法人向けWi-Fi(無線LAN)
法人向け有線LAN
LTEルーター
法人向けNAS・HDD
SSD
ブルーレイ/DVD/CDドライブ
法人向けメモリー・組込み/OEM
法人向けUSBメモリー
メモリーカード・カードリーダー/ライター
映像/音響機器
法人向け液晶ディスプレイ
法人向けケーブル
法人向けマウス・キーボード・入力機器
法人向けヘッドセット
法人向けスマートフォンアクセサリー
法人向けタブレットアクセサリー
法人向け電源関連用品
法人向けアクセサリー・収納
テレビアクセサリー
オフィスサプライ
その他周辺機器
データ消去JC-STARとは?新しく運用が開始されたIoT製品セキュリティー制度を紹介
2025年3月時点の情報です
「JC-STAR」が2025年3月から運用開始されました
本制度(JC-STAR制度)におけるIoT製品とは、ネットワークに接続可能な機器全般のことを指しており、たとえばバッファローの製品では、無線ルーターや無線アクセスポイント、スマートスイッチやNASなどが該当します。バッファローも今後「JC-STAR」制度の対応を一部の製品で予定しています。
「JC-STAR」とは
画像:「JC-STAR」制度ロゴ
「JC-STAR」とは「セキュリティ要件適合評価及びラベリング制度(Labeling Scheme based on Japan Cyber-Security Technical Assesment Requirements)」のことです。「JC-STAR」は、「ETSI EN 303 645」や「NISTIR 8425」等の国内外の規格とも調和しつつ、独自に定める適合基準(セキュリティー技術要件)に基づき、IoT製品に対する適合基準への適合性を確認・可視化する日本の適合性評価制度です。
「JC-STAR」は、経済産業省の示す制度構築方針に従い、同省の監督のもと、IPA(独立行政法人 情報処理推進機構)が制度を構築・運営するスキームです。
画像:「JC-STAR」制度ロゴ
(提供)IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/
IoT製品を選ぶ際に「JC-STAR」のラベルを確認することで、セキュリティー要件を満たしたサイバー攻撃に強いIoT製品を選びやすくなります。
たとえばIPAでは下記のセキュリティー水準の考え方が挙げられています。
バッファローの「JC-STAR」適合予定製品では、たとえば下記のようなセキュリティー仕様を定めています。
・管理画面ログイン
個人向け製品:ログインパスワードの初期値を固有化
(参考)DLPA推奨ルーター https://dlpa.jp/wifi_support/
法人向け製品:初期設定時にログインパスワードの変更を必須化
誤ったログインパスワードで連続でログイン試行された場合に一定期間のアクセス制限を実施
・製品内に保存される設定値の暗号化
・ファームウェア自動更新機能で重要なセキュリティー関連アップデートを自動適用
・サポート期間内のセキュリティーアップデートの提供
・設定初期化機能の具備
・サプライチェーン(設計・製造プロセス)におけるマルウェア混入リスクの回避
「JC-STAR」のラベリング制度について
画像:適合ラベルの読み方
「JC-STAR」では、IoT製品が求められるセキュリティー水準に応じて、適合度を示す★の数とともに「JC-STAR 制度ロゴ」が適合ラベルとしてメーカーのホームページや製品のパッケージ等に表示されます。適合ラベルには二次元バーコードも表示されているので、バーコードを読み取るだけで、製品詳細や適合評価、セキュリティー情報・問い合わせ先などの情報を簡単に取得できるようになります。
画像:適合ラベルの読み方
(出典)IPA 独立行政法人 情報処理推進機構 HP
「セキュリティラベリング制度(JC-STAR)についての詳細情報」
https://www.ipa.go.jp/security/jc-star/detail.html
「JC-STAR」の適合基準について
画像:「JC-STAR」適合基準の分類
「JC-STAR」の適合基準は適合ラベルに表示される星の数を確認することで直観的に判断することができるようになっています。
星の数が増えるほど厳しいセキュリティー適合基準を満たしており、それぞれの適合基準の位置付けは下記のように定められています。
画像:「JC-STAR」適合基準の分類
(出典)IPA 独立行政法人 情報処理推進機構 HP
https://www.ipa.go.jp/security/jc-star/detail.html
