IPA、IoT製品のセキュリティ要件適合を評価する制度「JC-STAR」適合ラベルの交付を開始

　独立行政法人情報処理推進機構（以下、IPA）は21日、3月25日に申請受付を開始した「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」による「★1適合ラベル」の交付を開始し、最初の「適合ラベル取得製品リスト」を公開した。

　IoT製品に求められる「★1のセキュリティ要件」を満たしていることを示す「★1適合ラベル」が貼付された製品が実際に市場投入されることにより、政府機関や企業だけでなく、一般消費者も適合ラベルを目印にセキュリティ要件を満たした安心・安全なIoT製品を選んで購入することができるようになる。

　IoT製品の脆弱性を狙ったサイバー脅威の高まりを受け、経済産業省は2024年8月に「IoT製品に対するセキュリティ適合性評価制度構築方針」を公表しており、IPAではこの構築方針に基づき、3月25日に「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」の運用を開始し、★1の申請受付を行ってきた。

　JC-STAR制度の★1（レベル1）は、製品として共通して求められる最低限のセキュリティ要件を定め、それを満たすことをIoT製品ベンダーが自ら宣言するもの。

　今回、★1申請の確認作業が完了したIoT製品に対する「★1適合ラベル」の交付を開始し、最初の「適合ラベル取得製品リスト」を公開した。これにより、IoT製品に求められる「★1のセキュリティ要件」を満たしていることを示す「★1適合ラベル」が貼付された製品が実際に市場投入されることになる。

　「★1適合ラベル」申請受付開始から約1カ月間に申請されたもののうち、21日までに「★1適合ラベル」を交付済みとなっているのは、11社26申請（製品型番ベースでは477製品が対象）。また、確認作業が完了し、申請受理されたものが3社8申請（製品型番ベースでは12製品が対象）となっている。

　今後も、「★1適合ラベル」の発行手続きが完了した申請に対して、以下の適合ラベル取得製品リストに順次追加していく。

　適合ラベルは、IoT製品があらかじめ具備するセキュリティ機能が、定められたセキュリティ要件に適合していることを示す目印となるもの。適合ラベルを取得したIoT製品には、製品本体（筐体）、パッケージ、マニュアル、パンフレット、ホームページなどに適合ラベルを貼付できる。

適合ラベルを取得したIoT製品貼付用「JAPAN CYBERSECURITY LABEL」のサンプル画像

　適合ラベルには、IoT製品が取得した適合ラベルのレベルと登録番号のほか、そのIoT製品情報を確認するため、IPAが管理する「適合ラベル取得製品情報ページ」のURLを埋め込んだ二次元コードが組み込まれている。この製品情報ページは登録番号ごとに用意される。

適合ラベル取得製品情報ページ

　IPAでは、申請確認作業が完了し適合ラベルが交付されたIoT製品について、随時、適合ラベル取得製品リストに追加していく。さらに、賛同する業界団体などとともに、★1適合ラベル取得に向けたプロモーション活動を行っていく。

　IoT製品類型ごとの特徴に応じたより高度なセキュリティ適合基準（★2以上）については、政府調達での活用が見込まれるネットワークカメラと通信機器の2つの製品類型を対象に、適合基準検討ワーキンググループにより整備が進められており、2026年1月以降に当該製品分野の★2以上の受付を開始する予定。スマートホーム関連機器に対する★2など、その他の製品類型の★2以上の基準も順次整備し、制度を拡張していく予定だ。