Miraiが開いたIoTセキュリティのパンドラの箱、新制度のJC-STARは希望となるか：IoTセキュリティ（2/2 ページ）

バッファローは、増大し続けるIoT機器のセキュリティ課題に対応するため2025年3月から国内での運用が始まった「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」と、同社のJC-STAR適合商品について説明した。

[朴尚洙，MONOist]

JC-STARは政府機関などでIoT機器を調達する際の基準として利用される

　増大するIoT機器へのサイバー攻撃に対応するため日本政府もさまざまな施策を進めており、経済産業省とIPAが策定／運用するJC-STARもその一つになる。

　2022年から検討を進めてきたJC-STARだが、2025年3月から★1の申請受付を始めて、5月21日には★1適合ラベルの交付を開始した。ただし、★1は統一的な最低限の適合基準であり、今後はIoT機器の類型ごとの特徴に応じた基準となる★2、★3および★4の適合基準を整備していくことになる。経済産業省の武尾氏は「2025年度後半をめどに通信機器とネットワークカメラを対象とした★2以上の適合基準の運用を始められるように検討を進めている」と述べる。

JC-STARの概要［クリックで拡大］ 出所：経済産業省

　JC-STARは、政府機関などでIoT機器を調達する際の基準として利用されることが打ち出されている。「政府機関等の対策基準策定のためのガイドライン」などでは2024年7月の改定で反映済みであり、2025年度の改定では今回の★1の制度開始を踏まえた見直しを協議しているところだ。「地方公共団体セキュリティポリシーガイドライン」などでも2025年3月に反映されている。電力をはじめ重要インフラ事業者向けの「重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書」でも反映を検討しているという。

JC-STARは政府機関や地方公共団体、重要インフラ事業者がIoT機器を調達する際の基準になる［クリックで拡大］ 出所：経済産業省

　JC-STARと同様のIoT機器のセキュリティ制度は海外でも取り組みが進んでいる。シンガポールと英国は既に制度運用が始まっており、今後は米国の「U.S. Cyber Trust Mark」、欧州の「Cyber Resilience Act」の運用が本格化していくことになる。国内IoT機器ベンダーの負担を抑えるため、経済産業省はJC-STARと海外セキュリティ制度の相互認証に向けて取り組みを進めていく方針である。

JC-STARと海外制度の比較［クリックで拡大］ 出所：経済産業省

JC-STAR適合製品の提案を広く、早く行っていく

　バッファローも、販売店やユーザーからの要望に応えてさまざまなセキュリティ対策を進めてきた。同社の富山氏は「中小企業への調査でもランサムウェア対策に対する要望が強いという結果が出ている。当社は、中小企業にちょうどいい、複数のセキュリティ機能を統合したUTM（Unified Threat Management）機能対応ルーターやセキュリティ機能を持つセキュリティNASなどを展開してきた」と強調する。

　JC-STARの★1適合ラベルの交付でも、ラベルを交付された477製品のうち約17％に当たる79型番がバッファローの製品であり、国内の有力ネットワーク機器メーカーとしての存在感を見せている。なお、バッファローのJC-STAR適合商品は、認証、ファームウェア更新、暗号化、情報開示などに分けてセキュリティ仕様が定められている。

バッファローのJC-STAR★1適合製品［クリックで拡大］ 出所：バッファロー

バッファローにおけるJC-STAR適合の取り組み［クリックで拡大］ 出所：バッファロー

　また、JC-STAR制度を踏まえてパートナー企業との連携によって、JC-STAR適合製品の提案を広く、早く行っていく方針である。「当社のVARパートナーは、登録ユーザー数約1万2600人、登録事業者数約4000社の規模がある。政府機関、地方公共団体、重要インフラ事業者などへのセキュリティ提案をパートナー企業とともに積極的に進めていきたい」（富山氏）としている。

JC-STAR制度を踏まえたバッファローの事業展開［クリックで拡大］ 出所：バッファロー

⇒その他の「IoTセキュリティ」の記事はこちら