これから世の中に出てくるIoT機器を安全に――、バッファローが「JC-STAR」制度の説明会を開催

　株式会社バッファローは、独立行政法人情報処理推進機構（IPA）の「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」と、それに対する同社の取り組みについて報道陣に解説するプレスセミナーを開催した。

　JC-STARは、IoT製品がセキュリティ要件に適合することを評価する制度。最も基本的なレベルである「★1適合ラベル」が3月25日に申請受付開始し、交付が5月21日に開始された。

　バッファローのプレスセミナーは、3部構成で実施された。

　最初に、背景となるIoT機器のセキュリティ事情について横浜国立大学（横浜国大）の吉岡克成氏（大学院環境情報研究院 教授）が解説。続いてJC-STAR制度について、経済産業省（経産省）の武尾伸隆氏（商務情報政策局 サイバーセキュリティ課 課長）が解説した。

　そのうえで、株式会社バッファローの富山強氏（執行役員）が、バッファローのJC-STARへの取り組みと適合製品について紹介した。

左から、横浜国立大学 吉岡克成氏（大学院環境情報研究院 教授）、経済産業省 武尾伸隆氏（商務情報政策局 サイバーセキュリティ課 課長）、株式会社バッファロー 富山強氏（執行役員）

プレスセミナーで展示された、バッファローのJC-STAR ★1適合製品

IoT機器へのサイバー攻撃には、発見的対策と予防的対策の両方を

　横浜国大の吉岡氏は、IoT機器へのサイバー攻撃の歴史とその対策について解説した。

横浜国立大学の吉岡克成氏（大学院環境情報研究院 教授）

　吉岡氏によると、IoT機器へのサイバー攻撃は、2014年ごろに登場したという。横浜国大でも、脆弱な機器のふりをして攻撃を観測する囮システム（ハニーポット）を2014年に構築し、2015年から安定運用開始、現在も運用している。

　当時の攻撃は、IoT機器において、リモートログインするためのTelnetポートがデフォルトの弱いパスワードで公開されていたことによるものだった。NICTのデータでも、Telnetポートへの攻撃が2014年から急増していたことがわかる。

横浜国大の囮システム（ハニーポット）

NICTによる、ダークネット（実在しない宛先）へのTelnet攻撃の観測結果。2014年ごろから急増

　さらに2016年後半から、IoT機器を狙った「ミライ」マルウェアが世界で爆発的に急増した。

　吉岡氏によるとミライは「パンドラの箱」のようなものだったという。それまで専門家は弱い機器がたくさんあるとうすうす思っていたが、それに攻撃者が気づいてしまったという意味だ。

　ただし、このころまでは日本では海外に比べて被害は少なく、対岸の火事のような状態だった。

「ミライ」マルウェアの急増

ただし日本はまだ対岸の火事

　状況が変わってくるのが、2017年ごろからだ。Telnetだけでなく攻撃対象のポートが多様化し、国内でも例えばSSHポートに1日に1万を超える攻撃を受けるようになった。さらにマルウェアの亜種も大きく増え、対策が追いつかなくなった。特にルーターなどの機器の脆弱性を狙う攻撃も増加している。

攻撃対象のポートが多様化

国内でもSSHポートに1日に1万を超える攻撃

マルウェアの亜種が増える

機器の脆弱性を狙う攻撃の増加

　そして2018年以降は、高度化と深刻化が進んでいると吉岡氏は言う。高度化の面では、機器の電源を切っても消えないIoTマルウェアが登場し増加した。また深刻化の面では、DOS攻撃が強力になり、社会の重要インフラを狙った攻撃も増えている。

　これらに加えて、攻撃のビジネス化の傾向も吉岡氏は指摘する。代金をとって攻撃するサービスや、乗っ取った機器を攻撃のプロキシ（踏み台）として提供するビジネスなどがあるという。

