2024年9月30日
独立行政法人情報処理推進機構
IoT製品に対するセキュリティ要件適合評価・ラベリング制度を開始します
~適合ラベルの付与により、IoT製品はセキュリティで選ばれる時代に~
独立行政法人情報処理推進機構(IPA、理事長:齊藤裕)は、IoT製品に対するセキュリティ適合性評価制度となる「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の運用を2025年3月から開始します。IoT製品に求められるセキュリティ要件を満たした製品について、IoTベンダーや販売事業者がIPAに申請することで適合ラベルを取得することができます。これにより、政府機関や企業だけでなく、一般消費者も含めて、調達・購入・利用時にセキュリティ要件を満たした安全なIoT製品を選びやすくなります。
URL:
https://www.ipa.go.jp/security/jc-star/index.html
■背景
近年、デジタル化の進展に伴い、IoT製品の数が急速に増加するとともに、IoT製品の脆弱性を狙ったサイバー脅威が高まってきており、諸外国ではIoT製品のセキュリティ対策に関する評価制度の検討が進んでいます。
経済産業省においても、2022年11月から「IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」で議論を開始し、セキュリティ要件案、適合基準案、評価手順案を議論・策定、検証してきました。こうした議論やパブリックコメントの結果を踏まえ、2024年8月に「IoT製品に対するセキュリティ適合性評価制度構築方針」が発表されました。
IPAでは、上記の制度構築方針に基づき、「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の運用を2025年3月から開始します。
■制度の概要
本制度は、インターネットとの通信が行える幅広いIoT製品を対象として、共通的な物差しで製品に具備されているセキュリティ機能を評価・可視化することを目的としています。従来、IoT製品におけるセキュリティ対策の取組については、ベンダー側が調達者・消費者にアピールすることが難しく、調達者・消費者から見ても、製品のセキュリティ対策が適切か否か判断できないという課題がありました。
また、政府機関や企業等でのセキュリティ対策において、調達する製品や製品ベンダーのセキュリティも含めた広義なサプライチェーン・リスク管理の取組が広がる中、本来自組織が実施すべき、製品のセキュリティ機能や対策状況を確認するプロセスを選定・調達時に実行することが難しい現状があります。
これらの課題を解決するため、本制度では、IoT製品共通の最低限の脅威に対応するための基準(★1)やIoT製品類型ごとの特徴に応じた基準(★2、★3、★4)を定め、求められるセキュリティ水準に応じた複数の適合性評価レベルを設定しました。適合が認められた製品には、二次元バーコード付きの適合ラベルを付与することで、製品詳細や適合評価、セキュリティ情報・問合せ先等の情報を調達者・消費者が簡単に取得できるようにしています。(図2)
適合ラベルの取得方法は、適合基準により異なります。★1と★2は、各ベンダーが本制度で定められた適合基準・評価手順により自己評価を行った結果を記載したチェックリストに基づき、IPAが適合ラベルを付与する自己適合宣言方式です。疑義が生じた場合には、IPAが検査やサーベイランスを実施し、その結果次第で適合ラベルの取消しも有り得る仕組みを入れることで、適合ラベルの取得負担の軽減と信頼性確保のバランスをとっています。一方、★3以上では、政府機関等や重要インフラ事業者等向け製品を想定し、独立した第三者評価機関による評価報告書に基づき、IPAが認証・適合ラベルを付与することでより高い信頼性を確保しています。
なお、★1のセキュリティ要件・適合基準を記載したリストを本制度の概要サイトで公開しました。
本制度は任意制度ですが、特に、政府機関、重要インフラ事業者、地方公共団体等で調達する製品については、各組織の求めるセキュリティ水準に合致するラベルが付与されたIoT 製品を選定・調達するように、経済産業省と関係組織間とで調整しています。例えば、2024年7月に一部改定された「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」にて、本制度開始後の活用と、普及後のラベル付与製品の調達必須化の方針が示されています。
■国際連携
本制度では、諸外国におけるIoT 製品の適合性評価制度設立の動向も踏まえ、各国の制度との連携を図り、相互承認することも目指しています。これにより、IoT製品を海外に輸出する際に求められる適合性評価にかかるIoT製品ベンダーの負担を軽減できます。現在、シンガポール(Cybersecurity Labelling Scheme)、英国(PSTI法)、米国(U.S. Cyber Trust Mark)、EU(CRA法)等の各国担当機関との間で相互承認に向けた交渉を行っています。また、日米(首脳級)、日EU(閣僚級)、G7(首脳級)等において、相互承認に向けて取り組む旨を合意しています。
■賛同団体
本制度の策定にあたり、各業界団体やIoT製品を製造しているベンダーも参画し、本制度の連携や会員企業への積極的なラベル取得の働きかけを行うことへの賛同を得ています。現時点で、賛同団体は以下の通りです(五十音順)。
情報通信ネットワーク産業協会(CIAJ)
デジタルライフ推進協会(DLPA)
電子情報技術産業協会(JEITA)
日本防犯設備協会 (SSAJ)
ビジネス機械・情報システム産業協会(JBMIA)
■今後の予定
IPAでは、本制度の説明会を11月頃に予定しています。また、具体的な申請方法や申請料、適合基準について紹介するガイド等についても準備ができ次第、ホームページにて公開します。
■参考資料
IoT製品に対するセキュリティ適合性評価制度構築方針(経済産業省、2024年8月23日)
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/20240823.html