本格的なIoT社会が到来しつつある今、国際的な急務であるのが、サイバー攻撃の対象となりやすいIoT製品のセキュリティ確保です。世界各国でIoT製品のセキュリティラベリング制度が整備されているなか、日本でも「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」が2025年3月から開始されます。本制度の目的や対象、運営するIPAが公開した制度設計について解説します。
昨今、リモート操作が可能な家電や空調機器、スマートスピーカー、スマートウォッチなど、インターネットに接続されたモノ、いわゆるIoT製品は私たちにとって身近なものとなっています。一方で、セキュリティ分野の世界的な研究者であるミッコ・ヒッポネン氏の「スマートなものは脆弱である」という言葉に代表されるように、利便性の高いこのIoT製品に対して、私たちはセキュリティについて注意を払わなければいけません。
実際に、IoT製品に対するサイバー攻撃は、2021年の上半期のみで2020年の2倍以上の規模で発生しています(※1)。このようなIoT製品への脅威の高まりから、世界各国でIoTに関するセキュリティ対策が整備されつつあり、セキュリティ業界における大きな動向のひとつとなっています。
本稿では、日本におけるIoT製品のセキュリティ対策として、2025年3月から運用が開始される「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」について取り上げ、その概要と具体的な対応について説明します。この記事がIoTセキュリティの理解・実践の第一歩となれば幸いです。
IoT製品セキュリティラベリング制度の背景
まず、IoTとは「モノのインターネット」と説明され、もっと正確に言えば、「インターネットを介してデータをやり取りするモノ(デバイス)」を指します。例えば、産業で用いる産業用IoTを例に考えると、具体的には、工場の温度管理などを行うデバイスや、物流と在庫管理、エネルギー管理に用いるデバイスなどが該当します。
そうしたデバイス、IoT製品に対する脅威が叫ばれる背景として、IoT製品の管理が手薄になりやすいという点があります。製品の管理が行き届かなくなると、セキュリティパッチの更新が遅れるなど脆弱性が残りやすくなり、結果としてサイバー攻撃の恰好の的となってしまいます。
また、もう一つの特徴として、サイバー攻撃の対象となりうる、IoT製品の数が膨大であるという点も挙げられます。具体的には、IoT製品の数は2029年までに150億台に到達すると予測されています(※2)。このように、セキュリティ対策の遅延傾向と攻撃対象となる母数の多さから、IoT環境はサイバー被害の温床になりやすい現状があるのです。
上記のような脅威の高まりに伴い、IoT製品のセキュリティ向上を目的として世界各国でIoT製品セキュリティラベリング制度が続々と誕生しています。IoT製品のセキュリティレベルを可視化することで、企業を含む消費者が購入するにあたっての指標にすることを意図しています。(海外のIoTセキュリティラベリング制度については、こちらのNavi記事をご参照ください。)
そのような世界各国の動きに呼応して、日本でも「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の運用が2025年3月から開始します。諸外国制度とのハーモナイゼーションのために、ETSI EN 303 645やNISTIR 8425などの規格とも調和した、IoT製品のセキュリティ機能を評価・可視化できる制度として構築されます。本制度により、政府や企業、消費者が自ら求めるセキュリティ水準のIoT製品を簡単に選定でき、国内のIoT製品ベンダーのグローバルマーケットにおける展開を容易にします。任意制度ではありますが、認証取得を政府の公共調達の要件にするとの発表もされており、また対象となるIoT製品は日本国内だけでも16億台に上ることから、その影響は非常に大きいと言えます。
JC-STARの概要
日本の「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」は経済産業省が公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づき構築された制度でIPAにより運用されます。公式の説明としては、「独自に定める適合基準(セキュリティ技術要件)に基づき、IoT製品に対する適合基準への適合性を確認・可視化する制度」と定義され、以下の3つを主目的として制度を構築しています。
- 政府機関や企業等で調達する製品について、共通の物差しでIoT製品のセキュリティを評価・可視化できるようにすることで、各組織の求めるセキュリティ水準を満たしたIoT製品の選定・調達を容易にする。
- 特定分野のシステムに組み込まれて調達・利用されるIoT製品に求められるセキュリティ要件を定め、必要な認証・ラベルを各業界団体等で指定できるようにすることで、当該特定分野において求められるセキュリティが確保されたIoT製品のみが採用されるようにする。
- 諸外国の制度と協調的な制度を構築し、相互承認を図ることで、IoT製品を海外に輸出する際に求められる適合性評価にかかるIoT製品ベンダーの負担を軽減する。
その適合性は1~4のレベルで評価されます。レベル1は最低限の脅威に対応するための適合基準として設定されており、IoT製品の種類に関係なく共通で評価項目・基準が設定されています。2024年12月現在はまだレベル1の適合基準しか公開されておらず、2025年3月からは、まずこのレベル1の申請から受付が開始されます。
一方、レベル2~4については、IoT製品の種類によって、その特徴に応じた適合基準が設定されているため、同じレベルであっても製品の種類ごとに異なる要件が課されるため注意が必要です。