IoT機器の電源を切ってマルウェアが消えるかどうかの実験。以前は消えたが、2017年ごろから消えないマルウェアが登場

深刻化

　最後に吉岡氏は、IoT機器攻撃への対策を、発見的対策と予防的対策の2つに分けて紹介した。

　発見的対策とは、すでに世に出ている脆弱なIoT機器などを発見するものだ。総務省とNICTによる、脆弱なIoT機器を調査する「NOTICE」はこれにあたる。

　そして予防的対策とは、これから世の中に出てくるIoT機器を安全にするものだ。機器のセキュリティ要件を認定する取り組みは各国で始まっており、「満を持して（日本から）出てきたのがJC-STAR」と吉岡氏は紹介した。

発見的対策と予防的対策

JC-STARは安全なIoT製品を作ることとそれをユーザーが選びやすくすることを目的とした制度

　JC-STAR制度の概要と意義については、経産省の武尾氏が解説した。

経済産業省の武尾伸隆氏（商務情報政策局 サイバーセキュリティ課 課長）

　武尾氏はまず、最近発生している国内外のサイバーセキュリティ事件を紹介。そして、今後ますます数も増加し、高度化・複雑化が進むだろうと語った。

　サイバーセキュリティに関する政策の国際的動向としては、製品の設計開発段階からセキュリティを考慮する「セキュア・バイ・デザイン」の概念にもとづく要請がなされていることを説明。例として、EUのサイバーレジリエンス法（2024年12月発効）や、米国のサイバー・トラスト・マーク（2025年中に制度運用開始予定）を紹介した。

　そのような中、日本の経産省はサイバーセキュリティ政策として、「産業界のサイバーセキュリティを向上させる、それによってビジネス活動への影響を最小限にすることを目指している」と武尾氏は言う。

　その4つの柱として、中小企業を含めたサプライチェーン全体での対策強化、今回のJC-STARなどセキュア・バイ・デザインの実践、政府全体でのサイバーセキュリティ対応体制の強化、サイバーセキュリティ供給能力の強化を同氏は挙げた。

サイバーセキュリティ政策に関する国際的な動向

経産省のサイバーセキュリティ政策

　こうして登場したのがJC-STAR制度だ。「安全なIoT製品を作る、またそれをユーザーが選びやすくする」（武尾氏）ために、2022年から検討。IPAによって制度の運営が始まっている。制度の目的は、「調達者がセキュリティ水準を満たした製品を選ぶのは簡単ではないため、代わりに評価機関が調査してラベルを付与する」ものだと同氏は説明した。

　対象は、インターネットに直接・間接的につながる機器を対象に、セキュリティレベルを4段階評価する基準を作る。

　3月から運用開始したのが最低限の基準である「★1」（レベル1）で、メーカーが技術的な点をチェックしてIPAに申請して付与する。3月25日に申請受付を開始し、5月21日に第1弾として14社の約500製品に適合ラベル付与された。適合ラベル取得製品リストはIPAのサイトで公開されている。

　「★1」の適合基準としては、容易に推測できるデフォルトパスワードの禁止や、容易かつわかりやすいアップデート手順、保存データの暗号化・匿名化など、ベーシックな16項目が決められている。

　諸外国の類似制度としては、シンガポールや英国ですでに施行されており、EUや米国もこれから運営に向けて準備をしているところだ。各国の制度に個別に対応するとメーカーにコストがかかるので、相互承認の議論も行っているという。

JC-STAR制度の概要

「★1」の適合基準

諸外国の類似制度

　初期ターゲットとなるのは、政府機関、重要インフラ事業者、地方公共自治体だ。すでに、政府機関の機器調達ガイドラインや、地方公共団体の機器調達ガイドラインにも反映されている。

　そのほか、スマートホームや工場システムなど、特定分野のシステムに関する業界団体などとも議論を進めており、JC-STARの「★2」以上についてはそれらの業界と連携しながら進めていると武尾氏は説明した。

初期ターゲット

特定分野のシステムに関する業界団体とも連携

　JC-STARの普及への取り組みも武尾氏は紹介した。IPAのチラシやポスターのほか、警察庁のリーフレット「サイバー警察局便り」や、NHKの「みみより解説」でも取り上げられている。

　またIoT製品ベンダーの業界団体などには、JC-STARの連携や会員企業への働きかけについて賛同してもらっているという。

JC-STARの普及への取り組み

業界団体の賛同

　今後のスケジュールとしては、「★2」以上についてこれから取り組む。ネットワークカメラと通信機器を対象に、基準検討ワーキンググループを開始しており、2025年の第4四半期から開始する予定だ。

