情報セキュリティ

JC-STAR活用に向けた取り組み

最終更新日:2024年9月30日

セキュリティ要件に応じたラベルを付与することで、IoT製品ベンダーへのインセンティブ、IoT製品の付加価値向上に繋げる

  • 政府機関等、重要インフラ事業者、地方公共団体等の社会的にセキュリティリスクが高く確かな制度利用が見込まれる組織のIoT製品の調達要件の中にラベルが付与された製品の選定を含めることを働きかけ
  • 業界標準としてIoT製品ベンダーと調達者・利用者が、ラベルが付与された製品の製造・販売と選定・調達する分野を確保
  • 諸外国の制度と協調的な制度を構築し、相互承認を図ることで、IoT製品を海外に輸出する際に求められる適合性評価にかかるIoT製品ベンダーの負担を軽減

JC-STARの活用・展開状況

政府機関等

政府機関等における機器等の調達に対して、「政府機関等のサイバーセキュリティ対策のための統一基準」およびガイドラインを参照しつつ、組織及び取り扱う情報の特性等を踏まえて、統一基準の遵守事項・基本対策事項を満たすためにとるべき対策基準を定めるように求められている。
令和6年7月に公表された「政府機関等の対策基準策定のためのガイドライン(令和5年度版)一部改定版」では、遵守事項 4.3.1(1)(a)「機器等の選定基準」について、「必要なセキュリティ機能が適切に実装されていること」を確認する手段として、JC-STARの活用が含まれている。この中で、「制度整備の状況を踏まえつつ、2025年度中に同制度の★1(レベル1)以上を取得していることを機器等の選定基準に含めるとともに、以降も、★2(レベル2)、★3(レベル3)以上の対象機器の拡充に応じて選定基準への反映を順次行っていく予定である。情報システムの重要度に応じて「重要度:低」は★1(レベル1)以上、「重要度:高~中」は少なくとも★3(レベル3)以上の IoT機器等を各機関等の選定基準に含めることの追加を検討している。なお、ラベル付与製品が普及する時期をめどに、政府機関等では求めるセキュリティ水準に応じたラベル付与製品の調達を必須化する方針である。」と明記されている。
また、政府機関の情報システムの構成要素として適切なセキュリティ対策が必要とされる製品分野が「IT製品の調達におけるセキュリティ要件リスト」として指定されており、経済産業省から発表されています。このリストで指定された11個の製品分野については、セキュリティ要件を特定し対応することが調達者に義務付けられており、JISECによるCC認証製品を調達条件とすることでこの義務を果たすことができるようになっています。現在、12番目の製品分野として「IoT製品」をリストに追加する作業を進めています。

重要インフラ事業者

政府機関向けガイドラインの改定内容に合わせて、重要インフラ事業者に対して、IoT製品調達時に用途やそのリスクに応じてラベル付与製品を選定・調達することを求めていくように、関係者と調整を進めています。具体的には、「重要インフラのサイバーセキュリティに係る行動計画」に紐づく安全基準等策定指針および手引書に調達製品への要求事項の策定及び調達時の確認を明示した上で、「重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書」に詳細な記載を追加する方向で検討しています。

地方公共団体

政府機関向けガイドラインの改定内容に合わせて、地方公共団体におけるIoT製品調達時に用途やそのリスクに応じてラベル付与製品を選定・調達することを求めていくように、関係者と調整を進めています。具体的には、総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」中の「情報セキュリティ対策基準」において、JC-STAR適合ラベルを取得したIoT製品の調達についての追記を検討しています。

賛同団体一覧

賛同団体とは、各業界団体やIoT製品を製造しているベンダーも参画し、JC-STAR制度の連携や会員企業への積極的なラベル取得の働きかけを行うことに賛同していただいている団体のことです。2024年9月30日時点での賛同団体は以下の通りです(五十音順)。

  • 電子情報技術産業協会(JEITA)
  • 会員数:387社・団体(2024年2月14日現在)
    • 正会員 350社・団体
    • 賛助会員 37社・団体
  • 主なIoT製品類型:スマートホーム関連機器、ヘルスケア関連機器
  • 日本防犯設備協会(SSAJ)
  • 会員数:274社・団体(2023年7月現在)
    • 正会員 73社
    • 準会員 151社
    • 賛助会員 5団体
    • 特別会員 45団体
  • 主なIoT製品類型:防犯カメラ、デジタルレコーダ(防犯用)、その他防犯設備機器

国際連携・相互承認に向けて

本制度では、諸外国におけるIoT 製品の適合性評価制度設立の動向も踏まえ、各国の制度との連携を図り、相互承認することも目指しています。これにより、IoT製品を海外に輸出する際に求められる適合性評価にかかるIoT製品ベンダーの負担を軽減できます。現在、シンガポール(Cybersecurity Labelling Scheme)、英国(PSTI法)、米国(U.S. Cyber Trust Mark)、EU(CRA法)の各国担当機関との間で相互承認に向けた交渉を行っています。

シンガポール
  • <制度名>Cybersecurity Labelling Scheme (CLS)
  • <開始時期>2020年10月開始
  • <任意/義務>任意
  • <対象>消費者向けIoT機器
  • <適合基準>
    • ★1(レベル1):ETSI EN 303 645の基準の一部
    • ★2(レベル2):★1(レベル1)の基準に加え、ETSI EN 303 645の基準の一部
    • ★3(レベル3)及び★4(レベル4):★2(レベル2)の基準に加え、IMDA「IoT Cyber Security Guide」の基準
  • <評価方法>
    • ★1(レベル1)及び★2(レベル2):自己適合宣言
    • ★3(レベル3)及び★4(レベル4):自己適合宣言及び評価機関による試験
英国
  • <制度名>Product Security & Telecommunication Infrastructure Act(PSTI法)
  • <開始時期>2024年4月施行
  • <対象>消費者向けIoT製品
  • <適合基準>ETSI EN 303 645の基準の一部(5.1-1、5.1-2、5.2-1、5.3-13)
  • <評価方法>自己適合宣言
米国
  • <制度名>U.S. Cyber Trust Mark
  • <開始時期>2024年中に開始予定
  • <任意/義務>任意
  • <対象>消費者用無線IoT製品
  • <適合基準>NISTIR 8425をベースとした基準となる見込み
  • <評価方法>第三者認証
EU
  • <制度名>Cyber Resilience Act(CRA)
  • <開始時期>2027年開始想定
  • <任意/義務>義務
  • <対象>デジタル製品
  • <適合基準>製造者への「セキュリティ特性要件に従った上市前の設計・開発・製造」、「上市後の積極的に悪用された脆弱性・インシデントの報告」等を義務付ける予定
  • <評価方法>「重要なデジタル製品」以外の製品:自己適合宣言,「重要なデジタル製品」のクラスⅠ(EUCCやEN規格の対象外の製品を除く)及びクラスⅡの製品:第三者認証

更新履歴

  • 2024年9月30日

    新規公開しました。