• Column
  • ”信用”を築くIoTセキュリティでAI時代の新脅威に備える

IoT機器のセキュリティ要件を認証する「JC-STAR」を政府・民間の調達基準に

「IoTセキュリティフォーラム2025」より、経済産業省 サイバーセキュリティ課 課長 武尾 伸隆 氏

トップスタジオ
2025年12月4日

IoT機器全般のセキュリティ要件を4段階で評価

 JC-STARの狙いを武尾氏は「調達者が求めるセキュリティ水準を整理し、国の制度の中でユーザーに代わって確認し、その結果を『ラベル』として付与することで、より容易に安全な製品を選択できるような状況を作ることだ」と説明する。

 JC-STARが対象にするのは、インターネットに直接または間接的に接続するIoT機器全般である。具体的には、ルーターやネットワークカメラ、スマート家電などからから産業用制御機器までをカバーする。ただ利用者がセキュリティ対策を容易に追加できるPCやタブレット、スマートフォンのような汎用的なIT製品は対象外だ。

 評価レベルは次のような4段階になっている(図2)。

図2:JC-STARが定める評価レベルには4段階がある

レベル1 :製品として共通に求められる最低限のセキュリティ要件。製品ベンダー自らが適合を宣言する「自己適合宣言」方式を採用する。2025年3月から申請を受け付けている
レベル2 :製品類型ごとの特徴を考慮し、レベル1に追加すべき基本的なセキュリティ要件。自己適合宣言方式を採用する
レベル3・4 :政府機関や重要インフラ事業者、地方自治体、大企業の重要システムでの利用を想定したセキュリティ要件。独立した第三者による評価を求める「第三者認証」方式を採用する

 2025年9月時点で運用されているのはレベル1だけである。武尾氏は「レベル2以上は、業界・分野ごとのワーキンググループなどが基準策定を進めている。完了した分野から順次、申請受付を開始していく方針だ」と説明する。

政府調達への要件化を土台に米国やEUなどとの相互承認を進める

 JC-STARは政府調達への要件化も進む。内閣官房が策定する「政府統一基準群」のガイドラインには、2024年7月の改定でJC-STAR制度の活用方針が盛り込まれた。武尾氏は「2025年度の改定では、JC-STARの選定基準の1つに含めることが明記される予定だ」と話す。

 地方公共団体向けのガイドラインにも採用され始めている。総務省が策定する「地方公共団体における情報セキュリティポリシーに関するガイドライン」では、2025年3月の改定でJC-STAR制度の活用に関する記載が追加された。重要インフラを担う事業者に対しても「業界団体との連携を通じて、各社の調達ルールへの反映を働きかける方針だ」(武尾氏)という。

 政府調達の要件化により民間企業への波及効果も期待される。武尾氏は「政府や重要インフラ事業者の取り組みを参考に民間企業へのJC-STARの活用を働き掛ける。取引先・委託先に求められる一般的なセキュリティ対策として、JC-STARによるラベル取得済み機器の使用が浸透する可能性が高い」とみる。

 レベル1については「順調な滑り出しを見せている」と武尾氏は評価する。「2025年5月21日に初回のラベル付与を開始して以降、2025年8月時点で約50件の申請を受理した。製品の型番ベースでは約500製品がラベルを取得している」(同)という(図3)。

図3:JC-STARの滑り出しと、今後の展開見込み

 基準を策定中のレベル2以上については「スマートホーム分野では2025年3月に検討結果がまとまった。電力・金融・流通分野でも検討が始まっている。特にセキュリティニーズの高いネットワークカメラと通信機器についての議論が先行しており、2025年度内の基準公開を目指している」(武尾氏)という。

 JC-STAR制度では国際連携も重視している。シンガポールや英国、米国、EU(欧州連合)などが類似制度を構築している中で「製品ベンダーの負担を軽減するために、国や地域の制度間で相互承認を目指している」(武尾氏)

 既に日米(首脳級)、日EU(閣僚級)、G7(首脳級)といったレベルで合意が形成されている。基準策定でも主要国の制度の基準との整合性を図ることで「将来的な相互承認を見据えた制度設計にしている」(武尾氏)。連携や相互承認が実現できれば国内の製品ベンダーの負担が抑えられる。

JC-STARの民間への普及には調達行動の変化が鍵に

 JC-STAR制度の本格運用が始まれば、民間企業でも「デファクトスタンダード(事実上の標準)」としての利用が見込まれる。「特に政府機関や自治体との取引がある企業や、重要インフラ事業者、大企業などは調達方針の見直しが必要になる」と武尾氏はみる。サプライチェーン全体での対応が求められるため「中小企業への影響も無視できない」(同)という。

 制度の浸透に向けては「製品ベンダーや小売事業者などと連携し、JC-STARの目的やラベルの意味合いなどを周知し、ラベル取得製品の調達・購入を浸透させていく」と武尾氏は力を込める。

 ただその過程では「単に認証ラベルを付与するだけでなく、実際の調達行動に変化をもたらせるかどうかにかかっている。政府調達での活用実績を積み重ね、民間への波及効果を生み出せるかどうかが今後の鍵になる」と武尾氏は強調する。