IoT製品に対するセキュリティ要件適合評価・ラベリング制度を開始します

2024年9月30日
独立行政法人情報処理推進機構


IoT製品に対するセキュリティ要件適合評価・ラベリング制度を開始します
～適合ラベルの付与により、IoT製品はセキュリティで選ばれる時代に～

独立行政法人情報処理推進機構（IPA、理事長：齊藤裕）は、IoT製品に対するセキュリティ適合性評価制度となる「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」の運用を2025年3月から開始します。IoT製品に求められるセキュリティ要件を満たした製品について、IoTベンダーや販売事業者がIPAに申請することで適合ラベルを取得することができます。これにより、政府機関や企業だけでなく、一般消費者も含めて、調達・購入・利用時にセキュリティ要件を満たした安全なIoT製品を選びやすくなります。
URL：https://www.ipa.go.jp/security/jc-star/index.html
　
■背景

近年、デジタル化の進展に伴い、IoT製品の数が急速に増加するとともに、IoT製品の脆弱性を狙ったサイバー脅威が高まってきており、諸外国ではIoT製品のセキュリティ対策に関する評価制度の検討が進んでいます。
経済産業省においても、2022年11月から「IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」で議論を開始し、セキュリティ要件案、適合基準案、評価手順案を議論・策定、検証してきました。こうした議論やパブリックコメントの結果を踏まえ、2024年8月に「IoT製品に対するセキュリティ適合性評価制度構築方針」が発表されました。
IPAでは、上記の制度構築方針に基づき、「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」の運用を2025年3月から開始します。

■制度の概要

本制度は、インターネットとの通信が行える幅広いIoT製品を対象として、共通的な物差しで製品に具備されているセキュリティ機能を評価・可視化することを目的としています。従来、IoT製品におけるセキュリティ対策の取組については、ベンダー側が調達者・消費者にアピールすることが難しく、調達者・消費者から見ても、製品のセキュリティ対策が適切か否か判断できないという課題がありました。
また、政府機関や企業等でのセキュリティ対策において、調達する製品や製品ベンダーのセキュリティも含めた広義なサプライチェーン・リスク管理の取組が広がる中、本来自組織が実施すべき、製品のセキュリティ機能や対策状況を確認するプロセスを選定・調達時に実行することが難しい現状があります。