IoT製品の安全基準を可視化
IPA、「JC-STAR」制度の下で初の適合ラベル交付を開始
独立行政法人情報処理推進機構(IPA)は、2025年5月21日、「セキュリティ要件適合評価及びラベリング制度(以下、JC-STAR)」における「★1適合ラベル」の交付を正式に開始した。本制度は、IoT製品に求められるセキュリティ要件への適合状況を明示するものであり、製品の安全性を「見える化」することによって、消費者や調達者がより適切な選択を行える環境の整備を目的としている。
今回交付された「★1適合ラベル」は、2025年3月25日の申請受付開始以降、約1か月間で寄せられた11社26申請(製品型番ベースで477製品)を対象に発行されたものである。さらに、3社8申請(12製品)についても確認作業が完了し、今後の交付予定として登録された。
このラベルが貼付された製品は、今後市場に実際に投入され、製品本体やパッケージ、マニュアル、パンフレット、ホームページなどに表示されることで、購入者がセキュリティ要件を満たしている製品を一目で識別できるようになる。
JC-STAR制度の背景と目的―共通基準でセキュリティを評価
JC-STAR制度は、経済産業省が2024年8月に公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づき、IPAが2025年3月より運用を開始したものである。インターネット通信機能を持つ幅広いIoT製品を対象に、製品に実装されているセキュリティ機能を共通の評価基準に基づいて可視化することを目的としている。
従来、IoT製品のセキュリティ対策は、ベンダーが調達者や消費者に適切に伝えることが難しく、逆に利用者側からもその有無や水準を判断しづらいという課題があった。加えて、製品そのものだけでなく、製品を提供するベンダーのセキュリティ体制も含めた「広義のサプライチェーン・リスク管理」が求められるようになっており、これに対応するための制度整備が急務とされていた。
JC-STARは、このような背景から、製品ごとに最低限求められる基準を明示し、製品の安全性と信頼性を客観的に評価する枠組みを構築したものである。
適合ラベルのレベルと評価基準
JC-STAR制度では、製品のセキュリティ要件への適合レベルを「★1」から「★4」までの4段階に区分している。今回交付されたのは最も基本的な「★1」であり、以下のような定義が設けられている。
- ★1(レベル1):製品に共通して求められる最低限のセキュリティ要件を満たしていることを、ベンダー自身が自己適合宣言するもの
- ★2(レベル2):製品類型ごとに追加で必要となる基本的なセキュリティ要件を、ベンダーが自己適合宣言するもの
- ★3(レベル3):重要インフラ等での利用を想定し、第三者機関が適合を評価・認証するもの
- ★4(レベル4):政府調達などの高度なセキュリティ要求に対応する製品を対象とした第三者評価方式
今後は、★2以上のラベル制度についても、ネットワークカメラおよび通信機器といった製品を対象に、2026年1月からの運用開始が計画されている。また、スマートホーム関連機器等、他製品分野への展開も予定されており、段階的に制度が拡張されていく見込みである。
国際的な相互承認も視野に
JC-STAR制度は国内にとどまらず、国際的な制度との整合性や相互承認も視野に入れている。具体的には、シンガポールの「Cybersecurity Labelling Scheme」、英国の「PSTI法」、米国の「U.S. Cyber Trust Mark」、EUの「CRA法」などと連携を目指し、各国担当機関との間で協議を進めている。今後、国際市場でも通用する認証制度としての位置づけを確立することが期待される。
なお、今までにJC-STARでの適合ラベルを取得した全ての製品についてはこちらのページに掲載されているので、ご確認いただきたい。
https://www.ipa.go.jp/security/jc-star/list/jc-star-product-list/index.html
