【2025年運用開始】IoTセキュリティ適合制度「JC-STAR」とは?
はじめに
IoT製品を使い、日々の暮らしやビジネスがより便利に効率的になる一方で、こうしたIoT製品はサイバー攻撃にも悪用された事例が散見されます。その理由として、IoT製品はインターネットに接続されている一方で、セキュリティ設定が初期状態のまま使われていたり、アップデートがされないなど、PCやスマホなど他のデバイスと比べ、セキュリティ対策が不十分となる場合が多いためです。
2016年のIoT製品を標的にしたマルウェアMiraiが引き起こしたDDoS攻撃が最も有名な事案ですが、その後もIoT製品を不正利用したサイバー攻撃は後を絶ちません。
そんな中、日本国内のIoTセキュリティ対策におけるはじめの一歩として、「JC-STAR(Japan Cyber-Security Technical Assessment Requirements)」の本格運用が開始されました。
本記事では、IoTを利用する企業の管理者・利用者に向けて、JC-STARの概要・役割・メリットについてわかりやすく解説します。
JC-STARとは?
JC-STAR(Japan Cyber-Security Technical Assessment Requirements)は、経済産業省とIPA(情報処理推進機構)が主導するIoT製品向けのサイバーセキュリティ認証ラベリング制度です。
IoTデバイスのセキュリティ要件を共通基準で管理し、認証ラベルによって「どのIoT製品が基準を満たしているか」を利用者や調達者が一目で把握できる仕組みです。
従来は、IoT製品のセキュリティ水準が不透明なまま市場に出回ることが少なくなく、利用者や管理者にとっては「どの製品が安全か」を判断するのが困難でした。JC-STARはこれを解決するため、第三者機関による評価・登録制度を確立し、透明性のある製品選定が可能になりました。
適合レベル
JC-STARでは、IoT製品に求めるセキュリティ対策について、★1から★4までの4つのレベルで定義しています。取得済み製品にはQRコード付きのラベルが付与され、そこから製品の脆弱性対応状況や更新履歴が確認できます。
★4が最高レベルとなり、★3以下のレベルは、上位レベルのセキュリティ要件の部分集合となっています。また、★1,2はIoT製品ベンダーによる自己適合宣言が可能ですが、★3,4は第三者認証が必要となります。
【2024年12月版】セキュリティ要件適合評価及びラベリング制度(JC-STAR)★1(レベル1)適合基準・評価手法(1.1版)「表1 JC-STARでの要件レベルの位置づけ」より
活用メリット──IoT製品の利用者の視点から
JC-STARは、IoT製品の利用者にも様々なメリットがもたらされます。
考えられる主なメリットとして以下の3点が挙げられます。
- 製品選定時のセキュリティ基準を明確化できる
★付き製品であれば、一定のセキュリティ要件を満たしていることが明示されており、選定時の判断基準が簡素化・標準化できます。 - 導入後のリスク管理がしやすくなる
JC-STARのラベルには脆弱性対応状況・ファーム更新履歴が紐づいており、管理・監査に必要な情報を可視化できます。 - 法令やガイドライン対応の事前対応ができる
前述のとおり、今後展開される★3、★4は、公共機関や重要インフラなどへの適合が想定されており、関連する法制度や業界ガイドラインとの整合性を取るうえで、現時点でJC-STARを活用すれば、先回りの対応策として有効となります。
上記のような様々なメリットがあるJC-STARですが、単に★付き製品を導入すれば安心とはいきません。
従来通り、使用するIoT製品に対する機器管理や機器ごとのパッチ管理、ネットワーク・ログ監視といった対応は継続して必要です。そのため、JC-STARのメリットをうまく活用し、より効率的な開発・運用を目指すといったスタンスで検討を進めることが基本となると考えます。
今後の展望
現時点はJC-STAR適合の義務化などの予定はありませんが、IoT機器の利用を含む案件においてJC-STAR適合機器の導入が調達要件へ組み込まれる可能性があると考えられます。また、日本国外でも米国Cyber Trust Mark、欧州ETSI EN 303 645、JC-STARはこれらの規格・制度との整合や相互認証も進んでいくことが見込まれ、今後はグローバルな調達要件の策定にも応用可能となるのではと考えられます。
まとめ
今年度運用が開始されたIoTのセキュリティ要件適合評価及びラベリング制度(JC-STAR)について、適合レベルやIoT製品の利用者の視点でのメリット、今後の展望についてまとめました。
IoT製品を導入することで新たな価値の創出や業務の効率化が実現できる一方、セキュリティ対策が不十分の場合は、一転サイバー攻撃の加害者になる可能性があります。
今から本制度を正しく理解し、導入・運用検討に組み込むことで、将来的なセキュリティ強化の基盤を築いていきましょう。
なお、運用開始している★1(レベル1)の概要については別の記事で解説する予定です。
(8/5 追記)
公開しました。こちらもよろしければご覧ください。

NTT DATA公式アカウントです。 技術を愛するNTT DATAの技術者が、気軽に楽しく発信していきます。 当社のサービスなどについてのお問い合わせは、 お問い合わせフォーム nttdata.com/jp/ja/contact-us/ へお願いします。