JC-STAR（セキュリティ要件適合評価及びラベリング制度）が作る、セキュアな製品が選ばれる時代

2025年3月、IoT製品のセキュリティを共通の基準で評価・可視化する新制度「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」が始動しました。本制度は製品に備わるセキュリティ機能を明示し、利用者が信頼できる製品を選択できる環境の整備を目的としています。本セッションでは、経済産業省の木本 達也氏を迎え、制度創設の背景から導入のねらいをはじめ、政府と民間が連携した普及戦略や今後の展望を伺いました。

登壇者

経済産業省 商務情報政策局
サイバーセキュリティ課
課長補佐
木本 達也氏

PwCコンサルティング合同会社
ディレクター
奥山 謙

脆弱なIoT機器を狙う攻撃、日本が直面するセキュリティ課題

奥山：
最初に木本さんの経歴を教えていただけますか。

木本氏：
私は経済産業省のサイバーセキュリティ課で課長補佐を務めており、JC-STARの構築を担当しています。JC-STARでは制度設計や運用スキームの検討に加え、関係省庁や業界団体との調整も行っています。

以前は情報システムの監査やアドバイザーとして、主に金融機関や重要インフラ事業者を対象にセキュリティ支援をしていました。そうした背景からも、リスク評価の観点でJC-STARの必要性を強く感じています。

奥山：
JC-STARが生まれた背景として、従来のサイバーセキュリティ対策では解決できない課題があったと推察します。具体的にどのような課題があったのでしょうか。

木本氏：
IoT機器の最大の課題は、従来のIT機器と比べてセキュリティ対策が遅れていることです。市場には多種多様なIoT機器が出回っているにもかかわらず、安全性の低い製品が多く存在しています。利用者側も、どの製品が安全なのかを判断するすべがないまま使っているのが現状でした。

特に問題なのは、そうした脆弱な機器を狙った攻撃が実際に発生していることです。例えば自動車の遠隔操作や、ネットワークカメラへの不正アクセスなど、生活や社会インフラに直結する被害もすでに発生しています。

一方で、欧米では「セキュア・バイ・デザイン」という考え方が広がっており、製品設計の初期段階からセキュリティを組み込むことを推進する制度設計が進んでいます。日本も国際的な潮流に遅れないよう、製品の安全性を可視化し、ユーザーが信頼できる製品を選択できる仕組みが求められていたのです。

奥山：
国際的な動向を踏まえ、日本ではどのような取り組みを進めているのでしょうか。JC-STARの位置付けも含めて教えてください。

木本氏：
私たちが進めるサイバーセキュリティ政策は、主に4つの柱で構成されています。

まずは、サプライチェーン全体の対策強化です。産業全体のセキュリティ底上げを目指し、サイバー・フィジカル・セキュリティ対策フレームワーク（以下、CPSF）に基づくガイドラインを策定しています。また、中小企業向けには「サイバーセキュリティお助け隊サービス」を提供し、その普及にも取り組んでいます。

2つ目は、JC-STARです。同制度は製品の設計段階からセキュリティを組み込む「セキュア・バイ・デザイン」の考え方に基づき、一定の基準を満たしたIoT製品にラベルを付与する仕組みです。利用者が安全な製品を見分けて選べるようにし、社会全体のIoTセキュリティ向上を目指しています。併せてソフトウェア部品表（SBOM）の活用も重要な取り組みとして進めています。

3つ目はインシデント対応です。政府機関やJPCERT/CCなどの支援組織が連携し、迅速な情報共有と対応体制の整備を進めています。そして最後が産業振興です。国内のサイバーセキュリティサービス事業者育成を目的とした支援戦略を推進しています。

これらの政策は、CPSFの下で体系化されています。CPSFは、経営層向けの方針から実務的なIoT対策、業種別ガイドラインまで幅広く整備されています。

ただし、ガイドラインはあくまで任意であるため、特にIoT分野では実効性を確保する必要がありました。そこで、セキュリティを実装した製品をラベルによって明確に識別できるJC-STARを導入し、安全な製品の流通を促すことで、IoT全体のセキュリティ向上を目指したのです。

