IoT製品向け「セキュリティ要件適合評価及びラベリング制度」(JC-STAR)、2025年3月から運用開始へ IPA

掲載:2024年10月11日

サイバー速報

         
目次

情報処理推進機構(IPA)は9月30日、IoT製品のセキュリティ適合性を評価する「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」(以下、JC-STAR)の運用を2025年3月から開始すると発表しました。IoT製品のセキュリティ機能を共通のものさしで評価・可視化することを目的としています。

IoT製品のセキュリティ対策は、ベンダー側から調達者・消費者に向けたアピールが難しく、調達者・消費者側も製品のセキュリティ対策が適切かどうかを判断しにくいといった課題が指摘されていました。これを解決するため、JC-STARでは、IoT製品共通の最低限の脅威に対応するための基準=★1(レベル1)と製品の類型ごとの特徴に応じた基準=★2(レベル2)、★3(レベル3)、★4(レベル4)を定め、適合が認められた製品には二次元バーコード付きの適合ラベルを付与し、製品詳細や適合評価、セキュリティ情報などを調達者・消費者が簡単に取得できるようにしました。

適合ラベルの取得について、レベル1とレベル2では、各ベンダーがJC-STARの評価手順に沿って自己評価を行い、その結果に基づいてIPAが適合ラベルを付与する「自己適合宣言」方式となります。ただ、取得負担の軽減と信頼性確保のバランスを取るために、疑義が生じた場合は検査やサーベイランスを行い、適合ラベルを取り消すこともあり得るという仕組みを導入しました。他方、レベル3以上は、政府機関や重要インフラ事業者向けのIoT製品を想定しています。そのため、独立した第三者機関が評価したうえでIPAがラベルを付与する「第三者認証」方式となります。

JC-STARは諸外国の制度との連携・相互承認も目指しています。IoT製品ベンダーが製品を海外に輸出する際に求められる適合性評価の負担を軽減するねらいで、現在はシンガポール(Cybersecurity Labelling Scheme)、英国(PSTI法)、米国(U.S. Cyber Trust Mark)、EU(CRA法)などの各国担当機関との間で相互承認に向けた交渉が行われています。

IPAは、制度の説明会を11月頃に実施する予定で、申請方法などを紹介するガイドについても準備ができ次第、IPA公式ウェブサイトで公開します。なお、レベル1については2025年3月から申請の受付を開始する予定です。