　同時に、政府などのIoT製品調達ルールにも取り込んでいき、★1取得製品の調達必須化などにも取り組むという。

今後のスケジュール

バッファロー製品の21シリーズ79型番がJC-STAR ★1適合を取得

　バッファローのJC-STARへの取り組みと適合製品については、株式会社バッファローの富山氏が説明した。

株式会社バッファローの富山強氏（執行役員）

　まずバッファローの、主に中小企業を対象にした法人向け製品での、セキュリティへの取り組みを富山氏は紹介した。ネットワーク機器としては、ルーターにUTM機能をアドオン。NASにおいても、エンドポイントセキュリティ、異常ファイル操作検知、不変スナップショットといった機能を強化している。

　これにより、JC-STARの初期ターゲットである政府機関、地方公共団体、重要インフラ事業者にも、JC-STAR以前から実績が多数あると同氏は説明した。

これまでのバッファローの法人向け製品におけるセキュリティへの取り組み

　さらに今回のJC-STAR適合に向けては、認証、ファームウェア更新、暗号化、情報開示の5つに取り組んだと富山氏は説明した。

　認証では、法人向け製品ではデフォルトパスワードを設定せず初期設定でパスワードを設定させるウィザードを用意。コンシューマー向け製品では機種共通ではなく個体固有のパスワードをデフォルト設定するようにした。

　また、ファームウェアをユーザーが意識しなくても自動更新する機能や、通信プロトコルや内部保存ログの暗号化、脆弱性対応ポリシーの開示、停電復旧時の通信自動回復の機能を設けた。

　会社としてはそのほか、JC-STARで「★3」以上の基準を検討する「通信機器適合基準検討ワーキンググループ」に参加していることや、JC-STAR制度賛同団体であるデジタルライフ推進協会の会員であることも富山氏は語った。

バッファローのJC-STAR適合の取り組み

会社としてのJC-STAR関連の取り組み

　そして、今回JC-STAR ★1に適合したバッファー製品を富山氏は紹介した。Wi-Fiアクセスポイント、ルーター、NASで、21シリーズ79型番だ。うち、法人向け商品が20シリーズ計76型番、コンシューマー向け商品が1シリーズ計3型番だ。すでに、IPAのサイトとバッファローのサイトに掲載されている。

　法人向けWi-Fiアクセスポイントは、Wi-Fi 6やWi-Fi 6Eに対応した4機種。「キキNavi」によるリモート監視にも対応している。

　法人向けルーターは、「VR-U500X」と「VR-U300W」の2機種。どちらもUTM機能アドオンに対応している。

　法人向けNASは、セキュリティNASとして展開する、「TS500」シリーズと「TS3030」シリーズだ。不正ログイン防止や、ウイルス感染防止、感染拡大防止などの機能を持ち、廃棄時のデータ漏えい防止もサポートする。

　そのほかコンシューマー向け製品として、Wi-Fiルーターの「WXR18000BE10P」がJC-STARに対応した。

JC-STAR ★1に適合したバッファロー製品

JC-STAR ★1に適合した法人向けWi-Fiアクセスポイント

JC-STAR ★1に適合した法人向けルーター

展示された、法人向けのWi-Fiアクセスポイントとルーター

JC-STAR ★1に適合した法人向けNAS

展示された法人向けNAS

展示されたコンシューマー向けWi-Fiルーター

　JC-STAR制度をふまえた今後のビジネス展開については、まず、JC-STARの初期ターゲットである政府機関、地方公共団体、重要インフラ事業者に提案。同時に、適合商品を拡大していく。

　それに加えて、バッファローの法人向けビジネスの重要要素である販売パートナー網との連携がある。「パートナーに今回の制度やわれわれの取り組みを紹介することで、パートナーから政府機関や地方公共団体に提案や紹介してもらいたいと思っている。そうすることで、われわれが単独で行うよりも、より広くかつより早く知っていただくことができると思っている」と富山氏。そして、そのフィードバックを製品の展開にも生かして、より付加価値の高いサービスを提供していきたいと語った。

今後の展開