IoT製品に対するセキュリティ適合性評価制度とは―IoT製品・サービスを提供する製造業へのインパクト―
2022年11月から経済産業省の産業サイバーセキュリティ研究会にて「IoT適合性評価制度」の議論が始まりました。IoT製品のセキュリティ品質に投資し、認証マークによってそのセキュリティ品質の高さをユーザに訴求するIoT製品提供者の増加が期待されます。
2025年3月25日より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。1
JC-STARの運用にあたっては、内閣サイバーセキュリティセンター(NISC)の「政府機関等のサイバーセキュリティ対策のための統一基準群2」を筆頭に、トップダウンによる同制度の活用を推奨する動きが進んでいます。
これに伴い、主に政府機関および地方公共団体を中心に、JC-STARを活用したセキュアな製品を要求するSecure by Demand3の動きが広がっていくことが予想されます。
ここでは、行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
JC-STARを取り巻く外部環境
JC-STARは経済産業省によって2022年より検討が開始され、2024年に独立行政法人情報処理推進機構(IPA)によって制度運用が発表された後に、2025年3月25日より申請受付が開始されました。制度発表に先駆けて、NISCの「政府機関等のサイバーセキュリティ対策のための統一基準群」における「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」の一部改定が2024年7月に行われています4。同文書の「4.3機器等の調達」節における「必要なセキュリティ機能が適切に実装されていること」に対する基本対策事項として、JC-STARの活用が示されています。また、ラベル付与製品が普及する時期を目途に、政府機関などでは求めるセキュリティ水準に応じたラベル付与製品の調達を必須化することも示されています。
本改定に伴い、主に経済産業省および総務省が公開している関連文書の改定が進められています(図表1)。
図表1:統一基準改定に伴う各種文書への波及の流れ
JC-STARに関する政府機関・地方公共団体に向けた動き:新たなセキュリティ要件としての取り扱い
経済産業省およびIPAでは、「IT製品の調達におけるセキュリティ要件リスト5」および「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック6」の改定が進められています7。これらの文書は、2025年4月現在における最新版の発行が2018年となっていることから、セキュリティ要件として新たにJC-STARを追加しつつ、既存のセキュリティ要件であるCommon Criteria(CC)によるCollaborative Protection Profile(cPP)についても現在の動向を踏まえた改定が行われ、さらに製品分野も従来の11製品分野に加えて、IoT製品が追加される見込みです(図表2)。
図表2:IT製品の調達におけるセキュリティ要件リストに掲載されている製品種別
※★がついている製品種別はJC-STARの対象となり得る製品
IoT製品(新規追加)★ |
デジタル複合機★ |
ファイアウォール★ |
IDS/IPS |
サーバOS |
データベース管理システム |
ICカード |
暗号化USBメモリ |
ルータ/レイヤ3スイッチ★ |
VPNゲートウェイ★ |
ドライブ全体暗号化システム |
モバイル端末管理システム |
今後、調達元は改定された要件リストを参照し、JC-STARをはじめとしたセキュリティ要件を設定することになることが期待されます。なお、セキュリティ要件として従来どおりcPPが併記される製品分野について、現時点では、必ずしもJC-STARが必須要件になるとは言い切れない一方で、cPPとJC-STARでは想定している脅威が完全に一致しているわけではないため、調達者は、よりセキュアな製品調達をするためにそれらを組み合わせたセキュリティ要件を提示する可能性があります。その他、従来の製品分野に分類できない製品は、原則IoT製品に分類されることとなり、その場合はJC-STARが必須要件になることが予想されます(ネットワークカメラをはじめとした特定用途機器8など)。
なお、当該文書は主に政府機関にだけでなく、一般企業における製品調達時にも活用することができます。
また、地方公共団体の情報セキュリティに関する指針である、「地方公共団体における情報セキュリティポリシーに関するガイドライン」は、総務省の検討会の中で改定が進められています。同ガイドラインは、自治体への意見照会、パブリックコメントによる意見公募を経て2025年度内の公開を目指すとしています(検討会第16回資料より9)。
これにより、2025年4月以降の各自治体などの地方公共団体によるIoT製品調達は、JC-STARの取得あるいは取得見込み製品であることが要件となることが予想されます。
JC-STARに関する民間企業に向けた動き:重要インフラを中心に進む活用検討
経済産業省の「産業サイバーセキュリティ研究会 ワーキンググループ1(電力サブワーキンググループ)」では、「エネルギー・リソース・アグリゲーション・ビジネス(ERAB)に関するサイバーセキュリティガイドライン」についても改定が進められており、リソースアグリゲーターの制御対象にIoT製品を新たに導入する場合に、JC-STAR適合製品を選択することが「勧告」として盛り込まれる見込みです10。
