はじめに
私たちの身の回りには、いまや数えきれないほどのIoT機器が存在しています。
Wi-Fiルーターやスマートスピーカーといったネットワーク機器はもちろんのこと、防犯カメラやスマート家電などもインターネットに接続して利用するのが当たり前になっています。
インターネットに接続された機器は生活やビジネスを便利にしてくれる一方で、セキュリティ上のリスクを抱えていることも事実です。
近年では、IoT機器がサイバー攻撃の踏み台にされる事件や、不正アクセスにより利用者のプライバシーが侵害されるケースも増えています。
このような背景のもと、日本では2025年3月から「JC-STAR」というIoT製品に対するセキュリティ基準の評価制度が開始しました。
JC-STARは、一定のセキュリティ要件を満たした製品に「JC-STARラベル」を付与する仕組みであり、消費者や企業が安心してIoT機器を選べる新しい指標となります。
今回の記事では、JC-STARについての概要や仕組みなどについて解説いたします。
「JC-STAR」とは何か
JC-STARの正式名称は「セキュリティ要件適合評価及びラベリング制度(Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)」といい、IPA(情報処理推進機構)が主導する評価制度です。
(引用元:IPA セキュリティラベリング制度(JC-STAR)についての詳細情報)
2024年8月に経済産業省が公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づき構築された制度で、IoT製品を対象としてセキュリティ機能を一定の基準で評価・可視化することを目的としています。
IoT製品のスペック表やカタログには「通信速度」や「機能性」は書かれていますが、セキュリティ機能については曖昧に表現されることが多く、消費者には「この製品はサイバー攻撃に強いのか?」を判断するのは非常に難しい状況でした。
JC-STARは、その課題を解決するために導入された制度であり、セキュリティ対策が一定基準を満たしていることを第三者機関が評価し、その証としてラベルやロゴを記載することでIoT機器のセキュリティを「見える化」できる制度になっています。
JC-STARの評価対象と仕組み
評価対象
JC-STARが取得できる対象は、インターネットプロトコル(IP)を使用したデータ送受信機能を持つIoT機器です。
例として以下のような製品が対象となります。
- ネットワーク機器(ルーター、アクセスポイント、ハブなど)
- ファイルサーバー
- ネットワークカメラ
- スマート家電(エアコン、冷蔵庫、電子レンジなど)
- オフィス機器(ネットワークプリンタ、複合機など)
- 電気事業関連機器(スマートメーター、発電設備など)
- エネルギー関連機器(エネファーム、PCS、ガス給湯器など)
このように幅広い分野の製品が実際にJC-STARを取得しており、改めてIoTの広がりを感じることができるとともに、思いもよらないところでセキュリティの対策が必要なことも気づかされます。
適合基準によるレベル区分
JC-STARは★1(レベル1)~★4(レベル4)までの段階に分かれています。
★1はすべての製品に共通する最低限の適合基準を満たす製品が取得でき、それ以上のレベルでは製品種別ごとに定められた適合基準を満たすことで取得できます。
また、★1と★2は自己適合宣言で付与されますが、★3以上は第三者による評価・認証が必要となります。
(引用元:IPA セキュリティラベリング制度(JC-STAR)についての詳細情報)
以下のページで現在JC-STARを取得している製品の一覧が確認できます。
IPA 適合ラベル取得製品リスト
まだ導入間もない制度ということで取得している製品は★1のみになっていますが、今後運用が進んでいけばさらに上位のレベルの製品も出てくるものと思われます。
一般利用であれば★1~2でも十分な要件を満たすことができ、政府機関や重要なインフラで利用される場合には★3~4が推奨されるという想定になっているようです。
評価基準の具体例
JC-STARで確認されるセキュリティ要件には、例として以下のようなものがあります。
- 通信の暗号化
製品がインターネット通信を行う際、暗号化が適切に施されているか。 - 初期パスワード管理
購入時に共通の弱いパスワードが設定されていないか、ユーザーに変更を促す仕組みがあるか。 - アップデート機能
脆弱性が発見された際に、メーカーが修正プログラムを提供できる体制があるか。 - ログ管理
不正アクセスの痕跡や利用状況を記録できるか。
これらの要件は★1の「最低限のセキュリティ対策」に含まれており、JC-STARが付与されているIoT製品は、ネットワークが安全に利用できる最低要件を満たせていると分かり易くとらえることができます。
JC-STARのメリット
サイバー攻撃の頻度は依然増加傾向にあり、2021年の統計ではサイバー攻撃全体の18.3%がIoT製品を狙ったものと言われています。
(引用元:国立研究開発法人情報通信研究機構 NICTER観測レポート2021の公開)
これを考えると、IoT製品自体に適切なセキュリティ対策が施されているかは非常に重要なポイントになります。
しかし、IoT製品の商品説明は製品の主要機能が重要視されるため、商品の種別によってはネットワークセキュリティについてあまり詳細に説明されない場合もあります。
そこで、メーカー側はJC-STARを取得して商品パッケージやWebサイトで提示することで、セキュリティ対策が適切にされているIoT製品であると分かり易く消費者に伝えることができます。
また、メーカー側はセキュリティ対策への取り組みをアピールできるようになり、他社製品との差別化による価値向上なども期待できます。
消費者側は、セキュリティ対策できている製品かどうかがロゴの有無によりとても分かり易くなり、セキュリティの高い製品を選択し易くなります。
さらに、JC-STARを取得した安全性の高い商品が浸透することでIoT製品に対するサイバー攻撃の減少につながり、結果的にはIoT製品を踏み台としたDDos攻撃など社会全体的なサイバー攻撃の減少といった効果も期待できます。
まとめ
2025年3月から運用開始となった新しい制度のため、残念ながらまだ認知度が高いとは言えない制度ではありますが、今後JC-STARを取得・提示するIoT製品が増えてくることにより認知度が高まっていくことを期待したいです。
ただ、2025年10月現在ではバッファロー、ヤマハ、パナソニック、キヤノンなど多くの有名企業がJC-STARを取得した製品を販売しており、今後JC-STARがセキュリティに関する指標の定番として認知されるまで定着できるかが重要になりそうです。
私たちIoT製品の利用者としても、IoT製品を狙ったサイバー攻撃があることを認識し、それに備える重要性を理解する必要があります。
そのためにも、このJC-STARの制度を上手に利用してセキュリティ対策が適切に施されている製品を選ぶように心がけたいところです。
この記事をご覧になった皆様も、ぜひIoT製品を選ぶ際にJC-STARを取得した商品かどうか注目していただき、セキュリティ対策の重要性を意識していただければ幸いです。
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet02.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet03.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
