セキュリティ要件適合評価及びラベリング制度(JC-STAR)とは?概要や評価基準を解説
IoT製品の普及は年々拡大しており、私たちの生活や産業活動を大きく支えています。一方で、これらの機器はサイバー攻撃の対象となりやすく、メーカーにとってはセキュリティ対策が大きな課題となっています。特に近年、IoT製品は社会に広く浸透しており今後もこの傾向は続くでしょう。そのため、IoT製品の脆弱性を突いた攻撃は被害が広範囲におよび、信頼性やブランド価値に直結するため軽視できません。
こうした背景から、政府と関連機関は「セキュリティ要件適合評価及びラベリング制度」を新たに導入しました。本記事では、その概要や目的、申請の方法について整理し、メーカー担当者が制度を活用するためのポイントを分かりやすく解説します。
- この記事で分かること
- セキュリティ要件適合評価及びラベリング制度の概要
- 制度が導入された目的と意義
- ラベル取得の申請方法
「セキュリティ要件適合評価及びラベリング制度」とは?
IoT機器の急速な普及に伴い、サイバー攻撃のリスクは拡大を続けています。こうした状況を受け、経済産業省が中心となり、独立行政法人情報処理推進機構(IPA : Information-technology Promotion Agency, Japan)が運営主体となる新たな制度が導入され、2025年3月から一部の運用が始まっています。
この制度は、IoT製品のセキュリティ水準を評価し、その結果をラベルとして表示できる仕組みです。ラベルを取得した製品は、利用者や調達側に対して「一定の基準を満たしている」ことを明示でき、信頼性向上に寄与します。家庭用のスマート家電から産業用制御機器まで、幅広いIoT製品が対象とされており、特にネットワークに接続される機器での活用が期待されています。
参考サイト(外部サイト):
IPA 独立行政法人 情報処理推進機構 | セキュリティ要件適合評価及びラベリング制度(JC-STAR)
https://www.ipa.go.jp/security/jc-star/index.html
「セキュリティ要件適合評価及びラベリング制度」の目的
「セキュリティ要件適合評価及びラベリング制度」には、大きく3つの目的があります。
- IoT製品に求められるセキュリティ要件を定め、業界標準を確立すること
- 各組織が求めるセキュリティ水準を満たした製品の選定・調達を容易にすること
- 海外にIoT製品を輸出する際の認証手続きの負担を軽減すること
共通の基準でIoT製品のセキュリティーを評価すれば、企業や行政は必要な水準を満たす製品を素早く選定でき、調達コストや検討時間を削減できます。さらに、医療・交通・エネルギーなど分野ごとに要件を明確化することで、業界全体の標準化も進みます。また、海外の適合性制度と連携し相互承認することも目指しており、輸出時の認証手続きが簡素化され、メーカーの負担軽減につなげることも狙いの一つです。
「セキュリティソリューション」ご紹介
こんなお悩みありませんか?
・稼働中のシステムがサイバー攻撃を受けないかどうか不安
・業界別のセキュリティ規格や認定が必要
・セキュリティ対策ツール導入のリソースがない、予算がない
オージス総研の「セキュリティソリューション」で解決
「コンサルティング」「診断」「開発・導入」「研修トレーニング」まで多岐にわたるセキュリティソリューションをご提供
「セキュリティ要件適合評価及びラベリング制度」の概略
IoT製品を対象としたセキュリティ要件適合評価及びラベリング制度は、2025年3月に運用が始まりました。独立行政法人情報処理推進機構(IPA)が主体となり、ラベル制度を含む仕組みとして導入されています。製品の安全性と信頼性を高めることを目的とした制度です。
運用体制
セキュリティ要件適合評価及びラベリング制度(JC-STAR)は、経済産業省の監督下でIPAが運営主体として管理しています。もともと情報セキュリティ評価認証制度(JISEC)を拡張する形で設計されており、既存の仕組みとの連続性も意識されています。
IPAの下には以下の組織が設けられ、制度を支えています。
- 運営審議委員会 : 認証業務運営の方針およびマネジメント等を審議
- 技術審議委員会 : 既存の委員会を引き継ぎ、適合基準や技術的課題を検討
- 適合基準検討ワーキンググループ(WG) : 製品類型ごとに具体的な適合基準案を策定
2025年3月時点で、下記の業界・分野において適合基準検討ワーキンググループ(WG)による検討が進められています(※)。
| 業界・分野 | WG等の名称 | 主な検討主体(幹事組織) | 検討対象の主な機器類型 | 検討内容、想定スケジュール等 |
