デジタル化の進展に伴い、IoT 製品の脆弱性を狙ったサイバー脅威の⾼まりを受けて、経済産業省および独⽴⾏政法⼈情報処理推進機構 (IPA)により、2025 年3 ⽉より、セキュリティ要件適合評価およびラベリング制度「JC-STAR」の運⽤が開始されました。
そうした取り組みを受け、2025 年5 ⽉27 ⽇、株式会社バッファロー主催で、 「セキュリティ要件適合評価およびラベリング制度 『JC-STAR』に関するプレスセミナー」を開催しました。最初に、情報セキュリティの専⾨家である横浜国⽴⼤学 吉岡克成教授から、IoT セキュリティ問題の推移と課題についてご説明いただき、次に「JC-STAR」制度を主導する経済産業省 商務情報政策局 サイバーセキュリティ課 武尾伸隆課⻑から、「JC-STAR」制度の概要と意義、今後の予定などをお話しいただきました。最後に、バッファローから執⾏役員 富⼭強が、同制度に対する⾃社の取り組みと法⼈向け対応製品の紹介、今後のビジネス展開についてお話しする、3 部構成で実施しました。
⾼度化・深刻化するサイバー攻撃の実情を知り、ユーザー(消費者)も含めた理解が必要
最初に、横浜国⽴⼤学 ⼤学院環境情報研究院 吉岡克成教授が登壇。「IoT セキュリティの過去〜現在と課題」をテーマに、勃興期、拡散 ・多様化期、⾼度化 ・深刻化期の3 つに分けてお話しいただきました。
2014〜2016 年 勃興期
当時のデバイスの⼤量感染の元凶は古い通信プログラム技術の 「Telnet」でした。その後、2015、16 年には、Mirai(マルウェア)が出現。「Miraiは、いわゆるサイバー世界のパンデミックを引き起こしました。私たちの観測網だけでも、1 か⽉で100 万アドレス以上からの攻撃が届くような状況でした。今、改めて考えてみると、Miraiの作者が意図したわけではないにせよ、その攻撃は結果的に、脆弱なIoT機器が様々なサイバー攻撃に悪用され得ることを示す「壮大な社会実験」になってしまっていたと言えるでしょう」と話し、世の中にある多くの脆弱な機器を乗っ取り、悪用することで世界を混乱させることができると実証したと説明されました。ただし、当時の⽇本は、“対岸の⽕事的状況”で、危機意識はそれほど高くありませんでした。
2017〜2020 年頃 拡散・多様化期
「Telnet」という1 つのセキュリティの⽳だけではなく、それ以外の侵⼊が急増した時期で、これまで影響を受けなかった⽇本国内の機器も感染し始めました。「新型コロナウイルスの感染拡⼤と同じように、サイバーの世界でも次々と変異種が出て、感染がさらに広がり、攻撃が⽌まらない状況になりました」と、⾝近な例を挙げて、その脅威を説明されました。
2018 年〜現在 ⾼度化・深刻化期
今⽇では、背景に国家の関与が指摘されたり、強⼒なDoS 攻撃が⾏われるなど、攻撃の⾼度化と被害の深刻化が進んでいます。特に、攻撃者が乗っ取ったサーバーなどの機器を「踏み台」として販売・貸与するなど、サイバー攻撃のビジネス化が進み、特定メーカーのルーターをプロキシとして悪⽤する事例も⾒受けられます。その対抗策として、この時期には 「最初から感染しないものを作っていこう」とする取り組みが始まりました。
セキュリティ対策は、感染後の影響を最⼩限にする発⾒的対策と感染を未然に防ぐ予防的対策が重要と⾔われています。国内では、すでに世の中で使われている脆弱な機器、感染した機器に対する発⾒的対策として 2019年 2 ⽉から「 NOTICE」の運⽤が開始。そして、2025 年 3 ⽉からはラベリング制度「 JC-STAR」により、これから世の中に出てくる機器に対する予防的対策が始まりました。
