IoT製品に対するセキュリティラベリング制度(JC-STAR)の運用を開始
経済産業省及び独立行政法人情報処理推進機構(IPA)は、「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の運用を開始した。
今後、本制度のラベル取得製品の普及を促進するとともに、より高い水準のラベル・認証の整備や、諸外国との相互承認の実現を進める予定である。
リリース文章を以下に掲載する。
1.背景・趣旨
近年、デジタル化の進展に伴い、ルーターやネットワークカメラ、センサといったIoT製品の数が急速に増加するとともに、IoT製品を狙った攻撃も増加傾向にあるなど、IoT製品の脆弱性を狙ったサイバー脅威が高まってきています。こうした背景を踏まえ、諸外国ではIoT製品のセキュリティ対策に関する制度検討が進んでいます。
諸外国の取組も踏まえつつ、我が国においても適切なセキュリティ対策が講じられているIoT製品が広まる仕組みを構築することを目指し、経済産業省は、2022年11月から「IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」において議論を進め、意見公募の実施(2024年3月15日~4月15日)を経て、2024年8月に同検討会の最終取りまとめを踏まえた本制度の制度構築方針を公表しました。
同制度構築方針においては、2024年度中に制度の一部運用開始する予定である旨を示していたところ、本日、「IoT製品に対するセキュリティラベリング制度(JC-STAR)」※として、IoT製品に共通した最低限の脅威に対応するための基準(★1)に対する申請受付を開始しました。
※「JC-STAR」は、本制度の英語名「Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements」の略称。
2.JC-STARの概要
JC-STARは、共通的な物差しでIoT製品に具備されているセキュリティ機能を評価・可視化し、政府機関、民間企業から一般消費者まで、IoT製品の購入者・調達者が、本制度のラベルを確認することで、自らが求めるセキュリティ水準の製品を容易に選択できるようにすることを目的としています。
本制度の概要は以下の通りです。
- 本制度はインターネットに直接接続されない製品も含め、インターネットプロトコルを使用する通信機能を持つ幅広いIoT製品を対象(パソコン、スマートフォン等は対象外)としています。
- IoT製品共通の最低限の脅威に対応するための基準(★1)及びIoT製品類型ごとの特徴に応じた基準(★2、★3及び★4)を定め、求められるセキュリティ水準に応じた複数の適合性評価レベルを用いた任意制度です。
- 制度を広く普及させるため、★1及び★2については、自己適合宣言に基づいてIPAよりラベルを付与します。一方で、政府機関等や重要インフラ事業者の調達に活用する想定であり、高い信頼性が求められる★3及び★4については、独立した第三者による評価を受ける第三者認証に基づいてラベルを付与します。
- ラベルを取得したIoT製品には、「適合ラベル」が発行され、製品やそのパッケージ等に掲示することが可能となります。適合ラベルには、IPAが管理し、製品固有の「適合ラベル取得IoT製品情報ページ」のURLを埋め込んだ二次元バーコードが含まれており、申請者情報、製品情報、適合ラベル情報、セキュリティ情報(アップデート情報や脆弱性情報等)、問合せ先情報など、多岐に渡る情報を最新に維持しながら一次元的に可能となります。
- ★1の適合ラベルの有効期間は最長で2年間となり、★1の申請手数料は、2025年9月30日までの申請受領分については11万円(税込)となります。
※定価は19.8万円(税込)
3.今後の予定
2025年5月上旬頃に、★1ラベル取得製品のリストをIPAのホームページにて公表予定です。その後、随時、新規ラベル取得製品を追加していきます。
IoT製品類型ごとの特徴に応じたより高度なセキュリティ適合基準(★2以上)の整備については、政府調達での活用が見込まれるネットワークカメラと通信機器の2つの製品類型を対象に、適合基準検討ワーキンググループを開催して具体的な検討を開始しており、2026年1月以降に当該製品分野の★2以上の申請の受付を開始する予定です。スマートホーム関連機器など、その他の製品類型の★2以上の基準も順次整備し、制度を拡張していきます。
また、本制度の活用を促進すべく、2024年7月に一部改定された「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」では、『制度整備の状況を踏まえつつ、2025 年度中に同制度の☆1以上を取得していることを機器等の選定基準に含めるとともに、以降も、☆2、☆3以上の対象機器の拡充に応じて選定基準への反映を順次行っていく予定』との今後の方針を示しております。
また、地方公共団体や重要インフラ事業者の調達でも活用されるよう、関係するガイドライン類への反映についても政府内での協議を進めていきます。
さらに、IoT製品を海外に輸出する際に求められる適合性評価にかかるIoT製品ベンダーの負担を軽減するため、諸外国の制度と協調的な制度を構築すべく、引き続き相互承認を図っていく予定です。具体的には、現在、シンガポール(Cybersecurity Labelling Scheme)、英国(PSTI法)、米国(U.S. Cyber Trust Mark)、EU(Cyber Resilience Act)との相互承認に向け、海外当局との交渉を引き続き進めていきます。
