情報セキュリティ
セキュリティ要件適合評価及びラベリング制度(JC-STAR: Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)とは、ETSI EN 303 645やNISTIR 8425等の国内外の規格とも調和しつつ、独自に定める適合基準(セキュリティ技術要件)に基づき、IoT製品に対する適合基準への適合性を確認・可視化する、我が国の制度です。
本制度は、2024年8月に経済産業省が公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づき構築された制度で、インターネットとの通信が行える幅広いIoT製品を対象として、共通的な物差しで製品に具備されているセキュリティ機能を評価・可視化することを目的としています。
従来、IoT製品におけるセキュリティ対策の取組については、ベンダー側が調達者・消費者にアピールすることが難しく、調達者・消費者から見ても、製品のセキュリティ対策が適切か否か判断できないという課題がありました。また、政府機関や企業等でのセキュリティ対策において、調達する製品や製品ベンダーのセキュリティも含めた広義なサプライチェーン・リスク管理の取組が広がる中、本来自組織が実施すべき、製品のセキュリティ機能や対策状況を確認するプロセスを選定・調達時に実行することが難しい現状があります。
本制度では、これらの課題を解決するため、求められるセキュリティ水準に応じて、IoT製品共通の最低限の脅威に対応するための適合基準である★1(レベル1)とIoT製品類型ごとの特徴に応じた適合基準である★2(レベル2)、★3(レベル3)、★4(レベル4)を定め、適合が認められた製品には、二次元バーコード付きの適合ラベルを付与することで、製品詳細や適合評価、セキュリティ情報・問合せ先等の情報を調達者・消費者が簡単に取得できるようにしています。
本制度で付与される適合ラベルは、定められた適合基準や評価ガイドに従い、その適合基準が想定する脅威に対抗するためにIoT製品のセキュリティ機能として最低限満たしてほしい水準を達していることを確認するものです。適合ラベルが付与されているからといって、完全・完璧なセキュリティが確保されていることを保証するものではないことにご注意ください。
また、★1(レベル1)と★2(レベル2)は、IoT製品ベンダーが本制度で定められた適合基準・評価手順により自己評価を行った結果を記載したチェックリストに基づき、IPAが適合ラベルを付与する自己適合宣言方式です。評価の信頼性はベンダーの信頼性に依存することになりますが、低コストかつ短期間で適合ラベルを取得することができます。また、適合基準への適合に疑義が生じた場合に、IPAが検査やサーベイランスを実施し、その結果次第で適合ラベルの取消しも有り得る仕組みを入れることで信頼性のバランスをとっています。一方、★3(レベル3)と★4(レベル4)では、政府機関等や重要インフラ事業者等向け製品を想定し、独立した第三者評価機関による評価報告書に基づき、IPAが認証・適合ラベルを付与することでより高い信頼性を確保します。
2025年3月から★1(レベル1)の申請受付開始を予定しております。
申請受付開始日の詳細については別途周知します。
セキュリティラベリング制度(JC-STAR)についての詳細情報
JC-STAR活用に向けた取り組み
申請手続き
適合基準・評価手順(評価手法・評価ガイド)について
適合ラベルの利用ガイダンス
適合ラベル取得製品リスト
セミナー・イベント情報
規程集
委員会リスト
問い合わせ先
2024年9月30日