JC-STARとは?IoTセキュリティ認証制度・レベルについて解説
目次
1. はじめに
近年、IoT機器を標的としたサイバー攻撃は激化の一途を辿っています。
NICT(情報通信研究機構)の観測データによれば、2024年のサイバー攻撃関連パケット数は過去最高を記録しており、特にコンシューマ向け機器を狙った攻撃が深刻化しています。
こうした状況を受け、各国でIoT機器のセキュリティに関する法制度やガイドラインの整備が急速に進められています。
日本では経済産業省の指針に基づき、独立行政法人情報処理推進機構(IPA)が運営を担う新たな認証制度「JC-STAR(Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)」が2025年3月25日より始動しました。
本記事では、改めてJC-STARの全体像を整理し、その要点と事業者に求められる対応について解説します。
2. 各国のIoT製品に関する法規制の状況
主要国では、以下のような法規制やラベリング制度が導入されており、その中には罰則規定を含むものもあります。IoT製品を提供する事業者にとって、これらの規制への対応は必須となりつつあります。
| 地域 | 制度・法案名 | 特徴 |
| 米国 | U.S. Cyber Trust Mark | 消費者向け無線IoT製品を対象とした任意ラベル制度。 |
| EU | サイバーレジリエンス法(CRA) | 罰則規定あり。 製造者に設計段階からの対策と脆弱性報告を義務付け。 |
| 英国 | PSTI法 | 消費者向け製品に対し、初期パスワードの禁止等を義務付け。 |
| 日本 | JC-STAR | 国内外の基準(EN 303 645等)と調和した、日本発の評価制度。 |
3. JC-STAR制度の概要
JC-STARは、IoT製品のセキュリティを確保し、利用者が安心して製品を選択できる環境を整備することを目的とした制度です。

「JC-STAR」ロゴ
【出典】
セキュリティラベリング制度(JC-STAR)についての詳細情報 | IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/jc-star/detail.html
評価をクリアした製品には、星の数(★)でランクを示した「適合ラベル」が付与されます。
ラベルには二次元バーコードが印字されており、ユーザーはスマホで読み取るだけで、製品のセキュリティ仕様やサポート終了日、問い合わせ先などの詳細情報に即座にアクセス可能です。
そのためユーザーの目線でも、必要な情報にアクセスしやすくなるというメリットがある制度になっています。

3.1. 対象となるIoT製品
制度の対象は、IP(インターネットプロトコル)を用いてデータの送受信機能を持つ機器です。直接インターネットに接続しない機器でも、他の機器を介して接続できる場合は対象に含まれます。また、製品が意図した目的を達成するために必要なサービスも、製品の一部として扱われます。 ただし、複数の機器で構成されるような大規模な「システム」は対象外とされています。
一方で、パソコンやスマートフォンのように、利用者が自身で容易にセキュリティ対策ソフトウェアなどを追加できる汎用的なIT製品は対象外です。しかし、汎用OSを搭載していても、利用者が容易にセキュリティ対策を追加できない構造のIoT製品は対象と見なされます。
3.2 準拠するセキュリティ要件
JC-STARのセキュリティ要件は、ETSI EN 303 645、NISTIR 8425、EU-CRAといった国内外の主要なセキュリティ要件や基準を踏まえて整理されています。
3.3 段階的なセキュリティレベル
本制度では、セキュリティ要件の厳しさに応じて4つのレベルが設定されています。レベル1が最も基本的な要件であり、数字が大きくなるほど高度な対策が求められます。2025年9月現在、認証取得が可能なのはレベル1のみとなっています。 現在は任意の認証制度ですが、諸外国の動向を踏まえると、将来的には義務化される可能性も考えられます。
なお、IPAではレベル1で実現したいセキュリティ水準として、以下のものを示しています。
| 概要 | 詳細 |
| ボット化の阻止 | 機器が踏み台にされ、攻撃に加担してしまうリスクを低減する。 |
| 一般攻撃への耐性 | 公開ツール等を用いた、いわゆる「スクリプトキディ」レベルの不正アクセスを遮断する。 |
