IPA、「JC-STAR」運用開始　セキュリティレベル「★1」の申請を受付、交付は5月上旬見込み

　情報処理推進機構（IPA）は、3月25日から「セキュリティ要件適合評価およびラベリング制度」（以下、JC-STAR）の運用を開始し、「★1」の申請受付を開始した。

　同制度は、インターネットとの通信が行える幅広いIoT製品を対象として、共通的な物差しで製品に具備されているセキュリティ機能を評価・可視化することを目的としている。IoT製品共通の最低限の脅威に対応するための基準（★1）や、IoT製品類型ごとの特徴に応じた基準（★2、★3、★4）を定め、求められるセキュリティ水準に応じた複数の適合性評価レベルを設定してるという。

　今回受付を開始するのは、「★1」の基準を対象とするもの。「★1適合ラベル」が交付されるのは、5月上旬頃を見込んでいるという。適合が認められた製品には、二次元バーコード付きの適合ラベルを付与することで、製品詳細や適合評価、セキュリティ情報・問い合わせ先などの情報を調達者・消費者が簡単に取得できるとしている。

適合基準のレベルとその位置づけ

• ★4（レベル4）／★3（レベル3）：政府機関や重要インフラ事業者、地方公共団体、大企業などの重要なシステムでの利用を想定した製品類型ごとの汎用的なセキュリティ要件を定め、それを満たすことを独立した第三者が評価して示すもの
• ★2（レベル2）：製品類型ごとの特徴を考慮し、「★1」に追加すべき基本的なセキュリティ要件を定め、それを満たすことをIoT製品ベンダーが自ら宣言するもの
• ★1（レベル1）：製品として共通して求められる最低限のセキュリティ要件を定め、それを満たすことをIoT製品ベンダーが自ら宣言するもの

今後の予定

　IoT製品類型ごとの特徴に応じたより高度なセキュリティ適合基準（★2以上）の整備は、政府調達での活用が見込まれるネットワークカメラと通信機器の2つの製品類型を対象に、適合基準検討ワーキンググループを開始しているという。2026年1月以降に当該製品分野の「★2」以上の受付を開始する予定だとしている。

　スマートホーム関連機器に対する「★2」など、その他の製品類型の「★2」以上の基準も順次整備し、制度を拡張していくという。また、類似制度をもつ諸外国との相互承認に向けて、具体的にはシンガポール（Cybersecurity Labelling Scheme）、英国（PSTI法）、米国（U.S. Cyber Trust Mark）、EU（CRA法）の各国担当機関との間で交渉を行っているとのことだ。

【関連記事】
・2024年の国内セキュリティインシデント総数は1,319件、不正アクセスが最多──デジタルアーツ調査
・サイバーセキュリティクラウドとCTC、SOCサービスを融合したフルマネージドセキュリティサービス提供
・経済産業省、国内サイバーセキュリティ産業振興で企業売上3兆円超目指す　新戦略を発表