NTT DATA TECH
🔍

JC-STAR 適合レベル★1(レベル1)ってどんなもの?

に公開

はじめに

本記事では、2025年7月時点で運用が開始されているJC-STAR (Japan Cyber-Security Technical Assessment Requirements) 適合レベル★1(レベル1)について、IPAが公開している 【2024年12月版】セキュリティ要件適合評価及びラベリング制度(JC-STAR)★1(レベル1)適合基準・評価手法(1.1版) をもとに概要をまとめました。

なお、JC-STAR自体の概要は以下の記事でまとめていますので、こちらもあわせてご覧ください。

https://zenn.dev/nttdata_tech/articles/c23269ee1ccd8e

適合レベル★1 とは

JC-STARでは、IoT機器に求めるセキュリティ対策について4つのレベルで定義しています。★1はその中でも、特定の機器類型に絞らず、広範なIoT機器を対象とした、最低限の脅威に対応するための統一的な基準を定めています。

守るべき資産

適合レベル★1において守るべき資産は以下のとおり定義されています。

IoT機器において守るべき資産 ★1で想定する守るべき資産
IoT機能
機器やシステムがIoTにつながるための機能
・有線通信機能
・無線通信機能
本来機能
「モノ」本来の機能、セキュリティ対策・セーフティ対策のための機能
・セキュリティ機能
情報
ユーザの個人情報、収集情報、各機能の設定情報など
・IoT機能(通信機能)に関する設定情報
・セキュリティ機能に関する設定情報
・機器の意図する使用において、機器が収集し、保存又は通信する、個人情報の一般的に機密性が高い情報
その他の物理的資産 -

【2024年12月版】セキュリティ要件適合評価及びラベリング制度(JC-STAR)★1(レベル1)適合基準・評価手法(1.1版)「表3 ★1で対象とする守るべき資産一覧」より抜粋

論理的資産である機能や情報(通信機能やIoTで扱う情報、IoT自体のセキュリティ機能)のみが対象となっており、物理的資産は対象から外れています。
一方で、対象となる情報資産として、IoT機器が収集する情報に加え、通信機能やセキュリティ機能の設定情報も含まれます。

脅威

適合レベル★1において、守るべき資産に対する脅威は概ね3つに分類されます。

脅威 具体例
外部からの攻撃 ・パスワードの漏洩による不正アクセス
・不正アクセスによるマルウェアの感染
・未使用インターフェースの不正利用
情報漏洩 ・機器の通信に対する盗聴
・廃棄された機器に残ったデータの不正入手
セキュリティ機能の異常 ・異常復旧時にセキュリティ機能が初期化される

上記のうち「外部からの攻撃」や「情報漏洩」といった脅威については一般的な情報セキュリティでもよく論じられますが、「セキュリティ機能の異常」はIoTならではの脅威といえます。具体例としては、停電や異常終了からの復旧後にセキュリティ機能が初期化され、セキュリティ機能が正しく動作しないことなどが挙げられます。

守るべき資産で物理的資産が対象外のため、脅威でも稼働している機器の物理的な破壊や盗難などの物理的な脅威も対象外となっています。ただ、盗難された機器からデータが漏洩するといった脅威は対象のため注意が必要です。
なお、脅威の入り口となるアタックサーフェイスは、IoT機器が通常使用するインターフェースに加え、保守や未使用のインターフェースも対象となっています。

対策

前述の脅威に対する主な対策としては、以下が挙げられます。


【2024年12月版】セキュリティ要件適合評価及びラベリング制度(JC-STAR)★1(レベル1)適合基準・評価手法(1.1版)「表4 脅威に対抗するために★1で実現すべき対策一覧」をもとに作成

この内容からも分かるように、認証やアクセス制御、脆弱性への対策など最低限の対策に留められていることがわかります。
なお、詳細についてはIPAから提供されている ★1(レベル1)チェックリスト をご参照ください。

適合レベル★1のIoT機器を利用する際の注意点

適合レベル★1のラベルがついたIoT機器は、上記の対策していることを会社自らが宣言した機器ですが、その機器を導入すればよいとは限りません。
前述の「対策」を実現するために実装された機能を適切に使用し、IoT機器をとりまく環境をセキュアに保つ必要があります。加えて、IoT機器ごとの特徴や利用形態、脅威等を考慮したリスク評価と対策検討が必要となる点は改めて留意しておく必要があります。

おわりに

JC-STAR 適合レベル★1の概要について、守るべき資産、脅威と対策、利用者の注意点といった点でまとめました。
2026年以降の適用開始が予定されている適合レベル★2以降の対応を見据えて、まずはベースとなる適合レベル★1をしっかり理解して、適切な対応が行えるよう備えを進めていきましょう。

お知らせ

身内の宣伝で恐縮ですが、NTTデータ先端技術では、JC-STAR検証事業者としてIoT機器ベンダー向けのサービスを開始しています。自社のIoT機器を安全に使ってもらいたいが、JC-STARの適合判断が難しいなどお困りの方は是非ご相談ください!
https://www.intellilink.co.jp/topics/news_release/2025/062400.aspx

NTT DATA TECH
NTT DATA TECH
設定によりコメント欄が無効化されています