| 継続的なサポート | 脆弱性発覚時の修正パッチ提供など、運用期間中の保護。 |
| 適切なデータ破棄 | 廃棄時に利用者の情報を確実に消去できる機能の保有。 |
【出典】IPA 独立行政法人 情報処理推進機構
IoT製品のセキュリティ確保に向けて
〜セキュリティ要件適合評価及びラベリング制度(JC-STAR*)の紹介〜
https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf
3.4 製品類型に応じた評価
製品の特性に応じて、求められるセキュリティ要件や評価手順が設定される点が特徴です。これにより、製品に対して過剰または不十分なセキュリティ対策が求められることを防ぐ仕組みになっています。
3.5 具体的な適合性評価レベル
各レベルの概要は以下の通りです。レベル1は製品共通ですが、レベル2以上では製品の特性を考慮した要件が定められる予定です。
| レベル | 概要 |
| レベル1 | 製品に共通して求められる最低限のセキュリティ要件を定め、IoT製品ベンダーが自ら適合を宣言します。 |
| レベル2 | 製品類型ごとの特徴を考慮し、レベル1に追加すべき基本的なセキュリティ要件を定め、IoT製品ベンダーが自ら適合を宣言します。 |
| レベル3・レベル4 | 政府機関や重要インフラ事業者など、高いセキュリティが求められるシステムでの利用を想定した要件を定めます。このレベルでは、独立した第三者による評価・認証が必要です。 |
4. JC-STARに関する将来の方向性
4.1 政府調達や重要インフラでの活用
政府機関や重要インフラ事業者が製品を調達する際のセキュリティ要件にJC-STARが組み込まれていくことが想定されています。特に重要インフラ分野など、社会的に影響の大きいシステムで活用される製品については、早い段階で業界標準の一つとなる可能性が高いと考えられます。
4.2 国際的な相互承認
現在、IoT機器の製造事業者は、製品の出荷先に応じて各国の異なるセキュリティ法規に対応する必要があり、その負担が大きな課題となっています。
JC-STARではこの状況を鑑み、本制度の認証を取得することで、他国の認証を省略または簡略化できる「相互承認」の仕組みを検討しています。これが実現すれば、事業者のセキュリティ対策コストの削減が期待されます。具体的には、EUのCRAや英国のPSTIなども相互承認の対象として考慮されています。
2026年3月18日には、JC-STAR★1のラベル取得に必要な技術基準と、シンガポールのIoTセキュリティ認証制度であるCLSレベル1の取得に必要な技術基準のうちの一部を同等とみなす旨に合意する「IoT製品のためのサイバーセキュリティ制度の相互承認に関する協力覚書」に署名が行われました。
本相互承認は同年6月1日より行われ、CLSレベル1のセキュリティ要件とJC-STAR★1のセキュリティ要件のうち、同等とみなすセキュリティ要件について相互承認し、同等とみなす要件については適合確認手続が免除される形になります。
5. サイエンスパークの支援体制
レベル1およびレベル2は、IoT製品ベンダーによる自己評価が可能ですが、実施には一定のセキュリティ知見が求められるため、多くの時間や工数がかかることが想定されます。そのため、ベンダーは評価機関や検証事業者に評価を依頼することができます。
サイエンスパークは、経済産業省が定める「情報セキュリティサービス基準」に適合した「機器検証サービス」事業者として登録されています。 30年にわたるセキュリティ開発の知見を活かし、包括的なコンサルティングと検証サービスを提供いたします。
情報セキュリティサービス台帳 https://sss-erc.org/iss_books/023-0027-50/
サイエンスパークでは現在、レベル1の取得補助を行っており、レベル2〜レベル4への対応も予定しています。
IoT製品のJC-STAR対応について不安がある、あるいは具体的な検証手順を知りたいというベンダー様は、ぜひお気軽にご相談ください。
https://sciencepark.co.jp/iot_security/bugdas/jcstar/
関連リンク
弊社、サイエンスパーク株式会社は1994年の創業より、ソフトウェア・ハードウェアのセキュリティ対策をおよそ30年に渡り続けてまいりました。
各種製造・開発におけるセキュリティリスクの診断から対策導入・運用までのお手伝いが可能ですので、ご相談だけでもお気軽にお問い合わせくださいませ。