適合するための方法について、レベル1・2は「自己適合宣言」であり、レベル3・4は「第三者認証」となります。第三者認証において、認証を行う第三者機関はJC-STAR評価機関として認定された事業者のことを指します。認証機関の決定も現在は準備中であり、ほどなく認定を受けた事業者によるJC-STARの認証が始まるでしょう。
図1:JC-STAR 適合基準
また、下記の画像はIPAが発表している具体的なラベリングのイメージです。IoT製品セキュリティラベリング制度においては、消費者・調達者がIoT製品を選定する際に、選定者が視覚的にレベルを分かりやすくするための工夫がなされています。セキュリティレベルはラベルに表示される星の数で表し、同様にラベルに示されたQRコードを読み取ることで、当該IoT製品に関する詳細ページにアクセスすることができます。
図2:JC-STAR 適合ラベル
JC-STAR適合ラベルの具体的な対応
「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」は、任意制度としつつも公共調達や補助金の要件にすることも国から示唆されているため、対応を迫られる場面がこれから多くなることが予想されます。ここではまずはレベル1に適合することを想定しながら、具体的な対応ステップを確認しましょう。
まず、IPAから発表されている「適合基準及び評価手順」(※3)を確認します。
要件として設定されている【適合評価基準S1.1-01】~【適合評価基準S1.1-16】を確認し、チェックリストを作成します。公式のチェックリストはIPAのHPにて公開予定となっており、チェックリストの作成と確認は外部のJC-STAR評価機関やJC-STAR検証事業者に依頼することも可能です。
要件を確認し、適合対象となるIoT製品が求められるセキュリティ要件をクリアしているかをチェックします。ただし、必ずしもすべての要件に対応しなければいけないわけではなく、IoT製品によって対象外とされる要件に関しては、「適合基準及び評価手順」における「対象外(NA)となるための条件、基準の補足説明」を確認し、対象外とする旨とその理由をチェックリストに記載することで、適合の対象外とすることが可能です。
申請者は作成したチェックリストを添付し、IPAへラベル申請を行います。チェックリストの提出にあたり、自己評価結果の根拠となる証跡類は提出不要です。ただし、ラベルの有効期間中は証跡の保管義務があるため、注意が必要です。
チェックリストを受け取ったIPAは確認作業を行った後、ラベル申請受理を行います。申請が受理された後、申請者はIPAに新規申請手数料を支払います。IPAから当該IoT製品に対するラベルを付与されれば、手続き完了となります。
ラベルの有効期間はいずれのレベルにおいても基本は発行日から2年間となっています。有効期間の延長をする場合、延長申請をする必要があり、レベル1・2とレベル3・4で、延長できる期間に違いがあります。
ここまでが適合宣言のレベル1を取得するための具体的な対応ステップでした。なお、現時点(2024年12月)でIPAから公式に発表されているのはレベル1の適合基準・評価手順のみであり、レベル1の評価ガイドやチェックリストは2025年3月の運用開始に向けて順次、公開予定となっています。
また、レベル2~4については適合基準・評価手順、評価ガイド、チェックリストのいずれについても準備中のステータスとなっているため、IPAからの続報を待ちつつ、気になる方はすでに運用されている海外のIoT製品セキュリティラベリング制度を参考にすると良いでしょう。
JC-STARはIoT製品を海外輸出するベンダーの適合性評価に関する負担軽減を目的として、将来的に国際連携・相互承認を目指しています。特に英国の「PSTI法」やシンガポールの「CLS」などについては各国の担当と相互承認に向けた交渉を開始しているため、参考になる部分も多いでしょう。
| 国 | 名称 | 導入状況 |
|---|---|---|
| 日本 | JC-STAR | 2025年3月~ |
| ドイツ | ITセキュリティラベル | 運用中(2021年12月~) |
| 英国 | PSTI法 | 運用中(2024年4月~) |
| シンガポール | CLS | 運用中(2020年10月~) |
| フィンランド | フィンランド サイバーセキュリティラベル | 運用中(2020年10月~) |
| オーストラリア | Labelling for Smart Devices | 検討中 |
まとめ
ここまで、IoT製品セキュリティラベリング制度をめぐる国内の動向として「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」を取り上げながら、その概要と具体的な対応について記述しました。IoT製品セキュリティラベリング制度は、IoTセキュリティ分野におけるグローバルなメガトレンドです。日本でもついに制度化されることにより、多くの企業が対応を迫られることになるでしょう。
また、IoT機器ベンダーであれば、その製品が高いセキュリティレベルをもつことをセキュリティラベルによって消費者に示すことで、他の競合他社の製品と差別化を図ることができます。そのため、ビジネスチャンスを広げるためにもIoT製品セキュリティラベリング制度の動向に対してアンテナを張っておくことは得策といえます。
JC-STARについて、まだ完全には情報が発表されていない状況ではありますが、あらかじめ準備を進め、先んじて適合を進めることで、今後、情報の解禁が予想されるレベル2~4についても、余裕をもって対応を進めることができるでしょう。前述のとおり、海外のIoT製品セキュリティラベリング制度については他記事(「海外で進む『IoTセキュリティラベリング制度』」)にて、重点的に紹介しているため、そちらもご確認いただければ幸いです。
