JC-STARとは
OTの第7回ではOTに関する法規則として欧州のCRA(サイバーレジリエンス法)について述べましたが、今回は日本におけるIoT製品に関する認証JC-STARについて述べたいと思います。
IoT(Internet of Things)製品はインターネットに接続する”モノ”全般であり、正確な定義としてはPC、無線ルーター、プリンター、スマート家電、スマートメーターなど広範な製品が含まれますが、一般的には主にIoTの概念が登場するまではインターネットに接続されなかった家電やセンサなどがインターネット接続に対応した場合を指してIoT機器と呼称されているように思われます。
制度の背景と運用機関
JC-STARは2024年8月に経済産業省が公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づき構築された制度で、IPA(独立行政法人情報処理推進機構)が運用しています。
制度が構築された背景としては、IoT機器に関して販売事業者がセキュリティ機能をユーザー側にアピールすることが難しい、一定の専門知識が必要なためユーザー側も判断が難しいという問題と、開発側においてセキュリティ対策について基本的な事項や必要最低限、最適解が分からないといった問題があり、これらに対して一定の基準、テンプレートを与えた形となります。
認証の対象範囲
認証の対象としては、PCやスマートフォンを除くインターネットプロトコルを利用するものとなっており、Bluetooth、アナログ通信、IC2、パルス、IPベース以外のフィールドバス、USBシリアル通信などは対象外となっています。
IoTセンサやスマート機器以外にもルーターなど通信機器も対象となっており、例えば、バッファロー社はJC-STAR対応を予定しており(2025年5月時点)、適合製品として法人向けルーターやVPNルーター等が挙げられています。
国内外規格との関係と特徴
JC-STARは一般消費者向け IoT 機器のサイバーセキュリティについての欧州規格ETSI EN 303 645や米国の一般消費者向け IoT 機器のサイバーセキュリティについてのガイドラインNISTIR 8425など、国内外の規格と調和しつつ日本独自の適合基準を定めています。
具体的な違いとしては、国内外の規格に対し詳細な試験項目や確認方法を明文化している、通信プロトコルの実装要件を詳細に定義している、QRコード付きラベルによるセキュリティ情報を可視化している点などが挙げられます。
レベル区分と対象製品
CRAと類似している点として、利用環境や要求によってレベルを選択するようになっており、レベル1は基本的な要件、レベル2はレベル1に製品別カスタマイズ要件が加わり、レベル3、4は政府機関、インフラ、地方公共団体、大企業向けの製品が対象となっています。
JC-STAR適合の効果としては、ユーザーの製品選択の際の判断材料となることと、特に公共事業や公募案件で調達要件となってくる点があると考えられます。
認証取得の流れ
認証の流れについては、IPAが公開しているチェックリスト作成(16の大項目)と申請用紙に必要事項を記入し申請を行い、申請受理後に申請手数料(レベル1で19.8万円、レベル2以降は2026年以降運用開始予定)を支払います。
審査期間としては申請から適合ラベル発行まで数週間から数カ月を要するようです。
まずは無料相談から始めませんか?
工場のセキュリティやDXのことでお悩みなら、まずは60分の無料オンライン相談をご活用ください。
現状の整理から、導入の方向性まで丁寧にご案内いたします。