|---|---|---|---|---|
| スマートホーム分野 | スマートホームSWG(産業サイバーセキュリティ研究会WG1) | 電子情報技術産業協会(JEITA)スマートホーム部会、電気通信機器連携セキュリティ協議会(CCDS) | スマートホーム関連機器 | 2024年7月より★1活用、★2のセキュリティ要件検討を開始し、2025年3月に検討結果を取りまとめ済み。今後は「電気通信機器連携セキュリティ協議会」での基準検討WGに引き継ぐ予定。 |
| 電力分野 | 電力SWG(産業サイバーセキュリティ研究会WG1) | 資源エネルギー庁 電力・ガス事業部 | PCS等 | 2024年度のSWGの中で、★1段階推進。将来的な★2以上の整備要否を検討。 |
| 電力分野 | 次世代の分散型電力システムに関する検討会 | 資源エネルギー庁 省エネルギー・新エネルギー部、資源エネルギー庁 電力・ガス事業部 | ERAB制御対象のIoT機器 | 2024年度中に策定予定の「ERABに関するサイバーセキュリティガイドライン」へのJC-STARラベルの活用(★1以上に対応)や、関連する記載の追加を検討。 |
| 電力分野 | DReady勉強会 | 資源エネルギー庁 省エネルギー・新エネルギー部 | ヒートポンプ給湯機、家庭用蓄電池 | 2024年度~2025年度にかけて整備予定の「ヒートポンプ給湯機の要求仕様」や「家庭用蓄電池のDReady要件」へのJC-STARラベル(★1以上)取得条件の追加を検討。 |
| 金融・流通分野 | 金融・流通関連端末★2★3検討WG | 日本自動販売システム機械工業会(JVM)、電気通信機器連携セキュリティ協議会(CCDS) | 金融端末(ATM、入出金機等)、流通端末(決済端末、POS端末等) | 2025年1月より★1活用、★2以上のセキュリティ要件検討を開始予定。2025年度に検討結果を取りまとめ、★2以上の整備に向けてJC-STAR制度の基準検討WGに引き継ぐ予定。 |
こうした多角的な体制により、専門性と公平性を担保しながら制度の信頼性を確保しています。
※出典 : 経済産業省.「JC-STAR制度の活用を検討している業界・WG等の一覧」.
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20241106_3.pdf ,(2025-03時点).(外部サイト)
対象となる製品
JC-STAR制度の対象となるのは、インターネットプロトコル(IP)を利用してデータを送受信する幅広いIoT機器および付随サービスです。
| 対象製品の例 | ●ルーターやネットワークカメラなどのインターネット接続機器 ●ハブやスイッチ、スマート家電 ●産業用制御機器 |
|---|---|
| 対象外製品の例 | パソコンやタブレット、スマートフォンなど、利用者が容易にセキュリティ対策を追加できる汎用IT機器 |
産業分野では特に、製造業の制御システム、エネルギー関連設備、交通分野のインフラ機器などが対象として想定されています。こうした範囲を明確にすることで、メーカーは自社製品が制度の対象に含まれるかどうかを判断しやすくなります。
適合性評価の方法
JC-STARでは、IoT製品の特性や利用環境に応じた評価レベルが設けられています。
| ★1 | IoT製品共通の最低限の脅威に対応する基準。ベンダーが自己評価し宣言する。 |
|---|---|
| ★2 | 製品カテゴリごとの特徴を踏まえ、★1に追加すべき基準を設けた段階。こちらもベンダーが自己評価する。 |
| ★3 | 政府機関や重要インフラ、大企業の重要システム向けに設定された高度な基準。第三者評価機関が評価を行い、IPAが認証する。 |
| ★4 | ★3と同様、重要システム向けに設定された高度な基準。★3よりもさらに高いセキュリティ要件を満たしていることを示す。 |
★1・★2は、ベンダー自身による自己評価方式のため、短期間で進められコストも抑えられる一方、評価の客観性には限界があります。これに対し★3・★4は、独立した第三者評価機関による審査とIPAの認証を必要とするため、時間やコストの負担は増えるものの、調達側にとっての信頼性が大幅に高まります。利用環境に応じて適切なレベルを選択することが重要です。
運用スケジュール
2025年3月時点で運用が始まっているのはセキュリティレベル★1のみです。★2や★3以上については順次拡大予定となっており、以下のような状況となっています。
| ★1 | 2025年3月より運用開始 |
|---|---|
| ★2 | 2026年1月以降に運用開始予定 |
