IoT機器の「セキュリティ要件適合評価及びラベリング制度」（JC-STAR）、2025年3月からIPAが運用開始

　独立行政法人情報処理推進機構（IPA）は9月30日、IoT製品に対するセキュリティ適合性評価制度「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」の開始を発表した。2025年3月から運用を開始する。

　8月に経済産業省が発表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づいて実施するもの。インターネット通信機能を持つ幅広いIoT製品を対象として、共通的な物差しで製品が備えるセキュリティ機能を評価・可視化することを目的としている。IoT機器のセキュリティに関する取り組みは開発者が消費者に対してアピールすることが難しく、また、消費者・調達者から見てセキュリティの適切さの判断が難しいという課題の解決を目指す。

　具体的には、星の数で4レベルの適合基準（★1～★4）を定め、適合が認められた製品には、二次元バーコード付きの適合ラベルが付与される。調達者や消費者は、適合ラベルと二次元バーコードから、製品詳細や適合評価、セキュリティ情報・問い合わせ先などの情報を簡単に取得できるようになる。

適合ラベルのイメージ

　★1と★2は、本制度で定められた適合基準・評価手順に基づいて、IoTベンダーが自己評価を申告し、IPAが適合ラベルを付与する自己適合宣言方式。一方、★3と★4では、独立した第三者評価機関による評価報告書に基づき、IPAが適合ラベルを付与する。適合基準の位置付けは、次の通り。

★4／★3

　政府機関や重要インフラ事業者、地方公共団体、大企業などの重要なシステムでの利用を想定した製品類型ごとの汎用的なセキュリティ要件を定め、それを満たすことを独立した第三者が評価して示すもの。

★2

　製品類型ごとの特徴を考慮し、★1に追加すべき基本的なセキュリティ要件を定め、それを満たすことをIoT製品ベンダーが自ら宣言するもの。

★1

　製品として共通して求められる最低限のセキュリティ要件を定め、それを満たすことをIoT製品ベンダーが自ら宣言するもの。

　2025年3月から、星1の申請受付開始を予定している。具体的な申請方法や申請料、適合基準などについては、資料が準備でき次第ウェブサイトで公開するとしているほか、11月ごろに説明会を予定している。