Skip to content
お問い合わせ

JC-STARとは?IoTセキュリティ認証制度について解説

By 

 

目次

  1. はじめに
  2. 各国のIoT製品に関する法規制の状況
  3. JC-STAR制度の概要
  4. 将来の方向性
  5. サイエンスパークにおける対応

 

1.はじめに

近年、IoT機器を標的としたサイバー攻撃は世界中で深刻化しており、その対策は喫緊の課題となっています。こうした状況を受け、各国でIoT機器のセキュリティに関する法制度やガイドラインの整備が急速に進められています。


こうした世界的な動向に対応するため、日本においてもIoT製品のセキュリティ認証制度「JC-STAR(Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)」の運用が2025年3月25日から開始されています。本記事では、改めてJC-STARの全体像を整理し、その要点と事業者に求められる対応について解説します。

 

2.各国のIoT製品に関する法規制の状況

主要国では、以下のような法規制やラベリング制度が導入されており、その中には罰則規定を含むものもあります。IoT製品を提供する事業者にとって、これらの規制への対応は必須となりつつあります。

  • 米国  消費者向けの無線IoT製品を対象とした、任意のサイバーセキュリティラベリング制度「U.S. Cyber Trust Mark2」を導入しています。
  • EU  「EUサイバーレジリエンス法(CRA)」により、製造者に対して上市(市場への投入)前のセキュリティ設計・開発や、上市後に発覚した脆弱性の報告などを義務付けています。罰則規定が含まれています。
  • 英国  「PSTI法」に基づき、消費者向けIoT製品の製造者に対し、最低限のセキュリティ基準への自己適合を求めています。
  • シンガポール  消費者向けIoT機器を対象とした、任意のセキュリティラベリング制度を導入しています。

 

3.JC-STAR制度の概要

JC-STARは、IoT製品のセキュリティを確保し、利用者が安心して製品を選択できる環境を整備することを目的とした制度です。

3.1.対象となるIoT製品

制度の対象は、IP(インターネットプロトコル)を用いてデータの送受信機能を持つ機器です。直接インターネットに接続しない機器でも、他の機器を介して接続できる場合は対象に含まれます。また、製品が意図した目的を達成するために必要なサービスも、製品の一部として扱われます。 ただし、複数の機器で構成されるような大規模な「システム」は対象外とされています。

一方で、パソコンやスマートフォンのように、利用者が自身で容易にセキュリティ対策ソフトウェアなどを追加できる汎用的なIT製品は対象外です。しかし、汎用OSを搭載していても、利用者が容易にセキュリティ対策を追加できない構造のIoT製品は対象と見なされます。

 

3.2 準拠するセキュリティ要件

JC-STARのセキュリティ要件は、ETSI EN 303 645、NISTIR 8425、EU-CRAといった国内外の主要なセキュリティ要件や基準を踏まえて整理されています。

 

3.3 段階的なセキュリティレベル

本制度では、セキュリティ要件の厳しさに応じて4つのレベルが設定されています。レベル1が最も基本的な要件であり、数字が大きくなるほど高度な対策が求められます。2025年9月現在、認証取得が可能なのはレベル1のみとなっています。 現在は任意の認証制度ですが、諸外国の動向を踏まえると、将来的には義務化される可能性も考えられます。

 

3.4 製品類型に応じた評価

製品の特性に応じて、求められるセキュリティ要件や評価手順が設定される点が特徴です。これにより、製品に対して過剰または不十分なセキュリティ対策が求められることを防ぐ仕組みになっています。

 

3.5 具体的な適合性評価レベル

各レベルの概要は以下の通りです。レベル1は製品共通ですが、レベル2以上では製品の特性を考慮した要件が定められる予定です。

  • レベル1  製品に共通して求められる最低限のセキュリティ要件を定め、IoT製品ベンダーが自ら適合を宣言します。
  • レベル2  製品類型ごとの特徴を考慮し、レベル1に追加すべき基本的なセキュリティ要件を定め、IoT製品ベンダーが自ら適合を宣言します。
  • レベル3 ・ レベル 4  政府機関や重要インフラ事業者など、高いセキュリティが求められるシステムでの利用を想定した要件を定めます。このレベルでは、独立した第三者による評価・認証が必要です。

 

4.将来の方向性

4.1 政府調達や重要インフラでの活用

政府機関や重要インフラ事業者が製品を調達する際のセキュリティ要件にJC-STARが組み込まれていくことが想定されています。特に重要インフラ分野など、社会的に影響の大きいシステムで活用される製品については、早い段階で業界標準の一つとなる可能性が高いと考えられます。

 

4.2 国際的な相互承認

現在、IoT機器の製造事業者は、製品の出荷先に応じて各国の異なるセキュリティ法規に対応する必要があり、その負担が大きな課題となっています。

JC-STARではこの状況を鑑み、本制度の認証を取得することで、他国の認証を省略または簡略化できる「相互承認」の仕組みを検討しています。これが実現すれば、事業者のセキュリティ対策コストの削減が期待されます。具体的には、EUのCRAや英国のPSTIなども相互承認の対象として考慮されています。

 

5.サイエンスパークにおける対応

レベル1およびレベル2は、IoT製品ベンダーによる自己評価が可能ですが、実施には一定のセキュリティ知見が求められるため、多くの時間や工数がかかることが想定されます。そのため、ベンダーは評価機関や検証事業者に評価を依頼することができます。

サイエンスパークは、経済産業省が定めた要件を満たしているという認定である情報セキュリティサービス台帳の「機器検証サービス」として登録されているので、評価を行うことができます。
情報セキュリティサービス台帳 https://sss-erc.org/iss_books/023-0027-50/

サイエンスパークでは現在、レベル1の取得補助を行っており、来年以降から始まるレベル2〜レベル4への対応も予定しています。
https://sciencepark.co.jp/iot_security/bugdas/jcstar/

 

関連リンク

 弊社、サイエンスパーク株式会社は1994年の創業より、ソフトウェア・ハードウェアのセキュリティ対策をおよそ30年に渡り続けてまいりました。
 各種製造・開発におけるセキュリティリスクの診断から対策導入・運用までのお手伝いが可能ですので、ご相談だけでもお気軽にお問い合わせくださいませ。

SBOMスキャナ     
IoT脆弱性診断サービス  
資料ダウンロード    
お問い合わせはこちら