脆弱な機器が世界中に提供され、悪⽤され続けたことでインターネットにおける負の遺産 ・サイバーデブリと化していましたが、発⾒的対策により、害の⼤きなデブリは徐々に取り除かれています。さらに、新たなサイバーデブリを⽣み出さないための予防的対策も重要になってきます。「今後も、脅威の動向を把握しつつ、発⾒的対策と予防的対策の両輪を産学官連携、国際連携により推進することが重要。そして、IoT 機器を使う消費者にも、こうした状況を理解して利⽤していただくことが重要になってきている」と吉岡教授は締めくくられました。
安⼼して選べるように設計された「JC-STAR」。諸外国との連携やさらなる拡充に取り組む
経済産業省 商務情報政策局サイバーセキュリティ課課⻑ 武尾伸隆様が登壇。 「IoT 製品に対するセキュリティ適合性評価制度(JC-STAR )の概要と意義」についてお話をいただきました。
まず「 KADOKAWA」や「 ニコニコ動画」、航空事業者などがサービス停⽌に陥った例を挙げ、国内外で発⽣した最近の事案を紹介し、⾮常に緊張度の⾼い状況が続いていることを説明。さらに、⽣成AI で作成されたフィッシングメールによる攻撃や、エコシステム、ダークウェブなどの存在もあり、サイバー攻撃の増加とともに⾼度化、複雑化していく恐れを⽰唆されました。
そうした背景から、「経産省は多くの産業界を所管しておりますので、その⽴場から産業界のサイバーセキュリティを向上させる。それによって、ビジネス活動への影響を最⼩限にすることを⽬指し、NISC をはじめ関係省庁との連携のもと、4 つの柱で施策を推進しています」と、以下に挙げる現在の取り組みを紹介されました。
- サプライチェーン全体での対策強化
- セキュア・バイ・デザインの実践
(開発段階からセキュリティを考慮して、対策を組み込む「JC-STAR」の思想の実践) - 政府全体でのサイバーセキュリティ対応体制の強化
- サイバーセキュリティ供給能⼒の強化
そして、IoT 製品を利⽤するユーザーが選びやすくなるという観点で、IoT セキュリティの適合性評価制度を検討。IPA を運⽤主体とした「JC-STAR」制度が始まりました。対象は、ルーター、ネットワークカメラ、スマート家電などのほかに、産業⽤制御機器といったインターネットに直接または間接的につながるような機器。セキュリティレベルを4 段階設け、ユーザーの重要度、セキュリティの重要度に応じた製品を選んでもらう制度です。「3 ⽉に運営を開始して、ラベルの付与製品の第1 弾が公開されました。14 社から申請があり、500 弱の製品にラベルが付与されている状況です」と、最新の報告がされました。
諸外国でも、類似の制度の検討、推進が始まっており、このようなラベリング制度をそれぞれの国ごとに運営するとメーカーにとってはラベル取得のためのコストがかさむため、相互承認に向けた議論も進められています。国内では、「サイバー攻撃のリスクにも接しているため、政府機関や重要インフラ事業者、地⽅公共団体向けの各ガイドライン類に本制度のラベル付与製品の調達に関する⽅針を盛り込む⽅針が⽰されています」と補⾜されました。並⾏して、スマートホームなど特定分野のシステムに関する業界団体やワーキンググループとの連携も進んでいます。
⼀般消費者向けのラベル普及の取り組みとしては、チラシやポスターの制作が進んでおり、警察庁のほか多くの関係団体から賛同を得て、取り組みが紹介されています。「今後は、★2 (レベル2)以上の基準作りを順次⾏っていきますが、まず先⾏するのはネットワークカメラと通信機器です。こちらについてはワーキンググループを開始しており年度内に順次運⽤開始したいと思っています」と話され、外国との国際連携や政府調達のガイドライン改正とともに、制度のさらなる拡充の展望を語られました。
「JC-STAR」認証と⾃社独⾃の取り組みにより、付加価値の⾼いサービス提供を⽬指す
バッファロー執⾏役員 富⼭強からは、「JC-STAR」制度に対する弊社の取り組みや、バッファローの法人向け「JC-STAR」適合製品を紹介、今後のビジネス展開について説明しました。
