情報処理推進機構(IPA)は9月30日、IoT製品のセキュリティ適合性評価制度「セキュリティ要件適合評価及びラベリング制度」(JC-STAR)」の運用を2025年3月に開始すると発表した。2025年3月からまず「星1(レベル1)」の申請を受け付けることにしている。
JC-STARは、経済産業省が8月に公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づいて構築され、IPAが運用する。IoT製品共通で最低限の脅威に対応するための基準「星1(レベル1)」と、IoT製品の類型ごとの特徴に応じた基準「星2~4(レベル2~4)」の4つの適合基準が設定される。各レベルの内容は下記の通り。
JC-STAR制度のロゴと適合ラベル
- 星1(レベル1):製品として共通して求められる最低限のセキュリティ要件を定め、それを満たすことをIoT製品ベンダーが自ら宣言するもの
- 星2(レベル2):製品類型ごとの特徴を考慮して、レベル1に追加すべき基本的なセキュリティ要件を定め、それを満たすことをIoT製品ベンダーが自ら宣言するもの
- 星3/4(レベル3/4):政府機関や重要インフラ事業者、地方公共団体、大企業などの重要なシステムでの利用を想定した製品類型ごとの汎用的なセキュリティ要件を定め、それを満たすことを独立した第三者が評価して示すもの
レベル1/2では、ベンダー自身が同制度で定められた適合基準や評価手順に従ってIoT製品を自己評価し、IPAがその結果を記載したチェックリストに基づいて適合ラベルを付与する自己適合宣言方式となる。評価の信頼性はベンダーに依存し、適合ラベルを低コストかつ短期間に取得できる。ただし、基準への適合に疑義がある場合には、IPAが検査やサーベイランスを実施して、その結果次第で適合ラベルの取消しも有り得るとしている。
レベル3/4は、政府機関や重要インフラ事業者向などに向けたIoT製品を想定しており、独立した第三者評価機関による評価報告書に基づいて、IPAが認証と適合ラベルの付与を行う。
IPAは、JC-STARが任意制度としつつも、政府機関と重要インフラ事業者、地方公共団体などで調達する製品については、経済産業省と関係組織との間で、JC-STARラベル取得製品を選定・調達するように調整していると説明する。これは、「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」で、JC-STARの制度開始後の活用と普及後のラベル付与製品の調達必須化の方針が示されているからという。
また、海外各国のIoT製品適合性評価制度との連携も図り、IoT製品を海外輸出するベンダーの適合性評価に関する負担軽減を目指す。現時点でシンガポールの「Cybersecurity Labelling Scheme」、英国の「PSTI法」、米国「U.S. Cyber Trust Mark」、欧州連合(EU)の「CRA法」などの各国担当機関と相互承認に向けて交渉しており、日米(首脳級)、日EU(閣僚級)、先進7カ国(G7、首脳級)などでも相互承認に向けた取り組みで合意している。
JC-STARには、情報通信ネットワーク産業協会(CIAJ)、デジタルライフ推進協会(DLPA)、電子情報技術産業協会(JEITA)、日本防犯設備協会(SSAJ)、ビジネス機械・情報システム産業協会(JBMIA)も賛同し、会員企業に積極的なラベル取得を働きかけていく。
IPAは、11月頃にJC-STARの制度説明会を行う予定で、具体的な申請方法や申請料、適合基準についてなどについても準備でき次第ウェブサイトに公開するとしている。
