IPA、IoT製品を対象にしたセキュリティ適合性評価制度「セキュリティ要件適合評価及びラベリング制度」の運用を開始

　情報処理推進機構（IPA）は、IoT製品に対するセキュリティ適合性評価制度「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」の運用を、2025年3月に開始する。

　「JC-STAR」は、近年のデジタル化進展にともなうIoT製品数の急速な増加と、IoT製品の脆弱性を狙ったサイバー脅威の高まりを受けて開始される制度で、インターネットとの通信が可能な幅広いIoT製品を対象に、共通的な物差しで製品に備えられているセキュリティ機能を評価・可視化することを目的としている。

　同制度では、IoT製品共通の最低限の脅威に対応するための基準（★1）や、IoT製品類型ごとの特徴に応じた基準（★2、★3、★4）を定めることで、求められるセキュリティ水準に応じた複数の適合性評価レベルが設定された。適合が認められた製品には、二次元バーコード付きの適合ラベルが付与され、製品詳細や適合評価、セキュリティ情報・問い合わせ先といった情報を、調達者・消費者が簡単に取得できるようにする。

　適合ラベルの取得方法は適合基準によって異なり、★1と★2はそれぞれのベンダが同制度で定められた適合基準・評価手順に応じて自己評価を行った結果を記載したチェックリストに基づいて、IPAが適合ラベルを付与する自己適合宣言方式となる。疑義が生じた場合は、IPAが検査やサーベイランスを実施し、その結果次第では適合ラベルの取り消しもあり得る。★3以上は、政府機関などや重要インフラ事業者などに向けた製品を想定しており、独立した第三者評価機関による評価報告書に基づいて、IPAが認証・適合ラベルを付与する。

　同制度は任意制度だが、とりわけ政府機関、重要インフラ事業者、地方公共団体などが調達する製品に関しては、それぞれの組織の求めるセキュリティ水準に合致するラベルが付与されたIoT製品を選定・調達するよう、経済産業省と関係組織間とで調整が行われている。

　あわせて同制度では、諸外国におけるIoT製品の適合性評価制度設立の動向も踏まえて、各国の制度との連携を図り相互承認することも目指しており、IoT製品を海外に輸出する際に求められる適合性評価にかかる、IoT製品ベンダの負担軽減を可能にする。現在、シンガポール（Cybersecurity Labelling Scheme）、イギリス（PSTI法）、アメリカ（U.S. Cyber Trust Mark）、EU（CRA法）といった各国担当機関との間で相互承認に向けた交渉を行っているほか、日米（首脳級）、日EU（閣僚級）、G7（首脳級）などにおいて、相互承認に向けて取り組むことを合意している。