情報セキュリティ
最終更新日:2024年9月30日
セキュリティ要件に応じたラベルを付与することで、IoT製品ベンダーへのインセンティブ、IoT製品の付加価値向上に繋げる
政府機関等における機器等の調達に対して、「政府機関等のサイバーセキュリティ対策のための統一基準」およびガイドラインを参照しつつ、組織及び取り扱う情報の特性等を踏まえて、統一基準の遵守事項・基本対策事項を満たすためにとるべき対策基準を定めるように求められている。
令和6年7月に公表された「政府機関等の対策基準策定のためのガイドライン(令和5年度版)一部改定版」では、遵守事項 4.3.1(1)(a)「機器等の選定基準」について、「必要なセキュリティ機能が適切に実装されていること」を確認する手段として、JC-STARの活用が含まれている。この中で、「制度整備の状況を踏まえつつ、2025年度中に同制度の★1(レベル1)以上を取得していることを機器等の選定基準に含めるとともに、以降も、★2(レベル2)、★3(レベル3)以上の対象機器の拡充に応じて選定基準への反映を順次行っていく予定である。情報システムの重要度に応じて「重要度:低」は★1(レベル1)以上、「重要度:高~中」は少なくとも★3(レベル3)以上の IoT機器等を各機関等の選定基準に含めることの追加を検討している。なお、ラベル付与製品が普及する時期をめどに、政府機関等では求めるセキュリティ水準に応じたラベル付与製品の調達を必須化する方針である。」と明記されている。
また、政府機関の情報システムの構成要素として適切なセキュリティ対策が必要とされる製品分野が「IT製品の調達におけるセキュリティ要件リスト」として指定されており、経済産業省から発表されています。このリストで指定された11個の製品分野については、セキュリティ要件を特定し対応することが調達者に義務付けられており、JISECによるCC認証製品を調達条件とすることでこの義務を果たすことができるようになっています。現在、12番目の製品分野として「IoT製品」をリストに追加する作業を進めています。
政府機関向けガイドラインの改定内容に合わせて、重要インフラ事業者に対して、IoT製品調達時に用途やそのリスクに応じてラベル付与製品を選定・調達することを求めていくように、関係者と調整を進めています。具体的には、「重要インフラのサイバーセキュリティに係る行動計画」に紐づく安全基準等策定指針および手引書に調達製品への要求事項の策定及び調達時の確認を明示した上で、「重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書」に詳細な記載を追加する方向で検討しています。
政府機関向けガイドラインの改定内容に合わせて、地方公共団体におけるIoT製品調達時に用途やそのリスクに応じてラベル付与製品を選定・調達することを求めていくように、関係者と調整を進めています。具体的には、総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」中の「情報セキュリティ対策基準」において、JC-STAR適合ラベルを取得したIoT製品の調達についての追記を検討しています。
賛同団体とは、各業界団体やIoT製品を製造しているベンダーも参画し、JC-STAR制度の連携や会員企業への積極的なラベル取得の働きかけを行うことに賛同していただいている団体のことです。2024年9月30日時点での賛同団体は以下の通りです(五十音順)。
本制度では、諸外国におけるIoT 製品の適合性評価制度設立の動向も踏まえ、各国の制度との連携を図り、相互承認することも目指しています。これにより、IoT製品を海外に輸出する際に求められる適合性評価にかかるIoT製品ベンダーの負担を軽減できます。現在、シンガポール(Cybersecurity Labelling Scheme)、英国(PSTI法)、米国(U.S. Cyber Trust Mark)、EU(CRA法)の各国担当機関との間で相互承認に向けた交渉を行っています。
2024年9月30日
新規公開しました。