IoTセキュリティの新基準、JC-STAR制度を知っていますか!?

　今や、パソコンやスマートフォンに次いで、普及しているといっても過言ではないデジタル機器といえば、さまざまなモノがインターネットにつながって情報を集めるIoT機器（関連記事：注目テクノロジー解説◎IoT製品）ではないでしょうか。

　IoT機器は、企業のデジタルトランスフォーメーション（以下、DX）やデジタルシフトのみならず、家庭用冷蔵庫やエアコン、ネットワークカメラなどのネット家電にも組み込まれて一般家庭にも広く普及しています。

　こうしたインターネットに接続された機器やツールを活用するうえで欠かせないのが情報セキュリティ対策です。大企業のサイバーリスク被害の報道が相次ぐ状況下、常にネットワークとつながったIoT機器をサイバー攻撃から保護することは喫緊の課題といえます。

　しかし、ウイルス対策ソフトウェアなど目に見える形でセキュリティ対策を講じることのできるパソコンやスマートフォンと違い、IoT機器においてセキュリティ対策を意識することは難しい側面があります。

　そこで、経済産業省と独立行政法人情報処理推進機構（以下、IPA）が中心となって、IoT機器向けの新しいセキュリティ制度を策定しました。「セキュリティ要件適合評価及びラベリング制度（JC-STAR：Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements）」です。

　2025年3月から一部運用がスタートしており、順次適用範囲やレベルが拡大される方向で進捗しています。

　以下、JC-STARとはどのような制度なのか――その目的や概要、現状と今後の展望などについて関係者の話を交えながらレポートします。

IoT製品のセキュリティレベルを可視化

　JC-STARとは、端的にいえば「IoT製品のセキュリティレベルを可視化するラベリング制度」です。詳細は後述しますが、適合基準に応じて付与される「JC-STAR適合ラベル（以下、適合ラベル）」により、IoT製品のセキュリティレベルを見える化する仕組みとなっています。

　もう少し詳しくいうと、ETSI EN 303 645（消費者向けIoT機器のサイバーセキュリティに関する欧州規格）や、米国のNIST IR 8425（消費者向けIoT製品のサイバーセキュリティラベリング推奨基準）など、国内外の規格と調和させつつ、必要なセキュリティ技術の要件を満たす適合基準を独自に定め、IoT製品がその基準に適合していることを分かりやすく示すようにする制度です。

　従来、IoT製品に関して課題となっていたのは、先に言及したようにセキュリティ対策を意識しづらいこと。そもそも一般消費者などは、IoT機器を理解し活用するための知識が十分でないことが多いのが現状です。

　それゆえIoT機器の安全性に興味を持たず、製品を購入する際もセキュリティに気を配ることは、ほとんどありません。この結果、セキュリティレベルの低い製品を選んでしまい、情報漏えいや無意識にサイバー攻撃の踏み台となり犯罪の片棒を担いでしまうといったリスクに見舞われます。

　また、IoT製品の設計や開発、製造を手掛けているメーカー（以下、製品ベンダー）側では積極的にセキュリティ対策に取り組み、安全な製品を提供しているケースも少なくありません。課題は、そうした安全性を購入側へ明確にアピールする手段や指標が規定されていなかったことです。

　こうした諸々の背景から一般消費者や事業者などの使う側、製造ベンダー側の双方がIoT機器のセキュリティレベルに対する共通認識を共有するため、セキュリティへの対応状況を分かりやすく可視化する仕組みとして誕生したのがJC-STAR制度というわけです。

JC-STAR制度が策定された経緯

　IoT機器のセキュリティ問題がクローズアップされた直接の契機は、2016年に発生したマルウェア「Mirai」による家庭用ルーターやネットワークカメラなどへの大規模なサイバー攻撃です。米国でも、多くのWebサービスが被害を受けるなど世界中に衝撃を与えました。原因は、マルウェアに感染したIoT機器がすべてボットネットになってしまったことでした。

