Miraiが開いたIoTセキュリティのパンドラの箱、新制度のJC-STARは希望となるか:IoTセキュリティ(2/2 ページ)
バッファローは、増大し続けるIoT機器のセキュリティ課題に対応するため2025年3月から国内での運用が始まった「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」と、同社のJC-STAR適合商品について説明した。
JC-STARは政府機関などでIoT機器を調達する際の基準として利用される
増大するIoT機器へのサイバー攻撃に対応するため日本政府もさまざまな施策を進めており、経済産業省とIPAが策定/運用するJC-STARもその一つになる。
2022年から検討を進めてきたJC-STARだが、2025年3月から★1の申請受付を始めて、5月21日には★1適合ラベルの交付を開始した。ただし、★1は統一的な最低限の適合基準であり、今後はIoT機器の類型ごとの特徴に応じた基準となる★2、★3および★4の適合基準を整備していくことになる。経済産業省の武尾氏は「2025年度後半をめどに通信機器とネットワークカメラを対象とした★2以上の適合基準の運用を始められるように検討を進めている」と述べる。
JC-STARは、政府機関などでIoT機器を調達する際の基準として利用されることが打ち出されている。「政府機関等の対策基準策定のためのガイドライン」などでは2024年7月の改定で反映済みであり、2025年度の改定では今回の★1の制度開始を踏まえた見直しを協議しているところだ。「地方公共団体セキュリティポリシーガイドライン」などでも2025年3月に反映されている。電力をはじめ重要インフラ事業者向けの「重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書」でも反映を検討しているという。
JC-STARと同様のIoT機器のセキュリティ制度は海外でも取り組みが進んでいる。シンガポールと英国は既に制度運用が始まっており、今後は米国の「U.S. Cyber Trust Mark」、欧州の「Cyber Resilience Act」の運用が本格化していくことになる。国内IoT機器ベンダーの負担を抑えるため、経済産業省はJC-STARと海外セキュリティ制度の相互認証に向けて取り組みを進めていく方針である。
JC-STAR適合製品の提案を広く、早く行っていく
バッファローも、販売店やユーザーからの要望に応えてさまざまなセキュリティ対策を進めてきた。同社の富山氏は「中小企業への調査でもランサムウェア対策に対する要望が強いという結果が出ている。当社は、中小企業にちょうどいい、複数のセキュリティ機能を統合したUTM(Unified Threat Management)機能対応ルーターやセキュリティ機能を持つセキュリティNASなどを展開してきた」と強調する。
JC-STARの★1適合ラベルの交付でも、ラベルを交付された477製品のうち約17%に当たる79型番がバッファローの製品であり、国内の有力ネットワーク機器メーカーとしての存在感を見せている。なお、バッファローのJC-STAR適合商品は、認証、ファームウェア更新、暗号化、情報開示などに分けてセキュリティ仕様が定められている。
また、JC-STAR制度を踏まえてパートナー企業との連携によって、JC-STAR適合製品の提案を広く、早く行っていく方針である。「当社のVARパートナーは、登録ユーザー数約1万2600人、登録事業者数約4000社の規模がある。政府機関、地方公共団体、重要インフラ事業者などへのセキュリティ提案をパートナー企業とともに積極的に進めていきたい」(富山氏)としている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
クラウドネイティブな組込ソフトウェア開発の在り方とは?
MONOistはオンラインセミナー「開発変革セミナー 2024 秋〜製造業特別DAY 組み込みセキュリティ〜」を開催。本稿では「クラウドネイティブな組込ソフトウェア開発とMLSecOpsへの進化」と題して日本クラウドセキュリティアライアンス(CSA)代表理事の笹原英司氏が行った基調講演の一部を紹介する。IoT製品のセキュリティ機能をラベルで可視化する「JC-STAR」の運用を開始
経済産業省とIPAは、「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の運用を開始したと発表した。JC-STARに適合する省電力でセキュアなIoT機器向けの小型組み込みCPUモジュール
アットマークテクノは、組み込みプラットフォーム「Armadillo」の新シリーズの第1弾として、CPUモジュール型の「Armadillo-900」を開発した。JC-STARの★1に適合するセキュアなIoT機器を短期間で開発できる。半導体は組み込む前からセキュリティを確保すべし、キーサイトが新ソリューション
キーサイト・テクノロジーは、「EdgeTech+ 2024」において、2024年3月に買収を完了したリスキュア(Riscure)が展開するデバイスセキュリティの製品やサービスをアピールした。米国大統領令とEUのCRAが示すソフトウェアサプライチェーンセキュリティとは
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。第1回は、米欧が唱えるソフトウェアサプライチェーンセキュリティの全体像と目的と併せて、製造業などでも増大しつつあるセキュリティインシデントを減らすための基本的な考え方を紹介する。日本におけるソフトウェアサプライチェーンセキュリティとSBOMの目的
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。第2回は、日本でのソフトウェアサプライチェーンセキュリティに関する取り組みの状況について紹介する。