独立行政法人情報処理推進機構(IPA)は2月6日、「セキュリティ要件適合評価及びラベリング制度(JC-STAR)通信機器★3セキュリティ要件」を発表した。
セキュリティ要件適合評価及びラベリング制度(JC-STAR:Labeling scheme based on Japan Cyber-Security Technical Assessment Requirements)は、ETSI EN 303 645 やNISTIR 8425等とも調和しつつ、独自に定める適合要件(セキュリティ技術要件)に基づき、IoT 製品等に対する適合要件への適合性を確認・可視化する制度で、最低限の脅威に対応するための製品共通の適合要件・評価手順(★1)や IoT 製品類型ごとの特徴に応じた適合要件・評価手順(★2、★3、★4)という4段階の要件レベルを設定している。
★3で対象となる IoT 製品は、政府機関等や重要インフラ事業者、地方自治体、大企業に調達、設置が想定される IoT 機器を含む製品で、同文書では「通信機器」を対象とした★3 レベルの要件について記載している。
★3 レベルの適合評価は、IPA で認められた第三者評価機関(JC-STAR 評価機関)での実施が必須で、適合ラベルの有効期間は発行日から2年間となっている。
★3 適合基準類は、下記の「★3 セキュリティ要件」、「★3 適合要件」、「★3 評価ガイド」の3点より構成される。
「★3 セキュリティ要件」:★3 レベルの IoT 製品として、満たす必要のあるセキュリティ対策や基準等のこと。
「★3 適合要件」:★3 セキュリティ要件に記載してある対策、基準に対して、★3 レベルの IoT 製品として具備する必要がある機能や、IoT 製品ベンダーが対応する必要のある対策など、具体的に満たす必要のある要件のこと。
「★3 評価ガイド」:★3 適合要件に対して、要求したことが満たされているか確認するための評価方法を 【ドキュメント評価】と【実機評価】として記載したもの。
同文書では、「★3 セキュリティ要件」までを記載している。