　ボットネットとは、マルウェアに感染した複数のコンピューターやIoT機器が外部からの命令に基づき連動して動作する“ボット”となって構成されたネットワークです。

　これを契機に、2017年から2019年にかけて各国でIoT機器のセキュリティ対策に関するガイドラインが作成され、さまざまな取り組みが進められました。

　日本では、IoT機器の脆弱性に関する調査を実施した結果、セキュリティの脆弱性が改めて判明しました。

　また、IoT機器に対する利用者側のリテラシーがあまり高くないことを考慮し、2020年代にはセキュリティ対策を講じている製品と未対応の製品を識別できるようにラベリングを行いました。これを目印にして一定程度の安全性を担保し、セキュリティの底上げを図っていく方向で検討が進められました。

　2024年8月には経済産業省が「IoT製品に対するセキュリティ適合性評価制度構築方針」を公表。これに基づいてIPAがJC-STAR制度を策定し、2025年3月25日から同制度の運用が始まり、現在も制度の充実化が進められています。

適合ラベルの対象と役割

　ラベリング制度であるJC-STAR制度において、その仕組みの中軸となるのが4段階の「適合基準（詳細後述）」です。この制度では、一定のセキュリティレベルを満たすと宣言、もしくは認証されると適合基準に応じた適合ラベルを製品に付与することができます。

　適合ラベルの取得が可能なIoT製品については、「供給者による販売または利用者による購入の単位となるものであって、意図した目的を達成するための単独のIoT機器、またはIoT機器と必須付随サービスで構成される一式」と定義されており、さらに細かな要件として下記の4項目を掲げています。

①機器が含まれている（適合ラベルは機器に対して付与される）
②インターネットプロトコル（IP）を使用したデータの送受信機能を持つ
③直接・間接を問わずインターネットにつながる（可能性がある／否定できない）
④購入時に具備されているセキュリティ機能を利用し、アップデート以外で（調達者・利用者が自らの意志で）後からセキュリティ機能を追加することが困難／できない

適合ラベルを取得できるIoT機器の範囲（出典：情報処理推進機構セキュリティセンター「IoT製品のセキュリティ確保に向けて」より抜粋）

　これらの要件において、特徴的な項目は④でしょう。PCやスマートフォンも筐体（機器）がありインターネット経由でデータをやり取りできる点では要件を満たしますが、利用者がウイルス対策ソフトをインストールするなど、後からセキュリティ対策を追加できることから対象範囲には含まれません。

　IPAセキュリティセンターの技術評価部で部長を務める神田雅透氏は、「製品ベンダーによるファームウェアのアップデートを通じて対策を提供し、利用者が必要最小限度の手間で済むようなセキュリティ機能を組み込んでもらうようにした。だから利用者側では、ほぼ何もしなくていい」と、上記のような要件を策定した背景について語っています。

適合ラベルの役割

　上記の要件に合致したIoT機器が、適合基準で求められるセキュリティ要件を満たすと適合ラベルが付与されます（下記画像を参照）。

適合ラベルは、「識別マーク（★）」や「登録番号」、製品情報に関する「QRコード」などから構成される（CEATEC2025のIPAブースにて編集部撮影）

　JC-STAR制度の適合ラベルは、同制度のロゴマークに加えて、適合基準のレベルを示す識別マークである「セキュリティ水準達成レベル（★1～★4）」や「登録番号」、製品の詳細情報へのリンクを張った「QRコード」で構成されています。記載のQRコードを読み込むことで製品の詳細や適合評価、問い合わせ先などの情報を把握できるので、消費者や企業の調達者などはセキュリティ要件を満たした安全なIoT製品を選びやすくなります。

　前述した通り、JC-STAR制度では製造ベンダーがセキュリティ対策を担保する点が特筆ポイントです。「その対応度合いを表しているのが★で表示された識別マークである」と神田氏。「識別マークが付いている製品であれば、利用者はセキュリティを意識しなくてもいい。このマークがついている製品はセキュリティ面で安全なので、マークの付いている製品から選んでほしい。そういうことを我われは目指している」と語っています。