「JC-STAR」適合の取り組みの背景として、販売店様、エンドユーザー様へ⽇々コミュニケーションを取る中でも、セキュリティに対するご要望は多いです。実際に、定期的に実施している実態調査(2025 年調査)で「ランサムウェア対策の必要性が⾼まっていると感じるか」という質問に「とても感じる」「やや感じる」という回答が約90%を占める結果となり、セキュリティ対策の必要性は⾼い状態が続いています。 「そうした危機感がある⼀⽅で、 『どう対策したら良いかわからない』『どこに相談したら良いかわからない』という声が多いという実情があります」と補⾜し、現場に寄せられたリアルな声を伝えまし
た。
バッファローとしては、ネットワークに関しては、裾野の広い分野で活⽤していただける製品として「 UTM機能対応ルーター」をリリース。お客様の⼤切なデータが⼤量に保存されているストレージ・NAS については、ウイルスチェック機能(有償)やファイルに対する異常な操作を検知するとアラートを出す機能、スナップショットを削除・変更できない「不変」な状態で保存し、不正アクセス時にもスナップショットデータを保護する機能など、セキュリティに対する機能、サービスの強化を推進しています。
実際に、今回の 「JC-STAR」の展開先とされている政府機関、重要インフラ業者、地⽅公共団体への商品導⼊実績が多数あり、地⽅公共団体としては、「旭川市役所」様、「新潟県加茂市」様、「群⾺県中之条町」様、「⼭⼝県岩国市役所」様などがあります(実績の⼀例であり、「JC-STAR」認証のものではありません)。
これらのセキュリティ機能に加えて、「JC-STAR」★1 (レベル1)適合のガイドラインに則り、バッファローではたとえば以下のような取り組みをしています。
それ以外の取り組みとして、「JC-STAR」の制度検討を行う助言機関である「通信機器適合基準検討ワーキンググループ」 に、弊社および弊社が会員である「デジタルライフ推進協会(JC-STAR制度賛同団体)」として参加しています。
2025 ⽇5 ⽉21 ⽇に公開された最初の 「適合ラベル取得製品リスト」には、法⼈向けにWi-Fi アクセスポイント、ルーター、NAS を20 シリーズ計76 型番、コンシューマー向けにWi-Fi ルーター1 シリーズ計3型番をラインナップ。
「⼀般のコンシューマー向け商品から官公庁等でもお使いいただける法⼈向け商品までを取り揃えているメーカーとして、幅広く適合商品を出していくことが我々の役割だと考えています」と、バッファローの社会的責任に触れつつ製品を紹介しました。特にNAS (TS5020 シリーズ)は、⼤切なデータを守るセキュリティ機能を備えたセキュリティNAS としてご案内しています。
今後も、適合製品拡充とセキュリティ分野を強化に取り組むとともに、登録事業所数4,400社、登録ユーザー数12,600名様以上のパートナー(VARパートナー)様と連携し、政府機関や地方公共団体、重要インフラ業者、中小企業含めた民間企業へ、「JC-STAR」適合による目に見えるセキュリティ確保による安心を提供して参ります。
「我々バッファローが単独で取り組むより、より広く、より早く、皆様に知っていただくことができると考えています。また、その活動を通じていただいたニーズのフィードバックを受け、さらなる商品展開に活かしていきたいです」と話し、「JC-STAR」制度の認知拡⼤や付加価値の⾼いサービスの提供に取り組むことをお伝えして、セミナーは閉会しました。
【無料配布】知って納得 JC-STARガイドブック
セミナーレポートをお読みいただきありがとうございました。
ぜひ、JC-STARが良く分かるガイドブックもご覧ください。
なぜセキュリティ制度が必要なのか等をまとめた、IT担当者必見の資料です。