製品の安全性を「★」で可視化、JC-STARの全体像と特徴

奥山：
ありがとうございます。次にJC-STARとはどのようなものか、その内容を教えてください。

木本氏：
以下がJC-STARの全体像です。

^{（※1）経済産業省「ワーキンググループ3（IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会）」
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/index.html
（※2）独立行政法人 情報処理推進機構（IPA）「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」
https://www.ipa.go.jp/security/jc-star/index.html}

各国でIoTの法制度やラベリング制度の整備が進む中、日本でも1年半の検討会を経て、2024年3月に最終取りまとめを公表。パブリックコメントを通じて広く意見を募った後、制度内容を精査し、2025年3月25日に制度が正式に開始しました。検討会には政府関係者だけでなく、民間企業や業界団体、セキュリティ専門家も参加し、現場の実情や技術的知見を踏まえた実効性の高い制度設計がなされています。

図の左側にある星マークが、JC-STARのロゴとラベルです。このラベルを見ることで、消費者や調達者が安全な製品を選択できる環境の構築を目指しています。対象製品は幅広く設定しており、ルーターやネットワークカメラなどの直接接続機器から、スマート家電、産業用コントローラーやセンサーまで包含しています。海外制度が消費者向け中心なのに対し、日本では産業向けも対象とする点が特徴です。

制度は★1から★4の4段階で構成されます。今回開始した★1では、以下の16項目の最低限基準を満たした製品にラベルを発行します。★2以上は製品類型ごとに順次整備する予定で、すでに通信機器やネットワークカメラの検討を開始しており、一部の基準については2025年度途中の制度開始を目指しています。

^{（※1）IPA「セキュリティ要件適合評価及びラベリング制度（JC-STAR）> ★1（レベル1）適合基準・評価ガイド」
https://www.ipa.go.jp/security/jc-star/tekigou-kizyun-guide/label1/index.html}

認証方式は段階的で、★1と★2は自己適合性宣言、★3と★4は政府機関や重要インフラ事業者向けとして第三者評価機関による認証とし、信頼性と普及のバランスを図っています。

奥山：
根本的な質問ですが、そもそもなぜ「ラベリング制度」という手法にしたのですか。従来の調達プロセスには、どのような課題があったのでしょうか。

木本氏：
現状から説明します。例えば大企業では、IoT製品の調達時にセキュリティを重視するルール自体は整備されています。しかし実際には、製品選定にセキュリティ部門やIT部門が関与せず、業務部門が独自に調達してしまうケースも少なくありません。その結果、大企業であっても、十分なセキュリティを考慮した製品選びができていないのが実情です。さらに、地方自治体や中小企業では、製品のセキュリティを判断できる人材や専門組織がそもそも存在しないケースも多く見られます。

こうした課題に対して私たちが目指しているのは、求めるセキュリティ水準を満たした製品を「ラベリング」という形で可視化し、誰もが適切な製品を選べる環境を整えることです。

ただし、その仕組みを制度として機能させるには、一定の普及が不可欠です。ラベル付き製品が市場に出回らなければ、調達時に比較・判断の基準として使えません。一方、調達の現場でラベルが活用されなければ、メーカー側も取得コストに見合う価値を感じられないでしょう。ですから、製品供給側と調達側の両面でラベルの活用を促進していく「両輪の推進」が不可欠です。これが、ラベリング制度を実効性あるものとして根付かせる鍵だと考えています。

JC-STAR普及戦略の鍵は「政府主導」と「業界連携」

奥山：
JC-STARを普及させるには、制度整備だけでなく、民間企業や業界全体を巻き込んだ取り組みも不可欠ではないでしょうか。政府ではどのような方針や施策を実施していますか。

木本氏：
ラベルは、調達者に使われなければ普及せず、一方でメーカーが取得しなければ調達時にも使われません。この循環を断ち切るためには、まずメーカーにラベル取得の第一歩を踏み出してもらうことが重要だと考えています。

そのためには、この制度が確実に普及し、調達時に活用されるようになるという政府の姿勢を明確に示す必要があります。実際、2024年7月の政府統一基準群のガイドライン改定では、IoTセキュリティラベリング制度を政府として活用する方針を明記しました。さらに、ラベルの普及状況に応じて、将来的には政府調達において取得を必須とする方針であることも示しています。