| ★3以上 | 詳細な基準やスケジュールを検討中 |
現状では、★1はすでに運用を開始しており、★2は運用の見通しが立っている状況です。ただし、★3以上については詳細が定まっておらず、今後、適合基準検討ワーキンググループ(WG)で策定される予定となっています。
ラベルの使用方法や有効期限
JC-STAR制度で取得したラベルは、製品本体やパッケージ、マニュアル、パンフレット、Webサイトなどに任意で掲載できます。ラベルには二次元バーコードが含まれており、スキャンすることで次のような情報を確認できます。
- 製品情報やラベル情報
- 適合評価結果や安全情報
- 評価者の区分(ベンダー、有資格者、検証事業者、評価機関)
ラベルは「基準への適合を示すもの」であり、製品が完全に安全であることを保証するものではありません。特に自己適合宣言によるラベルの有効期限は最長2年と定められており、継続利用には定期的な更新が必要です。
この仕組みにより、利用者は安心感を得られるだけではなく、調達時の重要な判断材料にもなります。欧州のCEマークのような国際的な認証制度とも比較され、グローバルな製品展開においても有用です。
\欧州のセキュリティ規格準拠に向け、研修から脅威分析、設計支援までトータルサポート/
各セキュリティレベルの要件
JC-STAR制度では、IoT製品の利用環境や求められるセキュリティ水準に応じて、★1から★4までの複数段階が設けられています。基本的な脅威対策から高度な第三者認証まで、段階的に要件が整備されているのが特徴です。以下で各レベルの内容を順に解説します。
セキュリティレベル★1
セキュリティレベル★1は、すべてのIoT製品に共通して求められる最低限のセキュリティ要件を示す段階です。ここで対象となるのは、日常的に起こり得る基本的な脅威であり、メーカーが必ず押さえておくべき内容です。
★1で考慮される脅威は次の4つに分類されます。
- 不正アクセスやマルウェア感染等
- 通信の盗聴
- 廃棄・転売時の情報漏洩
- ネットワーク切断や停電による異常
ETSI EN 303 645やNISTIR8425等とも調和しつつ、独自に定める適合基準(セキュリティ技術要件)が定められています。
| No. | 適合基準 | ドキュメント評価で確認する内容 | 実機テストの有無 |
|---|---|---|---|
| S1.1-01 | 適切な認証に基づくアクセス制御 | 技術文書で「アクセス制御」「認証方式」が明示されているか。例えばどの認証方法を使っているか。 | なし |
| S1.1-02 | 推測されにくいデフォルトパスワードの使用と再設定の強制 | 製品マニュアル等で初期パスワードに関する方針が書かれているか。 | なし |
| S1.1-03 | 認証値の変更可能性 | 認証情報の変更方法がどのように行われるか、仕様書に記載されているか。 | なし |
| S1.1-04 | 総当たり攻撃への耐性 | 認証失敗時の制限など仕様として明記されていること。 | あり |
| S1.1-05 | 脆弱性開示ポリシーの公開 | メーカーウェブサイト等で「脆弱性報告の連絡先」「報告を受けてからの対応タイムライン」などが明記されているか。 | なし |
| S1.1-06 | ソフトウェア・コンポーネントのアップデート機能 | 技術仕様でアップデートの仕組み、バージョン管理、保持される方式が書かれていること。 | あり |
| S1.1-07 | ユーザー向けアップデートの手順の簡単さ | マニュアルやウェブサイトでアップデート手順が記載されているかどうか。 | なし |
| S1.1-08 | アップデート前の完全性の確認 | 技術仕様で、アップデート前にデジタル署名検証など完全性チェックの仕組みがあるか明記されているか。 | なし |
| S1.1-09 | アップデート優先度方針 | 手順書や方針文書などに優先度決定基準が記載されているかを確認。 | なし |
| S1.1-10 | 型式番号などの識別情報の明示 | 本体またはソフトのUI/アプリ等で型式番号の表示がどうされているか仕様書に記載されているか。 | あり |
| S1.1-11 | 機密なパラメータの安全な保存 | 技術文書でどのように保存するか(暗号化、アクセス制御等)が書かれているか。 | なし |
| S1.1-12 | 通信の秘密性(盗聴対策) | 仕様書等でどのプロトコル・暗号方式を使っているか、また通信環境に条件が記載されているか。 | なし |
| S1.1-13 | 未使用インターフェースの無効化 + 脆弱性検査 | 文書で「どのポート/インターフェースを無効にしているか」「脆弱性スキャンを行う」という記載があるか。 | あり |
