セキュリティ要件適合評価及びラベリング制度（JC-STAR)について

y-sakonji
6月17日
読了時間: 5分

更新日：6月18日

経済産業省の方針に基づき、独立行政法人情報処理推進機構（IPA）が2025年3月に運用開始したセキュリティ要件適合評価及びラベリング制度（JC-STAR: Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements）について本記事ではまとめています。

<背景＞

現在、家電製品や車、医療、農業、工業等広くさまざまな分野でIoT製品が普及しています。IoT（Internet of Things）とは「モノ」がインターネットにつながり、相互で情報をやりとりする仕組みです。IoT製品は私たちの暮らしや社会を便利にしてくれる一方で、セキュリティリスクの増大およびセキュリティ対策において次のような課題がありました。

IoT製品ベンダー側：調達者・消費者にセキュリティ対策をアピールするのが難しい

調達者、消費者側：製品のセキュリティ対策が適切かどうかの判断が難しい

調達時に製品のセキュリティ機能や対策状況を確認するのが難しい

出典：IoTのセキュリティ | 情報セキュリティ | IPA 独立行政法人情報処理推進機構

＜概要＞

これらの課題を解決するために、セキュリティ要件適合評価及びラベリング制度（JC-STAR）が導入されました。

JC‐STARとは、国内外の規格とも調和しつつ、独自に定める適合基準（セキュリティ技術要件）に基づき、IoT製品に対する適合基準への適合性を確認・可視化する制度で日本独自のものです。

インターネットとの通信が行える幅広いIoT製品を対象として、共通的な物差しで製品のセキュリティ機能を評価・可視化することを目的としています。

＜具体的な施策内容＞

求められるセキュリティ水準に応じて、★１～★４（レベル１～４）を定め、適合が認められたIoT製品には、二次元バーコード付きの適合ラベルが付与されます。

IoT製品のベンダー側は取得したラベルを製品本体、パッケージ、パンフレット、ホームページ等に記載、添付することができ、消費者に安全性をアピールすることができます。

また、消費者側はこのラベルから製品詳細や適合評価、セキュリティ情報・問合せ先等の情報を取得することができるので、より安全な製品を選びやすくなります。

出典：セキュリティ要件適合評価及びラベリング制度（JC-STAR） | 情報セキュリティ | IPA 独立行政法人情報処理推進機構

適合基準の位置づけは以下の表の通りです。★１、★２はベンダーの自己適合宣言方式ですが、適合基準への疑義が生じた場合はIPAが検査やサーベイランスを行い、適合ラベルの取り消しもあり得る仕組みを取り入れることで信頼性のバランスをとっています。

出典：セキュリティラベリング制度（JC-STAR）についての詳細情報 | 情報セキュリティ | IPA 独立行政法人情報処理推進機構

2025年3月25日より★１の適合ラベルの申請が始まりました。そこで公開されている★１の適合基準、評価を一部抜粋してみてみようと思います。

次の表では★１で対象となる脅威に対抗するため実現すべき対策の一覧がまとめられています。

　出典：https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20241106_2.pdf

これらの対策に応じてセキュリティ要件が定められ、その内容に応じて適合基準が設定されています。製品が適合基準を満たしていると評価・判断されると適合ラベルを取得することができます。

出典：https://www.ipa.go.jp/security/jc-star/tekigou-kizyun-guide/label1/begoj90000004zgc-att/JC-STARlevel1_tekigoukizyun_hyouka.pdf

【セキュリティ要件】

1-1. パスワードが使用され、工場出荷時のデフォルト以外の状態にある製品において、す

べてのパスワードは、機器ごとに固有であるか、又はユーザによって定義されるもの

でなければならない。

1-2. プリインストールされた固有のパスワードを使用する場合、自動化された攻撃への耐

性をもつために、パスワードは十分なランダム性を保有しなければならない。

【★1適合基準S1.1-02】

IoT製品に対するネットワークを介したユーザ認証の仕組み、又は、IoT機器初期設定時のクライアント認証の仕組みにてパスワードを使用するIoT製品において、IoT製品導入時にデフォルトパスワードが使用される場合に、以下の①・②のいずれかの基準を満たすこと。

　①デフォルトパスワードは、IoT機器毎に異なる一意の値で、容易に推測可能でない6文　　字以上のパスワードであること。

　②デフォルトパスワードは、初回起動時にユーザによるパスワード変更を必須とする機能を実装し、当該機能において設定可能なパスワードとして、8文字以上のパスワードの設定を強制させること。

対象外（NA）となるための条件、基準の補足説明

【対象外（NA）となるための条件】

ネットワークを介したパスワードを利用したユーザ認証の仕組みがない

（「対象外（NA）であることの理由」に、脅威に対抗するためにパスワードを利用したユーザ認証が必要ない根拠を記載すること）

【★１評価手法】

ドキュメント評価：対象とする

IoT製品の技術文書において、ネットワークを介したユーザ認証の仕組みにて、パスワード利用したIoT製品導入時にデフォルトパスワードに関する対策が明示されていることを評価する。

実機テスト：なし

一部抜粋：セキュリティ要件適合評価及びラベリング制度（JC-STAR)★1レベル適合基準・評価手法

<諸外国との連携＞

諸外国でもIoT製品のラベリング制度があります。IoT製品の海外輸出時に求められる適合性評価にかかるベンダーの負担を軽減するため、各国の制度と相互承認することも目指しています。

<まとめ＞

本制度は任意の制度でベンダー側には義務づけられていません。またラベルがあるからといって100％の安全は保証されていないことにも消費者は留意しなければいけません。

しかし消費者はラベルを見ることでセキュリティの高い商品をより簡単に選ぶことができるようになるため、ラベルを取得した製品が選ばれ普及すると考えられます。

Comments