JC-STAR制度とは
セキュリティ要件適合評価及びラベリング制度(JC-STAR:Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)とは、2024年8月に経済産業省が公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づき構築された日本の制度です。
近年さまざまなIoT製品が販売され大変便利な世の中になりつつあります。しかしインターネットや内部ネットワーク経由でアクセスできるIoT製品は、常に外部からの不正アクセスのリスクにさらされています。しかしセキュリティリスクは目に見えないもの。使用者にはそのリスクの度合いを見て取れません。
JC-STAR制度では最低限の脅威に対応する★1(レベル1)から重要なシステムでの利用を想定した★4(レベル4)までの、4段階の基準が設けられています。適合が認められた製品には適合ラベル(下図)が付与され、適合基準への適合性を可視化して示すことができるのです。
なお本制度の適合を受けられるのは、IP(インターネットプロトコル)通信を行うIoT機器に限定されます。
用語
- IoT機器
-
IP通信を行いインターネットまたは内部ネットワークに接続可能な機器のうち、利用者が当該IoT機器本体に対して容易にセキュリティ対策を追加することが困難であるものをいいます。
- 内部ネットワーク
-
GW(げーとうぇい、Gateway)やFW(ふぁいあーうぉーる、Fire Wall)等によりインターネットから区切られたネットワークです。
JC-STAR制度への取り組みは任意
JC-STARの適合ラベルは取得を義務付けられたものではありません。適合ラベルを取得しなくても製品を開発できますし、販売もできます。情報処理系の国家資格と同じく、製品の最低限の能力を示す指標となるのが本制度です。
しかし今後JC-STARを取得していない製品は、特に企業や公的機関に対して売れにくくなっていくと考えられます。内閣サイバーセキュリティセンターの掲げる「政府機関等の対策基準策定のためのガイドライン」によると、「制度整備の状況を踏まえつつ、2025年度中に同制度の★1以上を取得していることを機器等の選定基準に含めるとともに、以降も、★2、★3以上の対象機器の拡充に応じて選定基準への反映を順次行っていく予定」とあります。
適合基準のレベルとその位置づけ
適合基準のレベルその位置づけは、次のとおりです。★1というすべてに共通する土台の上に、製品類型に合わせた専門的なセキュリティ要件が乗っかる形となっています。
| レベル | 位置づけ |
|---|---|
| ★4 | 政府機関等や重要インフラ事業者、地方公共団体、大企業の重要なシステムでの利用を想定したIoT製品類型ごとの汎用的なセキュリティ要件を定め、それを満たすことを独立した第三者が評価して示したものです。 |
| ★3 | |
| ★2 | ★1に加えて基本的なセキュリティ要件を定め、それ満たすことを製品ベンダーが自ら宣言したものです。 |
| ★1 | IoT製品に共通して求められる最低限のセキュリティ要件を定め、それ満たすことを製品ベンダーが自ら宣言したものです。 |
ベンダー:製品やサービスを販売する事業者です。
適合ラベルには有効期限がある
★1、★2の有効期限はラベル取得日から最大2年間です。有効期限を延長したい場合は改めて自己適合宣言を行う必要があります。なお★3以上の有効期限はまだ検討中です。
適合ラベルの情報ページ
適合ラベルの二次元バーコードには、適合ラベルを取得したIoT製品の情報ページへのURLが埋め込まれています。その情報ページでは次のような情報を確認することができます。
| 項目 | 内容 |
|---|---|
| 製品情報 | 製品名 型式番号 IoT製品の製造業者名 (公開は任意) 製造国または地域 (公開は任意) 製品概要 製品ウェブサイトのURL 製品の問い合わせ先 他認証の認証番号等 |
| ラベル情報 | ラベル識別番号 適合性評価レベル (★1~★4) 製品類型の名称 (★2以上の場合) 適合基準のバージョン 適合評価結果 ラベルステータス情報 (次表) ラベル発行・更新日 ラベルの有効期限 ラベルの申請者名 評価者区分 |
| 安全情報 | 当該製品に関わる脆弱性情報 脆弱性の報告窓口のURL |
| その他セキュリティ関連情報 | IoT製品ベンダーから調達者・利用者に向けたセキュリティ関連情報 (必要時) |
| ステータス | 内容 |
|---|---|
| 有効 (Active) | 適合ラベルが有効期間内にあり、失効も取消もない状態です。 |
| 失効猶予 (延長申請中) (Extension procedure in progress) | 適合ラベルの有効期間を満了していますが、有効期間の延長申請手続きが行われている状態です。 |
| 失効 (有効期限きれ) (Expired) | 適合ラベルの有効期間が満了し、有効期間の延長も行われていない状態です。 |
| 失効 (自主取り下げ) (Withdrawn) | 適合ラベルの有効期間内に、IoT製品ベンダー自らが適合ラベルを取り下げた状態です。 |
| 取り消し (Revoked) | 適合ラベルの有効期間内に、適合ラベルの取消し事由に該当する事象が発生し、定められた期間内にその事由を解消されなかった場合に、IPAが強制的に適合ラベルの効力を停止させた状態です。 |
参考文献
- 経済産業省「IoT製品に対するセキュリティ適合性評価制度構築方針」
- 情報処理推進機構 (IPA)「セキュリティ要件適合評価及びラベリング制度 (JC-STAR)」
- 内閣サイバーセキュリティセンター「政府機関等のサイバーセキュリティ対策のための統一基準群」
コメント