　いずれにしても、IoT製品に付された適合ラベルは、一定の基準でセキュリティが担保されていることを国がお墨付きを与えた証というわけです。

　ただし、製品本体へ適合ラベルの貼り付けは義務化されておらず、使い方はラベルを取得した企業に一任されています。例えば、製品の梱包箱やカタログやパンフレットなどに記載したり、製品ベンダーや販売店のホームページでの製品紹介、量販店の店頭の宣伝用POPで使用したりといった方法でもかまわないとのことです。

4段階の適合基準を設定

　JC-STAR制度では、セキュリティ水準に応じて4段階の適合基準（★1～★4）が設定されています。レベルが上がるほど求められるセキュリティ要件は高度なものとなります。

JC-STAR制度における4段階の適合基準（出典：IPAのホームページ内「セキュリティラベリング制度（JC-STAR）についての詳細情報」より引用）

★1から★4までの適合基準の位置づけ（出典：IPAのホームページ内「セキュリティラベリング制度（JC-STAR）についての詳細情報」をもとに編集部にて作成）

　適合基準において最も基本的なレベルである「★1」は、製品カテゴリーを問わず、すべてのIoT製品に共通する最低限の脅威に対応するための水準となっています。★1は第三者機関による認証が不要な自己適合宣言により適合ラベルが付与されます、

　本稿執筆時点、実用化されている適合基準は★1のみ。申請手数料は19万8000円（税込み）で、ラベルの有効期間は2年となっています。

最も基本的なレベルである「★1」では、最低限の脅威に対抗できることが求められている（出典：IPAのホームページ内「セキュリティラベリング制度（JC-STAR）についての詳細情報」より引用）

ドローンや自動車なども対象範囲

　★1から先行してスタートしたJC-STAR制度ですが、製品カテゴリー（製品類型）ごとの特徴に応じた基準となる★2以上についても、具体的な要件や詳細の検討が進められています。

　例えば、★1と同じく自己適合宣言による「★2」では、共通基準（★1）となる要件に、通信機器やスマート家電といった製品の特徴や特性に応じて定められた追加要件を満たすことが求められることとなります。現状、基準内容の検討が始まった段階であり、2026年の春から夏にかけてパブリックコメントが公開され、事前の説明会を経て申請受付が始まる見込みです。

　JC-STAR制度の事前説明会では、「将来的に★2や★3の適合基準ができるのであれば、★1は取得せずに、開始を待って★2以上から取得してもよいのではないか」との声があったとのこと。これに対して、運用主体であるIPAは、「少しでも対策を講じてもらうことが大切なので、★1から取り組んでほしい」との姿勢です。

　ただし、★1から進める場合、★1を飛ばして★2から取り組むよりもコストが高くなってしまうため、この点については配慮をするとしています。

　適合基準の★3と★4は、政府機関や重要インフラ事業者、地方公共団体、大企業といった重要なシステムでの利用を想定したレベルです。具体的な要件などの策定はこれからですが、適合ラベルの付与には第三者による認証を必要とするスキームが検討されています。

　この制度では、産業用機器なども対象範囲に含まれます。例えば、ドローンや自動車、医療機器、あるいは遠隔操作による建設機械なども、前述したIoT機器としての要件を満たせば適合ラベル付与の対象となるわけです。

　ただし、これらの製品には各業界における特有の要件や法規制があるため、そうした法令に準拠しつつ、その中でJC-STAR制度の適合基準を検討していくことが必要です。このため、適合基準が決定するまでは、各業界の監督官庁や業界団体の判断に基づいて活用されていくことになりそうです。

制度は順調に進捗、さらなる認知拡大へ

　制度の発足以来、これまで適合ラベル（★1）を取得した製品の状況は、蓄電池など一部の例外を除き、ルーターやスイッチといった通信機器、ネットワークカメラなどの防犯関連機器、生活家電が大半を占めています。早々に適合ラベルを取得した製品ベンダーの多くは、ガイドラインなどに基づき先行してセキュリティ対策に積極的に取り組んでおり、JC-STAR制度がスタートした時点で技術的な対応は完了済みだったそうです。

　とはいえ、適合ラベルの取得に際しては、技術的な対応だけでなく、外部からの連絡窓口や責任者の所在、製造委託先まで含めてきちんと把握・管理できているかなど、セキュリティ管理に関わる社内体制の構築も欠かせません。

