独立行政法人情報処理推進機構(IPA)は、IoT製品に対するセキュリティ適合性評価制度となる「セキュリティ要件適合評価およびラベリング制度(JC-STAR)」の運用を2025年3月から開始すると発表した。
同制度は、インターネットとの通信が行える幅広いIoT製品を対象として、共通的な物差しで製品に具備されているセキュリティ機能を評価・可視化することを目的としている。
同制度では、IoT製品共通の最低限の脅威に対応するための基準(★1)やIoT製品類型ごとの特徴に応じた基準(★2、★3、★4)を定め、求められるセキュリティ水準に応じた複数の適合性評価レベルを設定。適合が認められた製品には、2次元バーコード付きの適合ラベルを付与することで、製品詳細や適合評価、セキュリティ情報・問い合わせ先などの情報を調達者・消費者が簡単に取得できるようにしているという。
適合ラベルの取得方法は、適合基準により異なる。★1と★2は、各ベンダーが本制度で定められた適合基準・評価手順により自己評価を行った結果を記載したチェックリストにもとづき、IPAが適合ラベルを付与する自己適合宣言方式である。疑義が生じた場合には、IPAが検査やサーベイランスを実施し、その結果次第で適合ラベルの取り消しも有り得る仕組みを入れることで、適合ラベルの取得負担の軽減と信頼性確保のバランスをとっているという。
一方、★3以上では、政府機関等や重要インフラ事業者等向け製品を想定し、独立した第3者評価機関による評価報告書にもとづき、IPAが認証・適合ラベルを付与することで信頼性を確保する。なお、★1のセキュリティ要件・適合基準を記載したリストを同制度の概要サイトで公開したという。
同制度は任意制度だが、特に、政府機関、重要インフラ事業者、地方公共団体等で調達する製品については、各組織の求めるセキュリティ水準に合致するラベルが付与されたIoT 製品を選定・調達するように、経済産業省と関係組織間とで調整している。たとえば、2024年7月に一部改定された「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」にて、同制度開始後の活用と、普及後のラベル付与製品の調達必須化の方針が示されているとのことだ。
【関連記事】
・2025年3月末までに導入必須の「3Dセキュア 2.0」、導入実態を調査【Stripe】
・イラク政府を標的としたサイバー攻撃を発見、新たな亜種マルウェアも──チェック・ポイント・リサーチ
・ビジネスアジリティ、OTインシデントレスポンス対応支援サービス提供 シナリオ教材での演習訓練も支援