さらにこの方針を受けて、総務省が所管する地方自治体向けのセキュリティポリシーガイドラインや、内閣サイバーセキュリティセンター（NISC）（現：国家サイバー統括室（NCO））が所管する重要インフラ事業者向けの行動指針にも、同様の内容を反映していく予定です。こうした政府方針を通じて、地方自治体や重要インフラ事業者はもちろん、大企業や中小企業においても、調達の場面でラベルが活用される環境を整えていきたいと考えています。

奥山：
ありがとうございます。制度の普及に向けて政府として強いメッセージを出しているとのことですが、実際に制度を運用していく上では、政府統一基準群のガイドラインの具体的な内容や、製造業界へのアプローチが重要になるかと思います。ガイドラインの改定でどのような点が強化されたのか、またメーカーや業界団体への働きかけについて、その詳細を教えていただけますか。

木本氏：
まず、ガイドラインについてです。2024年7月の改定版では、調達時にセキュリティを考慮する必要性がより具体的に示されました。更に2025年度の改定に向けて、「IoT製品を購入する際は、★1相当の要件を満たしていることを確認する」と明記する方向で検討を進めており、現場での判断が容易になることを目指しています（注：2025年9月に「JC-STARのラベル取得状況をIoT機器等の調達の選定基準の一つとする旨、ガイドライン上追記された」）。

今後、JC-STARが本格運用される中で、特に政府調達では将来的に★1以上の取得を必須とする方針も示されています。

また、民間企業や製造業界への普及については、制度に賛同する主要5団体を通じて説明会を実施し、ラベル取得の意義や政府調達での活用可能性について情報提供を進めています。

一方、スマートホームや製造業、電力業界など、政府が調達に直接関与していない領域も多くあります。こうした分野では、業界団体と連携しながらユーザー企業やメーカーを巻き込むかたちで、★1基準の普及や★2以上の活用促進に取り組んでいます。業界ごとにワーキンググループを設け、今後の基準策定に向けた議論も進めています。

先の表で示したとおり、★1の評価基準は最低限の16項目で構成されています。例えば「デフォルトパスワードの無効化」や「セキュリティアップデートの提供とその容易な実施手段」などが含まれます。

評価方式については、現時点では第三者認証ではなく、自己適合宣言型が先行しています。★1はメーカー自身が16項目の基準に適合しているかを自己評価し、その結果を情報処理推進機構（IPA）に提出することでラベルが付与される仕組みです。

制度の信頼性を高めるため、自己適合であっても外部評価を受けたことが制度サイトで明示される仕組みを整えています。また、評価機関や検証事業者の枠組みも構築しつつあります。

特に中小のIoT製品ベンダーでは、専門人材が不足しており、十分な対策が困難なケースも少なくありません。そのため、外部評価やコンサルティング的支援を活用できる仕組みに加え、補助金制度の整備も視野に入れて、制度の利用促進を後押ししていく考えです。

ユーザー自らが「安全」を選べる未来へ

奥山：
ここまでのお話から、セキュリティ品質の高い製品が当たり前に選ばれる社会を実現するためには、政府、製品ベンダー、そしてユーザーがそれぞれの立場で役割を果たすことが不可欠であると、改めて感じました。

セキュアな製品が選ばれる会社に向けて

図に示されているとおり、政府や制度運営者には、信頼性ある評価制度としてJC-STARを整備・普及させていく責任があります。製品ベンダーは、この制度を活用して製品の安全性を可視化し、セキュア・バイ・デザインの考え方を実装していくことが求められます。そしてユーザーは、ラベルを通じて製品のセキュリティを正しく理解し、自らの判断で選択・要求するセキュア・バイ・デマンドの考え方を実践していくことが重要です。この三者が制度を通じてつながることで、IoT製品の世界にも「安全であること」が当然視される、新たな市場の基準が根付いていくはずです。

例えば、小さな子どもに与える食品や製品の安全性を誰もが自然に気にかけるように、IoT製品についても、今後は安全性が選択の前提となる社会の実現が望まれます。JC-STARは、そうした未来に向けた重要な一歩として、大きな意味を持つのではないでしょうか。

木本さん、本日はありがとうございました。