ITS 編集部
当社の編集部は、IT業界に豊富な知識と経験を持つエキスパートから構成されています。オフショア開発やITに関連するトピックについて深い理解を持ち、最新のトレンドや技術の動向をご提供いたします。ぜひご参考になってください。
【コジーの今週気になるDXニュースVOL20250327-01】 IoT製品に対するセキュリティラベリング制度(JC-STAR)の運用を開始しました:経済産業省
経済産業省及び独立行政法人情報処理推進機構(IPA)は、「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の運用を開始しました。 今後
、本制度のラベル取得製品の普及を促進するとともに、より高い水準のラベル・認証の整備や、諸外国との相互承認の実現を進める予定です。
背景・激しい犯罪、
デジタル化の進展に伴って、ルーターやネットワークカメラ、センサーなどIoT製品の数が急速に増加するにつれて、IoT製品を狙った攻撃も増加傾向にあるなど、IoT製品の脆弱性を狙ったサイバー戦略が注目されています。
諸外国の対策も踏まえつつ、国内においても適切なセキュリティ対策が行われているIoT製品が普及する仕組みを構築することを目指し、経済産業省は、2022年11月から「IoT製品に対するセキュリティ適「適合性評価制度構築に向けた検討会」において議論を進め、意見募集の実施(2024年3月15日~4月15日)を経て、2024年8月に同検討会の最終取りまとめを踏まえた本制度の制度構築方針を公表しました。
同制度構築方針においては、2024年度中に制度の一部運用開始する予定である旨を示していたところ、本日、「IoT製品に対するセキュリティラベリング制度(JC-STAR)」※として、IoT製品に共通としたほぼ準対応するための基準(★1)に対して申請を開始しました。
※「JC-STAR」は、本制度の英語名「サイバーセキュリティ技術評価要件に基づくラベル付け制度」の略称です。
JC-STARの概要
JC-STARは、共通的な物差しでIoT製品に装備されているセキュリティ機能を評価・確立、政府機関、民間企業から一般消費者まで、IoT製品の購入者・調達者が、本制度のラベルを確認することで、自らが求めるセキュリティレベルの製品を簡単に選択できるようにすることを目的としています
。
本制度はインターネットに直接接続されない製品も含め、インターネットプロトコルを使用する機能を持つ短期IoT製品を対象(パソコン、ハードディスク等は対象外)となっております。
IoT製品共通のほぼのおおよそに対応するための基準(★1)及びIoT製品類型ごとの特徴に応じた基準(★2、★3及び★4)を定め、求められるセキュリティレベルに応じた複数の適合性評価レベルを用いた任意制度です
。ため、★1及び★2については、自己適合宣言に基づいてIPAよりラベルを付与します。ラベルを取得したIoT製品には、「適合ラベル」が
発行され、製品やそのパッケージ等に表示することが可能となります。適合ラベルには、IPAが管理し、製品固有の「適合ラベル取得IoT製品情報ペ」ージ」のURLを埋め込んだ二次元バーコードが含まれており、申請者情報、製品情報、適合ラベル情報、セキュリティ情報(アップデート情報や脆弱性情報等)、問合せ先情報など、多岐に渡って情報を最新に維持しながら一次元化することが可能となっております。
★1の適合ラベルの有効期間は当面で2年間となり、★1の申請手数料は、2025年9月30日までの申請受領分については11万円(税込)となります
。
今後の予定
2025年5月初旬、★1ラベル取得製品のリストをIPAのホームページにてお知らせ予定です。その後、随時、新規ラベル取得製品を追加していきます。
IoT製品類型ごとの特徴に応じたより高度なセキュリティ適合基準(★2以上)の整備については、政府調達での活用が見られるネットワークカメラと通信機器の2つの製品類型を対象に、適合基準検討ワーキンググループを開催して具体的な検討を開始しており、2026年1月以降当該製品分野の★2以上の申請を受け付け開始する予定です。スマートホーム関連機器など、その他の製品類型の★2以上の基準も順次整備し、制度を拡張していきます。
また、本制度の活用を促進するために、2024年7月に一部改正された「政府機関等の対策基準のためのガイドライン(令和5年度版)」では、『制度の整備状況を踏まえ、2025年度中に同制度の☆1以上を取得していることを機器等の検討基準に含めるとともに、今後も、☆2、☆3以上の対象機器の選択に応じて選定基準への反省を順次行っていく予定』と今後の方針を示しております。
また、地方公共団体や重要インフラ事業者による調達でも活用されるよう、関係するガイドライン類への反映についても政府内での協議を進めていきます。
さらに、IoT製品を海外に輸出する際に求められる適合性評価にかかるIoT製品ベンダーの負担を軽減するため、諸外国の制度と協力的な制度を構築すべく、再度相互承認を図っていく予定です。 具体的には、現在、シンガポール(サイバーセキュリティラベル制度)、英国(PSTI法)、米国(USサイバートラストマーク)、EU(サイバーレジリエンス法)との相互承認を海外に向けて、認識との議論を進めていきます。
関連リンク
IPA JC-STAR制度概要紹介資料外部リンク
https://www.ipa.go.jp/pressrelease/2024/nl10bi0000003f1x-att/press20250325.pdf
IPAセキュリティ要件適合評価及びラベリング制度(JC-STAR)外部リンク
https://www.ipa.go.jp/security/jc-star/index.html
経済省IoT製品に対するセキュリティ適合性評価制度構築方針
https://www.meti.go.jp/shingikai/mono_info_service/sankyo_cyber/wg_cybersecurity/iot_security/20240823.html
経済産業省 産業サイバーセキュリティ研究会グループ3 IoT製品に対するセキュリティ適合性評価 制度構築に向けた検討会
https://www.meti.go.jp/shingikai/mono_info_service/sankyo_cyber/wg_cybersecurity/iot_security/index.html
担当
商務情報政策局 サイバーセキュリティ課長 武尾
担当者:味木、木本、前田
電話:03-3501-1511(内線3964)
メール:bzl-cyber-madoguchi★meti.go.jp
※[★]を[@]に置き換えてください。
