2025 年 08 月 07 日
JC-STAR とは? IoT 製品のセキュリティラベリング制度を解説
はじめに
近年、IoT 製品の急増に伴い、その脆弱性を狙ったサイバー攻撃の脅威が高まっています。警察庁の資料「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によれば、日本国内の脆弱性探索行為は増加傾向にあり、令和 6 年度には 1 日・1 IP アドレスあたりのアクセス件数は、約 9,500 件となっています。
諸外国でデジタル機器のサイバーセキュリティを強化する法整備が進む中、日本でも IoT 製品共通の脅威に対応するための制度として、2025 年 3 月より、セキュリティ要件適合評価及びラベリング制度 (JC-STAR: Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)の運用が開始されました。
JC-STAR とは?
JC-STAR は、2024 年 8 月に経済産業省が公表した「IoT 製品に対するセキュリティ適合性評価制度構築方針」に基づいて構築された制度で、IoT 製品を対象に、政府機関、民間企業から一般消費者まで共通的な物差しで IoT 製品に具備されているセキュリティ機能を評価・可視化することを目的としています。
セキュリティ水準に応じて ★1 から ★4 までの基準が設けられており、2025 年 8 月時点では、★1 のみが申請可能となっています。★1 では IoT 製品全般に必要となる「統一的な最低限度の適合基準」が設定されています。
参考 : セキュリティラベリング制度(JC-STAR)についての詳細情報
また、★1 では以下の 4 つの主な脅威が考慮対象となっています。
- ① 弱い認証機能により、② 脆弱性の放置により、③ 未使用インタフェースの有効化により、外部からの不正アクセスの対象となり、マルウェア感染や踏み台となる攻撃等を受けることで、情報漏えい、改ざん、機能異常の発生につながる脅威
- 機器の通信が盗聴され、守るべき情報が漏えいする脅威
- 廃棄・転売等された機器から、守るべき情報が漏えいする脅威
- ネットワーク切断や停電等の事象が発生した際に、セキュリティ機能に異常が発生する脅威
参考 : セキュリティ要件適合評価及びラベリング制度(JC-STAR)★1 レベル適合基準・評価手法
JC-STAR★1 の適合基準
では、JC-STAR★1 を取得するためには、どのような基準を満たす必要があるのでしょうか?
★1 を取得するためには、チェックリストに記載されている 16 個の適合基準を満たす必要があり、それぞれの基準に対しドキュメント評価および実機テストを実施する必要があります。
※以下は適合基準の要約であり、実際の基準についてはチェックリストをご確認ください。
| 適合基準 | ドキュメント評価 | 実機テスト | |
|---|---|---|---|
| 1 | IP 通信を介したアクセスに対して、適切な認証に基づくアクセス制御が行われていること。 | 対象 | |
| 2 | ネットワークを介したユーザ認証の仕組みにて、デフォルトパスワードが基準を満たすこと。 | 対象 | |
| 3 | ネットワークを介したユーザ認証において使用される認証値の変更を可能とすること。 | 対象 | |
| 4 | ネットワークを介したユーザ認証の仕組みについて、総当たり攻撃を困難とすること。 | 対象 | |
| 5 | 脆弱性開示ポリシーをウェブサイトなどに公開すること。 | 対象 | |
| 6 | IoT 製品に含まれるソフトウェアのアップデート機能について、基準を満たすこと。 | 対象 | |
| 7 | 容易かつ分かりやすい手順でソフトウェアのアップデートを実行可能とすること。 | 対象 | |
| 8 | ネットワーク経由でアップデートする際、ソフトウェアの完全性を確認できること。 | 対象 | |
| 9 | セキュリティアップデートの優先度を決定するための方針や指針を文書化すること。 | 対象 | |
| 10 | IoT 製品の型番は、定められた方法でユーザへ提供すること。 | 対象 | |
| 11 | ストレージに保存される守るべき情報資産は、セキュアに保存されること。 | 対象 | |
| 12 | ネットワーク経由で伝送される情報資産について、盗聴に対する保護対策が行われていること。 | 対象 | |
| 13 | 不要かつ攻撃を受けるリスクがある I/F を無効化し、脆弱性検査を実施すること。 | 対象 | 対象 |
| 14 | 停電からの復旧後、アクセス制御の際に使用する認証値が停電になる直前の状態に戻ること。 | 対象 | |
| 15 | ストレージに保存されたデータの削除機能について、基準を満たすこと。 | 対象 | 対象 |
| 16 | IoT 製品のサイバーセキュリティに関する情報提供について、基準を満たす対応を行うこと。 | 対象 |
JC-STAR★1 取得支援サービス
JC-STAR★1 については、自己適合宣言での申請が可能となっています。つまり、IoT 製品ベンダーが自分たちで上記 16 個の適合基準に対して、ドキュメント評価および実機テストを実施し、チェックリストを作成することで申請が可能です。
ただ、このような不安は無いでしょうか?
「ドキュメント評価というけれど、具体的にどのような記述があればいいのだろうか」
「実機テストのためのツール、自分たちだけで使いこなせるかなぁ」
このような IoT 製品ベンダーの不安にお応えするため、サイバートラストではJC-STAR★1 取得支援サービスをご用意しています。本コンサルティングメニューでは、ドキュメント評価および実機テストの実施、チェックリストまでの作成を提供しています。
さいごに
増加する IoT 製品の脅威に対するため、2025 年 3 月より JC-STAR★1 の運用が開始されました。
★1 については IoT 製品ベンダーによる自己適合宣言での申請も可能ですが、サイバートラストのJC-STAR★1 取得支援サービスの活用により、JC-STAR★1 対応工数を削減して開発プロセスに充てることで、お客様の IoT 製品の市場への投入を加速することができます。
JC-STAR 対応でお困りの際は、お気軽にサイバートラストにご相談ください。
