JC-STAR ～ IoT 製品のセキュリティ対策を 4 段階のレベルでラベリング

　独立行政法人情報処理推進機構（IPA）は9月30日、「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」ページの開設を発表した。

　「セキュリティ要件適合評価及びラベリング制度（JC-STAR: Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements）」は、2024年8月に経済産業省が公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づき構築された制度で、IoT製品を対象として、共通的な物差しで製品に具備されているセキュリティ機能を評価・可視化することを目的としている。

　これまで、IoT製品におけるセキュリティ対策の取組については、ベンダー側が調達者・消費者にアピールすることが難しく、調達者・消費者から見ても、製品のセキュリティ対策が適切か否か判断できないという課題がああった。

　同制度では、求められるセキュリティ水準に応じてｓ★1（レベル1）から★4（レベル4）を定め、適合が認められた製品に二次元バーコード付きの適合ラベルを付与することで、製品詳細や適合評価、セキュリティ情報・問合せ先等の情報を調達者・消費者が簡単に取得できるようにしている。適合基準のレベルとその位置付けは下記の通り。

★4（レベル4）/★3（レベル3）：
　政府機関や重要インフラ事業者、地方公共団体、大企業等の重要なシステムでの利用を想定した製品類型ごとの汎用的なセキュリティ要件を定め、それを満たすことを独立した第三者が評価して示すもの

★2（レベル2）
　製品類型ごとの特徴を考慮し、★1（レベル1）に追加すべき基本的なセキュリティ要件を定め、それを満たすことをIoT製品ベンダーが自ら宣言するもの

★1（レベル1）
　製品として共通して求められる最低限のセキュリティ要件を定め、それを満たすことをIoT製品ベンダーが自ら宣言するもの

　IPAでは2025年3月から、★1（レベル1）の申請受付開始を予定している。