JC-STAR「★3」審査の信頼性担保へ、IoT製品のセキュリティ評価機関に対する認定プログラムを開始 NITE
製品評価技術基盤機構(NITE)はこのほど、JC-STAR(セキュリティ要件適合評価及びラベリング制度)において製品の審査を担う「第三者評価機関」に対する認定プログラムを創設し、申請の受け付けを開始しました。NITEは「製品評価技術基盤機構認定制度(ASNITE:アズナイト)」という事業を行っている機関であり、この制度を活用してJC-STARの第三者評価機関についても評価・認定を行います。
近年、あらゆる機器がインターネットにつながるIoT化が進む一方で、サイバー攻撃のリスクも増大しています。こうした中、安全な製品選びの指標として経済産業省が整備したのが、IoT製品のセキュリティ対策状況を星の数で可視化する「JC-STAR(セキュリティ要件適合評価及びラベリング制度)」です。制度は2025年3月から情報処理推進機構(IPA)によって運用されています(但し、2025年は「★1(レベル1)」のみの申請が可能)。
取得した適合ラベルは、製品本体やパッケージ、ホームページなどに記載することができます。これによりIoT機器メーカーなどは、自社のセキュリティ対策の取り組みを購入者や調達者に分かりやすくアピールできます。
「★1(レベル1)」や「★2(レベル2)」は一般的な用途を想定しており、製品を開発したメーカー自身の自己適合宣言(自己申告)で適合ラベルを取得することが可能です。一方、政府機関や重要インフラなどで使用される、極めて高度なセキュリティが求められる「★3(レベル3)」以上の製品においては自己申告が認められず、メーカーから独立した「第三者評価機関」(試験所)による厳格な適合性評価が義務付けられています。すなわち、試験所が安全基準を満たしているか適合評価を行い、その結果をIPAが最終確認して認証、ラベル付与となります。
今回NITEが新しく始めた認定プログラムは、「★3(レベル3)」製品の審査を担う第三者評価機関に対し、NITEが公式な認定を与えるというものです。第三者評価機関はIoT製品のセキュリティ機能や対策状況を評価する役割のため、この第三者評価機関(試験所)自体の質の担保が重要となります。NITEは国際規格ISO/IEC 17025に照らし合わせて試験所を審査します。具体的には、設備や人員の専門性、マネジメント体制などを評価します。
