[市場動向]
IPA、IoT製品のセキュリティ要件適合評価/ラベリング制度「JC-STAR」を2025年3月に開始
2024年10月2日(水)IT Leaders編集部
独立行政法人情報処理推進機構(IPA)は2024年9月30日、IoT製品・サービスのセキュリティ評価制度「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の運用を2025年3月に開始すると発表した。ITベンダーや販売会社がセキュリティ要件を満たしたIoT製品をIPAに申請することで、4段階のセキュリティ適合性評価適合ラベル「ジャパン・サイバーセキュリティ・ラベル」を取得する任意制度。官公庁・団体・企業のそれぞれが求めるレベルを満たす安全なIoT製品・サービスの選定を支援する。
共通的な物差しでIoT製品のセキュリティ性能を評価・可視化
独立行政法人情報処理推進機構(IPA)は、IoT製品・サービスのセキュリティ評価制度「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の運用を2025年3月に開始する。
JC-STAR(Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)は、ITベンダーや販売会社がセキュリティ要件を満たしたIoT製品をIPAに申請することで、後述の4段階のセキュリティ適合性評価適合ラベルを取得する任意制度である。官公庁・団体・企業のそれぞれが求めるレベルを満たす安全なIoT製品・サービスの選定を支援する(図1)。
「近年、デジタル化の進展でIoT製品・サービス数が急速に増加するのに伴い、その脆弱性を狙ったサイバー脅威が顕在化している。海外ではその対策としてIoT製品のセキュリティ評価制度の検討が進んでいる」(IPA)
国内では、経済産業省が2022年11月に「IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」で議論を開始。セキュリティ要件案、適合基準案、評価手順案を議論・策定、検証を行っている。同省は、これらの議論やパブリックコメントの結果を踏まえて2024年8月に「IoT製品に対するセキュリティ適合性評価制度構築方針」を公表している。
IPAは、上記の制度構築方針を受けてJC-STARを始動する。インターネットと接続・通信する広範なIoT製品・サービスを対象に、「共通的な物差しで製品のセキュリティ性能/機能を評価・可視化する」(IPA)ことを目的としている。
セキュリティ水準に応じて4段階の適合性評価レベルを制定
制度策定の背景として、IPAは、これまでITベンダーや販売会社など製品提供側においてIoTセキュリティの取り組みをユーザーにアピールすることが難しかった点と、ユーザー側では製品のセキュリティが適切か否かを判断しにくかった点を挙げる。
「近年、政府機関や企業などのセキュリティ対策において、調達する製品や、ベンダー側の広義なサプライチェーンリスク管理の取り組みが広がっている。しかしながら現状では、IoT製品の選定・調達時に、セキュリティ機能や対策状況を確認することが困難である」(IPA)
これらの課題を踏まえて、JC-STARでは、IoT製品に共通する、最低限の脅威への対応基準「★1」、IoT製品類型ごとの特徴に応じた基準「★2」「★3」「★4」を、求められるセキュリティ水準に応じた適合性評価レベルとして制定している。
適合が認められたIoT製品には、2次元バーコード付きの適合ラベル「ジャパン・サイバーセキュリティ・ラベル」(図2)を付与し、製品詳細や適合評価、セキュリティ情報・問い合わせ先などの情報を、調達者・消費者が簡単に取得できるようにする。
適合ラベルの取得方法は適合基準により異なる。★1/★2は「自己適合宣言」方式で、JC-STARが定めた適合基準・評価手順をベースにベンダーが自己評価を行った結果を記載したチェックリストに基づき、IPAが適合ラベルを付与する。
適合レベルに疑義が生じた場合には、IPAが検査・サーベイランスを実施し、その結果次第で適合ラベルの取り消しも生じる仕組みを取り入れる。これにより、適合ラベルの取得負担の軽減と信頼性の確保のバランスを取るとしている。
また、★3/★4は、政府機関や重要インフラ事業者などに向けた製品の適合レベルを想定している。独立した第三社評価機関による評価報告書に基づいてIPAが認証・適合ラベルを付与する。
IPAは、共通・基本の適合レベルである★1のセキュリティ要件・適合基準を記載したリストをJC-STARのWebサイトで公開している。同制度は任意の制度であるが、特に政府機関、重要インフラ事業者、地方公共団体などが調達する製品・サービスについては、各組織が求めるセキュリティ水準に合致するラベルを付与され、それらが選定・調達されるように、経済産業省と関係組織の間で調整するとしている。
2024年7月に一部改定された「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」では、JC-STAR制度開始後の活用と、普及後のラベル付与製品の調達必須化の方針を示している。
●Next:IoT製品を海外展開するベンダーと、各国拠点のIoTセキュリティに取り組むユーザーに向けたJC-STARのグローバル施策
会員登録(無料)が必要です
- 1
- 2
- 次へ >