適合基準のレベルとその位置付け
★(レベル1)
製品として共通して求められる最低限のセキュリティ要件を定め、それを満たすことをIoT製品ベンダーが自ら宣言するもの
★★(レベル2)
製品類型ごとの特徴を考慮し、★1(レベル1)に追加すべき基本的なセキュリティ要件を定め、それを満たすことをIoT製品ベンダーが自ら宣言するもの
★★★(レベル3) / ★★★★(レベル4)
政府機関や重要インフラ事業者、地方公共団体、大企業等の重要なシステムでの利用を想定した製品類型ごとの汎用的なセキュリティ要件を定め、それを満たすことを独立した第三者が評価して示すもの
2025年3月時点では、まず★(レベル1)の運用が開始されました。★★(レベル2)から★★★★(レベル4)については今後運用が追加されます。
(出典)IPA 独立行政法人 情報処理推進機構 HP
「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」
https://www.ipa.go.jp/security/jc-star/index.html
「JC-STAR」の普及に向けた動き
IPAは、「JC-STAR」制度の普及を目指して、以下の取組みを行うことを発表しています。
政府機関、重要インフラ事業者、地方公共団体など、社会的にセキュリティリスクが高く、確かな制度利用が見込まれる組織に対して、IoT製品の調達要件として、ラベル取得製品であることを含めるように働きかけ
業界標準として、IoT製品ベンダーと調達者・利用者が、ラベルが付与された製品の製造・販売や選定・調達するように、業界団体と協調
諸外国の制度と協調的な制度を構築し、相互承認を図ることで、IoT製品を海外に輸出する際に求められる適合性評価にかかるIoT製品ベンダーの負担を軽減
(参考)IPA 独立行政法人 情報処理推進機構 HP
「JC-STAR活用に向けた取り組み」
https://www.ipa.go.jp/security/jc-star/leverage.html
「JC-STAR」制度が必要となる背景
近年、IoT製品の普及が進みましたが、結果としてインターネットから攻撃できる場所がいたるところに増え、金銭や機密情報を奪われたり業務中断するなど、経済的損失を生じる可能性が大きくなりました。
1. 増え続けるIoTデバイス
画像:IoT製品台数の推移
市場に流通しているIoT製品の台数は、2019年以降のデータを確認すると、2023年まで毎年増えており、2024年以降も増加が続くと予測されています。特にグラフで緑色に示した「コンシューマ」関連製品の伸びが大きいですが、「コンピュータ」関連を除く「自動車・宇宙航空」「医療」「産業用途」「通信」関連のIoT製品においても一様に増加傾向となっています。
画像:IoT製品台数の推移
(出典)Omdia
総務省 HP「令和6年版 情報通信白書 データ集」
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r06/html/datashu.html
2. サイバー攻撃の増加
画像:NICTERにおけるサイバー攻撃関連の通信数の推移
IoT製品の市場規模の増大に伴って、サイバー攻撃による犯罪に巻き込まれるリスクも増大しています。
国立研究開発法人情報通信研究機構(NICT)が運用している大規模サイバー攻撃観測網(NICTER)のダークネット観測で確認された2024年のサイバー攻撃関連パケット数(約6862億パケット)は過去最高数となりました。
画像:NICTERにおけるサイバー攻撃関連の通信数の推移
(出典)国立研究開発法人情報通信研究機構「NICTER観測レポート2024」を基に作成
https://csl.nict.go.jp/nicter-report.html
セキュリティーの新基準「JC-STAR」制度を活用した製品選定を
IoT製品が身近になりサイバー攻撃が増える昨今、被害にあわないよう製品選定からセキュリティーを意識して取り組むことが大事です。
「JC-STAR」制度への適合は任意の制度であり、★(レベル1)の申請受付の開始が2025年3月25日に始まったばかりです。そのために「JC-STAR」制度に適合した製品の流通はまだ広く進んでいませんが、今後「JC-STAR」制度に適合した製品が増えてくるでしょう。
バッファローの製品も「JC-STAR」制度の対応を予定しています。
セキュリティー要件適合評価及びラベリング制度「JC-STAR」を参考にしつつ、セキュリティー要件を満たした安全なIoT製品を採用し、サイバー攻撃にも強い環境を構築しましょう。