| S1.1-14 | レジリエンス(停止や再起動後も状態を維持する) | 文書で再起動後の状態維持の仕様が記載されているか。 | あり |
| S1.1-15 | 保護情報の削除機能 | 取扱説明書や仕様で削除方法が示されているか | あり |
| A1.1-16 | 利用・廃棄時の情報提供 | マニュアル・Webサイト等に情報が記載されているか | なし |
例えば、出荷時の初期パスワードがそのまま利用されることは、実際に多数の不正アクセス被害を生んでおり、★1の基準でも考慮されています。これらの基準はあくまで最低限の対策であり、製品の完全な安全を保証するものではありません。
セキュリティレベル★2
セキュリティレベル★2は、★1の共通基準に加え、製品カテゴリごとの特性を踏まえて追加の要件を定める段階です。製品類型ごとの利用環境やリスクに応じた、より実践的な基準が盛り込まれます。
2025年3月時点で検討されているのは次の2つのカテゴリです。
- ネットワークカメラ
- 通信機器(ルーターやゲートウェイなど)
これらが優先された理由は、利用範囲の広さとセキュリティリスクの大きさにあります。特にネットワークカメラは不正アクセスによる映像流出が過去に大きな問題となっており、対策が急務とされています。
★2以上の製品カテゴリは、今後も順次拡張される予定です。例えば、以下のような分野が候補に挙げられています。
- 産業用制御機器
- スマート家電
- 医療関連IoT機器
先述のように制度の運用は2026年1月以降に始まる見込みです。各業界からの要望や政府調達の実態を踏まえて追加対象が決められるため、メーカーは今後の動向に注目する必要があります。
セキュリティレベル★3以上
セキュリティレベル★3以上は、政府機関や重要インフラ事業者、大規模企業システムでの利用を想定した高度な段階です。このレベルでは、自己評価ではなく、独立した第三者評価機関による審査とIPAの認証が必須となります。
★3や★4で想定されるのは、社会的影響が大きい分野です。具体的には以下のような製品が優先的に対象とされています。
- ネットワークカメラ
- ドローン
- ファイアウォール
- ルーター(有線・無線)
高い信頼性が求められるため、評価基準は厳格で、開発体制や運用プロセスもチェックされます。第三者評価を経ることで調達先や利用者に安心感を与え、国際的なビジネス展開においても有利に働きます。
国際連携・相互承認に向けて
EUのCyber Resilience Act (CEマーク)やアメリカのU.S. Cyber Trust Mark、英国のPSTI法、シンガポールのCybersecurity Labelling Schemeといった海外の制度との相互承認に向けて交渉中です。
IoT製品の脆弱性がもたらす安全保障上の脅威
IoT製品は近年急速に普及し、家庭用から産業用まで幅広く利用されています。しかしその裏で、これらの機器を狙ったサイバー攻撃も増加しており、安全保障上の大きなリスクとなっています。
代表的な事例として2016年の「Miraiボットネット」が挙げられます。世界中の数十万台に及ぶIoT機器が感染・乗っ取り被害を受け、大規模な分散型サービス拒否攻撃(DDoS)に利用されました。この事例は、IoT機器の脆弱性がいかに大規模な影響を及ぼすかを示しています。
さらに、近年では国家が支援する組織による攻撃も確認されており、単なる犯罪を超えて軍事や外交の手段としてサイバー攻撃が用いられるケースも増えています。特に電力・交通・通信といった重要インフラが攻撃を受けた場合、国民の生命や社会経済活動に深刻な影響を与える可能性があります。
ルーターやネットワークカメラなどは、パソコンやスマートフォンのように画面で利用状況を確認する機会が少なく、利用者が不正アクセスに気づきにくいことから標的にされやすい傾向があります。実際に海外では、こうしたIoT機器を踏み台にした攻撃が米国やEUで大規模障害を引き起こした事例も報告されています。
このような背景から、IoT製品の脆弱性対策は単なる企業のリスク管理にとどまらず、安全保障上の観点からも重要性を増しています。メーカーは自社製品を守るだけではなく、社会全体の安全性を確保するためにも、セキュリティ要件適合評価及びラベリング制度の活用を含めた積極的な対策が求められています。
適合評価ラベルの申請方法
IoT製品の適合評価ラベルは、セキュリティレベルに応じて申請方法が異なります。★1~2ではベンダー自身による自己適合宣言方式が用いられ、★3以上では第三者認証方式が採用されます。以下でそれぞれの流れを解説します。
