目次

  1. JC-STAR制度の背景 IoT製品狙ったサイバー攻撃が急増
  2. セキュリティ要件適合評価及びラベリング制度(JC-STAR)とは
    1. 対象となる製品
    2. 評価レベルとラベル
    3. 評価方法
    4. ラベル取得手続き
    5. ラベルの活用方法
  3. 今後のスケジュール

 経済産業省によると、近年のデジタル化により、ルーターやネットワークカメラ、センサーなどのIoT製品が急増しています。同時に、これらを標的としたサイバー攻撃も増えています。

 こうした状況を踏まえ、経済産業省は適切なセキュリティ対策を講じるため、「IoT製品に対するセキュリティラベリング制度(JC-STAR)」の運用を開始しました。

 「JC-STAR」は、本制度の英語名「Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements」の略称です。

 JC-STARは、IoT製品のセキュリティ機能を共通の基準で評価・可視化することで、購入者が自分に必要なセキュリティ水準の製品を選びやすくすることが目的です。

 JC-STARは、後付けでセキュリティ機能を付けることができないIoT製品が対象です。

インターネットに直接接続されない製品も含め、インターネットプロトコルを使用する通信機能を持つ、幅広いIoT製品が含まれます。パソコン、スマートフォンなどは対象外となります。

 セキュリティ水準に応じて、★1~★4の4段階で評価します。

  • ★1:IoT製品共通の最低限の脅威に対応するための基準
  • ★2:製品類型ごとの特徴に応じた基準
  • ★3・★4:より高度なセキュリティ要件(第三者認証が必要)

 IPAは★1で求めるセキュリティ水準の考え方として、以下をあげています。

  • マルウェアによるボット化の防止: 機器がマルウェアに感染して、他の機器に感染を広げるのを防ぎます。
  • インターネットからの攻撃に対する耐性: インターネットから遠隔で行われる攻撃に備え、専門知識が少なくても使える攻撃ツールを活用する「スクリプトキディレベル」の攻撃(たとえば不正アクセスやデータの盗聴)に対して、実用的な対策を持つことを目指します。
  • サポート方針の明確化: 製品に不具合や脆弱性があった場合の対応策やサポートの方針をはっきりさせ、適合ラベルの有効期限内には必要なサポート(たとえばアップデートファイルの提供など)が確実に行われるようにします。
  • データの適切な削除: 廃棄する前に、使用中に生成したデータを適切に削除できることを重視します。

 制度を広く普及させるため、★1と★2については、製造・販売事業者による自己適合宣言に基づきIPAがラベルを付与します。

 ★3と★4は、より高い信頼性が求められるため、独立した第三者機関による評価(第三者認証)に基づきラベルを付与します。

 ★1の適合ラベルの有効期間は最長で2年間となり、申請手数料は、2025年9月30日までは11万円(税込)です。その後は定価の19万8000円(税込)となります。

 ラベルを取得したIoT製品は、発行された「適合ラベル」を、製品やそのパッケージに掲示できます。適合ラベルには、申請者情報、製品情報、適合ラベル情報、セキュリティ情報(アップデート情報や脆弱性情報等)、問い合わせ先情報などを確認できるページにアクセスするための二次元バーコードが含まれています。

 経済産業省と情報処理推進機構(IPA)は、今後のスケジュールとして以下を発表しています。

  • 2025年5月上旬:★1ラベル取得製品のリストをIPAのホームページで公表予定
  • 2026年1月以降:ネットワークカメラと通信機器を対象に★2以上の申請受付開始予定

 また、政府はJC-STARの普及を進めるため、「政府機関等の対策基準策定のためのガイドライン」を2024年7月に改定しました。この改定では、「2025年度中に★1以上のラベルを取得した製品を政府機関の機器選定基準に含める」という方針を示しています。その後も★2や★3の対象機器が増えるにつれて、選定基準に順次取り入れていく予定です。

 さらに、日本企業がIoT製品を海外に輸出する際の負担を減らすため、他国の似た制度との相互承認を目指しています。具体的には、シンガポールの「Cybersecurity Labelling Scheme」、イギリスの「PSTI法」、アメリカの「U.S. Cyber Trust Mark」、EUの「Cyber Resilience Act」との相互承認に向けて、各国の担当機関と交渉を続けています。