情報セキュリティ

セキュリティ要件適合評価及びラベリング制度(JC-STAR)

  • JC-STAR 制度ロゴと適合ラベルサンプル

セキュリティ要件適合評価及びラベリング制度(JC-STAR: Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)とは、ETSI EN 303 645やNISTIR 8425等の国内外の規格とも調和しつつ、独自に定める適合基準(セキュリティ技術要件)に基づき、IoT製品に対する適合基準への適合性を確認・可視化する、我が国の制度です。

本制度の概要

本制度は、2024年8月に経済産業省が公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づき構築された制度で、インターネットとの通信が行える幅広いIoT製品を対象として、共通的な物差しで製品に具備されているセキュリティ機能を評価・可視化することを目的としています。
従来、IoT製品におけるセキュリティ対策の取組については、ベンダー側が調達者・消費者にアピールすることが難しく、調達者・消費者から見ても、製品のセキュリティ対策が適切か否か判断できないという課題がありました。また、政府機関や企業等でのセキュリティ対策において、調達する製品や製品ベンダーのセキュリティも含めた広義なサプライチェーン・リスク管理の取組が広がる中、本来自組織が実施すべき、製品のセキュリティ機能や対策状況を確認するプロセスを選定・調達時に実行することが難しい現状があります。

本制度では、これらの課題を解決するため、求められるセキュリティ水準に応じて、IoT製品共通の最低限の脅威に対応するための適合基準である★1(レベル1)とIoT製品類型ごとの特徴に応じた適合基準である★2(レベル2)、★3(レベル3)、★4(レベル4)を定め、適合が認められた製品には、二次元バーコード付きの適合ラベルを付与することで、製品詳細や適合評価、セキュリティ情報・問合せ先等の情報を調達者・消費者が簡単に取得できるようにしています。

適合ラベルについて

本制度で付与される適合ラベルは、定められた適合基準や評価ガイドに従い、その適合基準が想定する脅威に対抗するためにIoT製品のセキュリティ機能として最低限満たしてほしい水準を達していることを確認するものです。適合ラベルが付与されているからといって、完全・完璧なセキュリティが確保されていることを保証するものではないことにご注意ください。
また、★1(レベル1)と★2(レベル2)は、IoT製品ベンダーが本制度で定められた適合基準・評価手順により自己評価を行った結果を記載したチェックリストに基づき、IPAが適合ラベルを付与する自己適合宣言方式です。評価の信頼性はベンダーの信頼性に依存することになりますが、低コストかつ短期間で適合ラベルを取得することができます。また、適合基準への適合に疑義が生じた場合に、IPAが検査やサーベイランスを実施し、その結果次第で適合ラベルの取消しも有り得る仕組みを入れることで信頼性のバランスをとっています。一方、★3(レベル3)と★4(レベル4)では、政府機関等や重要インフラ事業者等向け製品を想定し、独立した第三者評価機関による評価報告書に基づき、IPAが認証・適合ラベルを付与することでより高い信頼性を確保します。

適合基準のレベルとその位置付け

  • ★4(レベル4)/★3(レベル3)
    • 政府機関や重要インフラ事業者、地方公共団体、大企業等の重要なシステムでの利用を想定した製品類型ごとの汎用的なセキュリティ要件を定め、それを満たすことを独立した第三者が評価して示すもの
  • ★2(レベル2)
    • 製品類型ごとの特徴を考慮し、★1(レベル1)に追加すべき基本的なセキュリティ要件を定め、それを満たすことをIoT製品ベンダーが自ら宣言するもの
  • ★1(レベル1)
    • 製品として共通して求められる最低限のセキュリティ要件を定め、それを満たすことをIoT製品ベンダーが自ら宣言するもの

お知らせ

業務開始につきまして

2025年3月から★1(レベル1)の申請受付開始を予定しております。
申請受付開始日の詳細については別途周知します。

  • 【2024年9月30日】
    • 「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の発足に関するニュースリリースを発表しました。

更新履歴

  • 2024年9月30日

    • 新規公開しました。