JC-STAR（IoT製品セキュリティ要件適合評価及びラベリング制度）について

1. JC-STARって何？

JC-STARは、IoT製品のセキュリティレベルを可視化し、消費者や企業が安心してIoT製品を利用できる環境を整備するための、日本の制度です。経済産業省が策定した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づき、IPA（情報処理推進機構）が運営しています。

JC-STARは、国際的なIoTセキュリティ基準であるETSI EN 303 645やNISTIR 8425を参考にしながら、日本の状況に合わせて策定されています。これらの国際基準は、IoT製品のセキュリティに関する技術的な要件を詳細に規定しており、JC-STARの基準策定において重要な役割を果たしています。

2. 海外におけるセキュリティラベリング制度の動向は？

世界各国で、IoT製品のセキュリティに関する取り組みが活発化しており、
様々なセキュリティラベリング制度が導入されています。代表的なものとしては、シンガポール、英国、米国、EUなどが挙げられます。JC-STARは、これらの制度との相互承認を目指しており、日本のIoT製品が海外市場に進出する際の障壁を低減することを目指しています。

3. JC-STARの基準ってどうなっているの？

JC-STARの基準は、IoT製品の種類や機能によって異なりますが、
以下の4段階のレベルで評価されます。

★1（レベル1）: IoT製品共通の最低限の脅威に対応するための適合基準です。ETSI EN 303 645のベースライン要件を満たすことが求められます。
★2（レベル2）: IoT製品類型ごとの特徴に応じた適合基準です。ETSI EN 303 645の特定プロファイルに準拠することが求められます。
★3（レベル3）: より高度なセキュリティ機能が求められる製品に対する適合基準です。NISTIR 8425の要件を満たすことが求められます。
★4（レベル4）: 特定の分野や用途に特化した高度なセキュリティ機能が求められる製品に対する適合基準です。業界団体やコンソーシアムが策定したセキュリティガイドラインを満たすことが求められます。
評価方法

4. 適合が認められると？ 適合ラベルの取得方法

適合が認められると、製品に二次元バーコード付きの適合ラベルが付与されます。このラベルには、製品詳細や適合評価、セキュリティ情報・問合せ先等の情報が記載されており、調達者・消費者が簡単に情報を取得できるようになっています。

適合ラベルの取得方法は、製品のセキュリティレベルと、自己適合宣言か第3者評価かによって異なります。

‐自己適合宣言:
企業が、自社のIoT製品がJC-STARの基準を満たしていると自己申告する方法です。
主に★1、★2レベルの製品に適用されます。
企業が、JC-STARの評価手順に従い、自己評価を行い、その結果に基づいてIPAが適合ラベルを付与します。
‐第3者評価:
第三者機関が、IoT製品のセキュリティレベルを客観的に評価する方法です。
主に★3、★4レベルの製品に適用されます。
第三者機関が、IoT製品を評価し、その結果に基づいてIPAが適合ラベルを付与します。

5. 制度の運用時期は？

JC-STARは、2024年9月にIPA（情報処理推進機構）が公開し、
2025年3月から★１（レベル１）の申請受付開始運用が開始されます。

6. 任意制度？

JC-STARの制度は、企業は、自社の製品に適合ラベルを取得するかどうかを自由に選択することができます。適合ラベルを取得することで、製品の信頼性向上や、競合他社との差別化を図ることができます。

7.まとめ

JC-STARは、日本のIoT製品のセキュリティレベル向上を目指しています。この制度によって、消費者や企業は、IoT製品のセキュリティレベルを客観的に比較し、安心して製品を選択できるようになります。
弊社ではJC-STAR適合を検討する会社様へコンサルティングや、
ETSI EN 303 645認証取得試験サービスを提供しております。
より詳しく知りたい場合には、以下よりお問い合わせください。

より詳しく知りたい方へ
IPAのウェブサイト: https://www.ipa.go.jp/security/jc-star/detail.html