第18回 シン・IoTの教室:ビジネスに活きる つながるモノの世界
すでに政府調達の選定基準として採用、今後の拡大も見込まれる
「JC-STAR」制度とは? IoT製品のセキュリティ水準を証明できるビジネスメリットとは?
インターネットに接続されるIoT製品が急増し、世の中が便利になる一方で、IoT製品の「設定ミス」や「脆弱性」を狙ったサイバー攻撃も急増しています。
攻撃者たちの主な狙いは、IoT製品のシステムを乗っ取り、リモートから自由に操れるようにして、他のシステムへの攻撃の“踏み台”として悪用することです。特に、DDoS攻撃(特定のシステムやWebサイトに大量のアクセスを集中させてダウンさせる)では、数百万台規模のIoT製品が攻撃者に乗っ取られ、攻撃元として悪用されています。
しかし、IoT製品の多くは「出荷後はセキュリティ機能を強化できない」「導入後はあまり監視/管理されることがない(放置され、悪用に気づかないこともある)」「製品の更新サイクルが長い」といった、脆弱性を生みやすい特徴を持っています。
したがって、サイバー攻撃への悪用を防ぐためには、IoT製品の開発/製造段階からセキュリティ水準を向上させる必要があります。そこで、経済産業省とIPA(情報処理推進機構)が2025年3月にスタートしたのが「JC-STAR」という制度です。
IoT製品が備えるセキュリティの水準を分かりやすく示す「JC-STAR」制度
JC-STARの正式名称は「IoT製品に対するセキュリティラベリング制度」です。その名が示すとおり、個々のIoT製品が、一定水準を満たすセキュリティ機能をあらかじめ備えていることを証明する「JC-STAR適合ラベル」を、IPAから付与します。
JC-STAR制度の目的は、「個々のIoT製品が備える“セキュリティ水準の証明書”」を作ることです。これにより、IoT製品を購入/調達する民間企業、政府機関、一般消費者などが、必要なセキュリティ水準を満たす機能を備えたIoT製品かどうかを、共通の物差しを通じて簡単に理解できるようになります。
JC-STAR制度の概要と目的(出典:IPA)
IPAが定める適合基準には「レベル1(★1)」から「レベル4(★4)」までの4段階があります。このうち★1と★2は、チェックリストに基づく製品ベンダー側での自己適合宣言方式、より高度な★3と★4は、第三者評価機関による適合認証方式となっています。
現時点(2026年3月上旬)では、★1のチェックリストが公開されています。★1のセキュリティ要件は、たとえば「認証/認可機構の強化」「アップデート機構の実装」「暗号通信の必須化」「露出攻撃面の最小化」「データ消去手段の提供」といった、どんな分野のIoT製品にも共通する最低限の適合基準となっており、16個の大項目と26個の小項目で構成されています。
一方、現在策定中の★2から★4については、「通信機器」「ネットワークカメラ」「スマート家電」といったIoT製品のカテゴリごとに、カテゴリごとの特徴を考慮したセキュリティ要件と適合基準が定められる予定です。
また、こうしたIoT製品のセキュリティ認証制度は、英国やEU、米国など諸外国でもスタートしており、JC-STARでは海外の制度との協調的な制度を作り、相互承認を図ることで、製品を輸出する際の適合性評価にかかるベンダーの負担を減らそうとしています。
JC-STAR制度における適合性評価レベル(★1から★4)の位置付け(出典:経済産業省)
すでに政府調達の選定基準として採用、民間にも拡大の見込み
製品を購入/調達する側では、自社のセキュリティ要件にそのIoT製品が適合しているかどうかを、JC-STARのラベルを確認するだけで簡単に確認できます。裏を返せば、IoT製品を開発/製造/販売するベンダー側では、JC-STARラベルを取得することで、「調達検討の土俵に乗りやすくなる」優位性が生まれます。
すでに政府機関では、国家サイバー統括室によるガイドラインに基づき、IoT機器を調達する際にはJC-STAR ★1ラベルを取得した製品、あるいはそれに相当する機能が実装された製品を最低限の選定基準とすることが定められています。さらに今後、地方公共団体、重要インフラ事業者に対しても、JC-STARラベル付与製品の選定と調達を求めていく方針です。
また経済産業省では、スマートホーム/工場/ビルといった特定分野のシステムに組み込むIoT製品の調達において、JC-STAR制度を活用することを呼びかけるガイドラインを公開しています。この呼びかけに対応し、各業界団体でもJC-STAR制度を活用する動きが始まっています。
* * *
JC-STAR制度は、これまでなかなか進まなかったIoT製品のセキュリティ水準の向上を、「ラベルを取得すれば製品調達で選ばれやすくなる」というビジネス的なインセンティブで推進させる仕組みです。まずは手軽な自己適合宣言方式(★1、★2)から始められる点もポイントでしょう。
本稿執筆時点で、IPA「適合ラベル取得製品リスト」のWebページにはすでに20社超(申請数で50件以上)の製品が掲載されています。今後、IoT製品を開発/製造するうえでは間違いなく、JC-STARのラベル取得は検討すべき事柄になるでしょうし、製品のユーザーや販売パートナーから取得を求められることになるかもしれません。また取得検討を進めていない場合は、同制度について一度調べておくことをおすすめします。
この連載の記事
-
第17回
デジタル
モノの世界で急伸する“as-a-Service”ビジネスモデル 実現の鍵はIoTだった -
第16回
デジタル
IoT導入が進む業界・遅れる業界 その“IoT格差”にこそビジネスチャンス? -
第15回
デジタル
CESで最注目の「フィジカルAI」 IoTにもたらす新たなインパクトとは -
第14回
デジタル
なぜ“PoC止まり”で終わるのか? IoTプロジェクトが頓挫する原因 -
第13回
デジタル
「人手不足の現場」に求められる“IoT×AIビジネス”を考える -
第12回
デジタル
製造業からヘルスケアまで、IoTだからこそ実現できる「予知・予兆型ビジネス」 -
第11回
デジタル
「エッジAI」がIoTシステムの適用範囲/ユースケースを拡大する -
第10回
デジタル
IoTの“エッジ”とは何か? なぜエッジでのデータ処理が必要なのか? -
第9回
デジタル
なぜIoTビジネスは「現場」から生まれるのか 現実世界をデータ化し、制御できることの価値 -
第8回
デジタル
モノ(製品)を通じたサブスク型ビジネスの実現 鍵を握るのは「IoT」の要素