　製品ベンダーからのラベル申請の内容確認には、技術面に加えて管理体制への対応状況も含まれており、製品ベンダー側できちんと対応が取られていないと、受理されるまでにかなり時間を費やすことになりそうです。

　経産省とIPAとも、JC-STAR制度の普及に積極的に取り組んでおり、この10月に開催されたCEATEC 2025（10月14日～17日／幕張メッセ）にも出展しています。そこでは、★1を付与されたIoT製品群を実機展示するなど、同制度を強力にアピールしました。

CEATEC 2025の会場でJC-STAR制度を紹介（出典：会場にて編集部撮影）

ブースでは、ルーターや電子レンジ、冷蔵庫、洗濯機など、★1を付与されたIoT製品を実機展示した（出典：会場にて編集部撮影）

　こうした取り組みが奏功し、申請件数の伸びは堅調とのこと。初年度の申請件数は当初の目標である100件程度に対し、年内には150件に手が届きそうな勢いです。

　課題は2年目以降であり、「2年の適合ラベル有効期限を迎えるまでに、製品ベンダーが販売数の増加といった適合ラベルの効果に対して懐疑的にならないよう、我われも制度の普及認知に努める必要がある。そのカギを握るのは、一般消費者との接点を持つ量販店であり、彼らの協力が欠かせない」（神田氏）としています。

JC-STAR制度に対する中小企業の向き合い方

　では、中小企業などはJC-STAR制度に、どう対応していけばよいのでしょうか。DXやデジタルシフトを進めていく中ではIoT機器の購入者であり、関連製品を開発するメーカーであれば製品ベンダーにもなり得ます。

　購入者視点に立てば、同制度の目的やスキームを理解し、IoT機器の導入時には適合ラベルが付与された製品を積極的に選択することが、セキュリティ対策への要求が厳しくなっていく状況下では必要でしょう。

　一方、製品ベンダー側として適合ラベルの付与申請に取り組もうと考えた場合、留意すべき点がいくつかありそうです。

　IPAの神田氏は、「中小企業が適合ラベル取得に取り組むうえで、技術的な対応もさることながら、マネジメントのプロセスや社内体制の構築、脆弱性の開示ポリシーなどのセキュリティ要件に関して対策を講じるのは簡単ではない」との懸念を口にします。

　確かに同制度では、責任者や連絡窓口を整備し、連絡があった時の回答に関する社内のプロセスなどを明確にすることが求められています。しかし、例えばPSIRT（Product Security Incident Response Team／*1）のような、しっかりとした組織を社内に設置することまでは求められておらず、必ずしも取り組みへのハードルが高いわけではありません。
（*1）ピーサート。自社で製造・開発する製品・サービスに対するセキュリティの向上や、インシデント（不具合や障害など）への対応を目的とした組織

　また、「中小企業にはJC-STAR制度ができた背景や理由、適合ラベルの付与によって何が期待されているかを最初に知ってもらい、未対策のままとせずに適合ラベルを用いたセキュリティ対策を講じてほしい」と神田氏。「特に★1と★2の要件は、セキュリティ対策に欠かせない項目となっている。脆弱性に対する危険を少しでも抑えるためにも、まずはこれらに対応することを考えてほしい。適合ラベルの付与に必要な、具体的な対策方法や申請方法などはそれから考えればよく、必要に応じてIPAに相談してもらえればいい」と訴えました。

　こうした取り組みについては、中小企業でも、DX推進に積極的な企業の場合と同じく、経営者の理解（および実行力）が欠かせません。そのような企業であれば、要件にある社内体制の構築も比較的進めやすいとみられ、特に★1に関しては、適合ラベルの付与も比較的スムーズにできるのではないでしょうか。

　これまで見てきたように、JC-STAR制度は、求められるセキュリティ対策を講じたIoT製品を、未対応の製品と区別することで、一定程度の安全性を担保するためのものです。ビジネスやプライベートを問わず同制度をしっかりと理解することが大切であり、セキュリティへの要求が厳しさを増す中、事業者は特に注目すべき制度といえそうです。