリティ項目 |
|
|
寺門 峻佑
TMI総合法律事務所 弁護士
日本国・ニューヨーク州弁護士、TMIプライバシー&セキュリティコンサルティング株式会社取締役、情報処理安全確保支援士(第011789号)、情報セキュリティ監査人補。内閣サイバーセキュリティセンタータスクフォース、経済産業省大臣官房臨時専門アドバイザー、防衛省陸上自衛隊通信学校非常勤講師、滋賀大学データサイエンス学部インダストリアルアドバイザー等を歴任。国内および海外のデータ利活用における個人情報保護法対応・情報漏えいインシデント対応を中心としたデータ・プライバシー領域、eコマース・プラットフォーム/アプリ/AI開発・ライセンスを中心としたIT法務、IT関連を中心とした不正調査・国内外紛争案件を主に取り扱う。米国Wikimedia Foundation, Inc.法務部、エストニアのLaw Firm SORAINENでの勤務経験も有する。
田山 翔
TMI総合法律事務所 弁護士
情報処理安全確保支援士(第032076号)IT・情報分野では主に個人情報保護法対応、サイバーインシデント対応及び平時の情報管理体制構築などを取り扱う。 また、元検事の知見を活かし、インシデントに伴う捜査機関対応、社内の不正調査による原因究明と改善策の提案及び法的責任の分析や処分に関するアドバイス等も行っている。
梶原 尚樹
TMI総合法律事務所 弁護士
2023年弁護士登録、2024年TMI総合法律事務所入所。国内外のデータ保護関連法対応のほか、IT関連契約対応、システム開発に関する法務、M&A、コーポレートガバナンスその他一般企業法務を扱う。
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
日本企業がとるべきサイバーレジリエンス法の対応実務
改正電気通信事業法の概要と実務への影響 規制対象や必要な対応を弁護士が解説
CLOSEUP セキュリティ組織
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす
この記事をシェアする
最新情報をフォローする