　JC-STARは、共通的な物差しでIoT（モノのインターネット）製品に具備されているセキュリティ機能について、製品貼付のラベルを用いて評価／可視化するための制度だ。政府機関や民間企業から一般消費者に至るまで、IoT製品の購入者／調達者が、JC-STARのラベルを確認することで、自らが求めるセキュリティ水準の製品を容易に選択できるようにすることを目的としている。

「JC-STAR」のロゴ［クリックで拡大］出所：IPA

「JC-STAR」の★1の適合ラベル［クリックで拡大］出所：IPA

　JC-STARは、インターネットに直接接続されない製品も含め、インターネットプロトコルを使用する通信機能を持つ幅広いIoT製品を対象としている。ただし、PCやスマートフォン、タブレット端末などは対象外だ。

　IoT製品共通の最低限の脅威に対応するための基準を「★1」とし、IoT製品類型ごとの特徴に応じた基準となる★2、★3および★4を定めている。これら求められるセキュリティ水準に応じた複数の適合性評価レベルを用いた任意制度となる。

　制度の普及に向けて、★1と★2については、自己適合宣言に基づいてIPAからラベルの付与を受けられる。一方、政府機関や重要インフラ事業者などの調達に活用することも想定しており、高い信頼性が求められる★3と★4については、独立した第三者による評価を受ける第三者認証に基づいてラベルを付与する方針である。

　ラベルを取得したIoT製品には「適合ラベル」が発行され、製品やそのパッケージなどに掲示できる。適合ラベルには、IPAが管理し、製品固有の「適合ラベル取得IoT製品情報ページ」のURLを埋め込んだ二次元バーコードが含まれている。これによって、申請者情報、製品情報、適合ラベル情報、セキュリティ情報（アップデート情報や脆弱性情報など）、問い合わせ先情報などの多岐にわたる情報を最新に維持しながら一元的な管理も行える。

「JC-STAR」の概要［クリックで拡大］出所：IPA

★2以上の適合ラベルの取得は2026年1月以降に

　今回のJC-STARの運用開始で取得できる適合ラベルは★1に限られる。2025年5月上旬頃に、★1ラベル取得製品のリストをIPAのWebサイトで公表する予定。その後は、随時新規ラベル取得製品を追加していくという。★1の適合ラベルの有効期間は最長で2年間。★1の申請手数料（税込み）は、2025年9月30日までの申請受領分については11万円だが、以降は定価の19万8000円が適用される。

　★2以上の適合ラベルの取得は、政府調達での活用が見込まれるネットワークカメラと通信機器という2つの製品類型を対象に、適合基準検討ワーキンググループを開催して具体的な検討を開始している。2026年1月以降に、当該製品分野の★2以上の申請の受付を開始する予定だ。スマートホーム関連機器など、その他の製品類型の★2以上の基準も順次整備し、制度を拡張していく方針である。

　なお、★1の適合ラベル取得も政府調達の基準として取り入れられる見込みだ。2024年7月に一部改定された「政府機関等の対策基準策定のためのガイドライン（令和5年度版）」において、「制度整備の状況を踏まえつつ、2025年度中に同制度の★1以上を取得していることを機器などの選定基準に含めるとともに、以降も、★2、★3以上の対象機器の拡充に応じて選定基準への反映を順次行っていく予定』という方針が示されている。また、地方公共団体や重要インフラ事業者の調達でも活用されるよう、関係するガイドライン類への反映についても政府内での協議を進めていくとしている。

　IoT製品のセキュリティ規制は日本のみならず各国／地域で策定が進んでいる。そこで、IoT製品を海外に輸出する際に求められる適合性評価にかかるIoT製品ベンダーの負担を軽減するため、諸外国の制度と協調的な制度を構築すべく、引き続き相互承認を図っていく予定だ。具体的には現在、シンガポールの「Cybersecurity Labelling Scheme」、英国の「PSTI法」、米国の「U.S. Cyber Trust Mark」、EUの「Cyber Resilience Act」との相互承認に向け、海外当局との交渉を引き続き進めていく方針である。

⇒その他の「IoTセキュリティ」の記事はこちら

この連載を「連載記事アラート」に登録する New