また、本稿執筆時点では2025年の下期に、製品類型別の基準である★2以上の新たな適合基準の公開・運用が予定されており、その対象にネットワークカメラと情報通信機器(ルータなど)が候補として挙がっています。それ以外の製品類型については、制定の必要性や関係組織からの要望に応じて検討されるとしています。なお、今後追加が検討される分野としては、スマートホームが挙げられます。経済産業省は消費者向けIoT製品の利用が広がっているとして、電子情報技術産業協会(JEITA)および重要生活機器連携セキュリティ協議会(CCDS)関係者と連携し、「スマートホームSWG」を拡大して★2以上評価基準の検討を進めています。同様に、金融・流通分野においても日本自動販売システム機械工業会(JVMA)およびCCDSを主な検討主体としてJC-STARの活用検討を進めています11。
それに伴い、同省では、特定分野システム(スマートホームや工場、ビルシステムなど)を対象にJC-STAR制度の活用検討における参考情報として、「特定分野システムのIoT製品におけるJC-STAR制度活用ガイド12」を2024年11月に公開しているほか、各業界団体に対して、サイバーセキュリティ対策に関する同省の施策の周知案内を出すなど、民間企業へのJC-STARの認知・普及を進めています。
JC-STAR制度の申請受付開始と、IoT製品メーカーへの提言
いよいよJC-STAR制度による★1の申請受付が2025年3月より開始されました。受付開始にあわせてガイドラインをはじめとしたさまざまな文書の改定・公開が進められており、政府機関・地方公共団体をはじめとした組織も今後の製品調達の際に、同制度をセキュリティ要件として設定することが予想されます。この動きは民間企業においても、前述のとおり周知活動が進められていることから、同様に普及していくものと考えられます。
そのため、特にこれまで紹介・解説したガイドラインなどに記載あるいは、関連のあるIoT製品のメーカーは、政府機関や地方公共団体などの組織からの調達要件に対応できるよう、改めてJC-STARの基準および申請方法について確認し、必要に応じて対応準備を進めることを推奨します。
現在は政府機関や地方公共団体、民間企業における調達を中心に、ガイドラインの整備や周知活動が進んでいますが、今後、この流れは一般消費者に向けても、何らかの形で周知活動が行われていくものと予想されます。こうした動きが加速し、市場における認知度向上に伴って、適合ラベルによって可視化された製品が市場競争力の有効性を増すとともに、こうした製品をユーザーが積極的に選ぶことでユーザー自身のセキュリティリスクを回避するだけでなく、インターネット社会全体のセキュリティ向上につながることが期待されます。
1https://www.ipa.go.jp/security/jc-star/index.html
2https://www.nisc.go.jp/policy/group/general/kijun.html
3https://www.cisa.gov/resources-tools/resources/secure-demand-guide
4https://www.nisc.go.jp/pdf/policy/general/guider6.pdf
5https://www.meti.go.jp/policy/netsecurity/cclistmetisec2018.pdf
6https://www.ipa.go.jp/security/it-product/guidebook.html
7https://www.ipa.go.jp/choutatsu/nyusatsu/2024/nyusatsu20240926.html
8「特定用途機器」とは、テレビ会議システム、IP電話システム、ネットワークカメラシステム、入退管理システム、施設管理システム、環境モニタリングシステム等の特定の用途に使用される情報システム特有の構成要素であって、通信回線に接続する機能を備えている又は内蔵電磁的記録媒体を備えているものをいう。(政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版)より引用)
9https://www.soumu.go.jp/main_sosiki/kenkyu/chiho_security_r03/02gyosei02_04000202.html
執筆者
和栗 直英
シニアマネージャー, PwCコンサルティング合同会社
IoT適合性評価制度が作るセキュアなIoT社会
1 result
Loading...
Loading...
インサイト/ニュース
20 results
Loading...
デジタル規制、いま企業に求められること ビジネスパーソンとメディアの新たな関係
NIKKEI Digital Governance 編集長の中西豊紀氏とTMI総合法律事務所パートナー弁護士の大井哲也氏とともに、企業に求められるデジタル法規制対応のあり方を示し、実務担当者の意思決定を支えるメディアの役割について議論しました。
日経Digital Governanceフォーラム「グローバルビジネス、勝つためのデジタル法規制対応」
「NIKKEI Digital Governance 」が主催する本フォーラムでは、各国のデジタル法規制の最新動向を専門家が解説。さらに、日本企業がこれらのデジタル法規制に対応し、競争力をどのように維持・向上させるかについて議論します。
IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
ISMAP管理策評価の自動化に向けた洞察―NIST IR 8011 v1r1ドラフトを踏まえて
NISTが公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。
Loading...
