2025年より運用が開始された「JC-STAR制度」をご存知でしょうか。
本制度は、ルーターやネットワークカメラといったIoT機器のセキュリティを評価するラベル制度です。
政府機関や地方公共団体での採用に加え、工場やビルシステムの標準化においても活用が推進されています。
今回は、情報資産管理の視点から情報システム管理者の皆さまに向けて、JC-STAR制度の具体的な活用方法を提案します。
JC-STAR(セキュリティ要件適合評価及びラベリング制度)は、経産省の方針に基づきIPAが運用する制度です。
製品の重要度や特性に応じ、★1から★4までの4段階のセキュリティ要件が定められています。
| レベル | セキュリティ要件の概要 | 評価手法 |
|---|---|---|
| ★1 | IoT製品に共通して求められる最低限の要件 | 自己適合宣言 |
| ★2 | 製品タイプ別(通信機器等)の基本要件 | 自己適合宣言 |
| ★3 | 重要システム向けの高度な要件 | 第三者認証 |
| ★4 | 極めて高い信頼性が求められる要件 | 第三者認証 |
※2026年3月現在、★1ラベル製品の流通が先行しており、★2以上の運用は順次拡大している段階です。★1は、IPA公開の「適合基準」に基づき、製品メーカーが自己適合宣言を行う形式となっています。
情報漏洩や連携先の機能に不具合があった場合のリスクを管理するため、パスワードではなく、APIキーが必要です。
特に以下のような理由からWebサービス連携には API と APIキー を利用します。
パスワードがアカウントに対して1対1であるのに対して、多くの場合、APIキーはアカウントに対して複数発行できます。 このため、連携する外部サービス毎にAPIキーを発行し「使い捨て」することでパスワードに比べて漏洩リスクや管理コストを低減できます。
また、多くの場合、APIキーを発行する際には「利用可能な機能」や「利用条件(利用期限やアクセス元など)」を設定できます。 スケジュール管理サービスの例であれば、「スケジュールの登録」と「空き時間の参照」だけを許可すれば、APIキーを盗まれても「スケジュールの盗み見」を回避できます。
JC-STARはまだ運用が始まったばかりの制度で、2026年の春時点では登録製品も限定的です。
ここでは制度が成熟した将来を見据え、情シス業務にどう組み込むかを3つの視点で提案します。
全候補製品を自社で詳細評価するのは現実的ではありません。そこで、JC-STARを最初の判断材料にします。
★1には、パスワード管理やソフトウェア更新機能など、厳選された16の確認事項(評価項目)があります。
評価項目への検査自体は「自己評価による宣言」ですが、メーカーが制度に則った運用(脆弱性対応や監査への協力)を公約している証となります。
また、今後、★3以上(第三者認証)の運用が始まれば、より高い信頼性が求められる製品選定にも活用できます。
ISMS等の運用において、IoT機器(ルーター、カメラ等)の棚卸しは欠かせません。
JC-STARの「適合ラベル取得製品リスト」では、以下のような情報が統一書式で公開されています。
バラバラなメーカーサイトを探し回る手間を省き、効率的な台帳更新が期待できます。
IoT機器の寿命は、ハードウェアの故障ではなく「安全に使える期間」すなわち脆弱性対応の終了で決まります。
実際に、脆弱性対応の終了したルーターや無線LANアクセスポイントが侵害され、攻撃に利用されるリスクが指摘されています。
JC-STARのラベルは2年毎の更新が必要で、メーカーがサポートを終了する場合は「自主取り下げ」を行うルールになっています。
このため、ラベルの有効期間をIoT機器のライフサイクル管理の目安として活用できます。
JC-STARはまだまだ始まったばかりの制度です。この制度が今すぐ情シスの悩みを解決するわけではありません。
登録された機器は限定的であり、情シス業務に活用するには多くの時間と模索が必要となるでしょう。
この制度が一般消費者や情シスにとって有用な制度になるには、IoT機器の利用者自身が制度に積極的に関わることが必要です。
「安さ」よりもセキュリティを意識することはもちろんですが、制度の信頼性を高めるためには問題のある製品を報告することも大切です。
ぜひ、皆さんにとって有用な制度になるよう、積極的な姿勢でJC-STAR制度に向き合って頂ければと思います。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