★1~2の申請方法
セキュリティレベル★1~2のラベル取得は、自己適合宣言方式が基本です。まず、IoT製品ベンダーは自社製品のセキュリティ要件への適合状況を自己評価し、その結果をチェックリストにまとめます。このチェックリストは独立行政法人情報処理推進機構(IPA)へ提出され、IPAが内容を確認します。問題がなければ、適合評価ラベルが付与されます。
自己適合宣言方式のメリットは、短期間で申請できる点とコストが抑えられる点です。一方で、自己評価には正確性が求められるため、記載内容に不備があると認証が認められない可能性があります。提出後はIPAが形式面をチェックし、要件に適合していることが確認されて初めてラベルが利用可能となります。
チェックリストには、以下のような項目が含まれます。
- 出荷時パスワードの変更や認証機能の強化
- ソフトウェア更新手順の整備
- 通信データの暗号化の有無
- 廃棄時の情報消去手段
このように、自己適合宣言方式は迅速かつ効率的ですが、申請すれば必ず認証されるわけではありません。IPAの確認を経てラベル付与が行われる点を理解しておきましょう。
★3以上の申請方法
セキュリティレベル★3以上は、重要インフラや政府機関、大規模企業での利用を想定しているため、第三者認証方式が採用されます。ベンダーはまずIPAに申請を行い、その後、独立した評価機関が★3以上に定められた適合基準や評価手順に基づいて評価を実施します。
評価が完了すると、評価機関は結果を報告書としてIPAに提出します。IPAは認証機関として報告内容を精査し、基準適合が確認されれば正式に認証を行い、ラベルを付与します。さらに、サプライチェーン全体の安全性を確保するため、IPAは申請された製品のリスクについて経済産業省を含む関連機関に照会を行う仕組みも整えています。
第三者評価方式の最大の利点は、評価の信頼性が高まることです。これにより、調達先からの安心感が得られ、政府調達や海外展開の場面で有利になります。その一方で、評価機関への依頼や申請に時間とコストがかかるため、ベンダー側の負担は増える点に留意が必要です。
この方式による認証は「絶対的な安全」を保証するものではありませんが、海外の適合性制度との連携や相互承認も視野に入れており、輸出時の認証手続き簡素化やメーカー負担の軽減につなげることが期待されています。
まとめ
本記事では、セキュリティ要件適合評価及びラベリング制度(JC-STAR)の概要や目的、評価方法、申請手順について解説しました。制度は、増加するサイバー脅威に対応するために設けられ、★1~4のセキュリティレベルに分けて評価を行い、申請方法も自己適合宣言と第三者認証方式で区別されています。これにより、利用者は信頼できる製品を選びやすくなり、メーカーにとっても調達の効率化や国際展開における競争力向上が期待できます。IoTセキュリティを強化することは、利用者の安心感を高め、製品価値を維持するだけではなく、事業継続性の確保にも直結します。
さらに制度の活用に加えて、専門的な診断や外部コンサルティングを取り入れることも有効です。オージス総研では、IoT製品や組み込み機器を対象としたセキュリティ診断やコンサルティングサービスを提供しており、企業の状況に合わせた支援が可能です。組み込み機器やIoT製品のセキュリティーに課題を感じている場合には、ぜひお気軽にご相談ください。
IoT製品を対象としたセキュリティ診断・コンサルティングサービス概要資料
・組み込み セキュリティソリューション
・制御システム セキュリティソリューション
・IoTデバイス セキュリティソリューション
2025年10月21日公開
※この記事に掲載されている内容、および製品仕様、所属情報(会社名・部署名)は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。
関連サービス
-
セキュリティソリューション
組み込み機器、制御システム、IoTデバイスを対象とした、お客様の課題に応じたセキュリティソリューションをご提案します。
-
制御システムセキュリティリスク分析
大切な制御システムおよび工場を守るためには、セキュリティリスク分析をする必要があります。詳細版と簡易版のセキュリティリスク分析サービスを用意しています。
-
【IT研修・ラーニング】つながる組み込み機器のセキュリティ研修
近年、これまで単独で動いていたさまざまな組み込み機器がネットワークにつながり、セキュリティに真剣に取り組まなければなりません。 この研修では、つながる組み込み機器のセキュリティ上の課題や対策を、具体的にわかりやすくお伝えします。
