JC‐STAR運用来年3月に開始
近年、デジタル化の進展に伴い、IoT製品の数が急速に増加するとともに、IoT製品の脆弱(ぜいじゃく)性を狙ったサイバー脅威が高まってきている。そこで、独立行政法人情報処理推進機構(IPA)は、IoT製品に対するセキュリティ適合性評価制度となる「セキュリティ要件適合評価及びラベリング制度(JC‐STAR)」の運用を2025年3月から開始する。
本制度は、インターネットとの通信が行える幅広いIoT製品を対象として、共通の物差しで製品に具備されているセキュリティ機能を評価・可視化することを目的としている。従来、IoT製品におけるセキュリティ対策の取り組みについては、ベンダー側が調達者・消費者にアピールすることが難しく、調達者・消費者から見ても、製品のセキュリティ対策が適切か否か判断できないという課題があった。
また、政府機関や企業などでのセキュリティ対策において、調達する製品や製品ベンダーのセキュリティも含めた広義なサプライチェーン・リスク管理の取り組みが広がる中、本来、自組織が実施すべき製品のセキュリティ機能や対策状況を確認するプロセスを選定・調達時に実行することが難しい現状がある。
これらの課題を解決するため、本制度では、IoT製品共通の最低限の脅威に対応するための基準(レベル1)やIoT製品類型ごとの特徴に応じた基準(レベル2、3、4)を定め、求められるセキュリティ水準に応じた複数の適合性評価レベルを設定した。適合が認められた製品には、二次元コード付きの適合ラベルを付与することで、製品詳細や適合評価、セキュリティ情報・問い合わせ先などの情報を調達者・消費者が簡単に取得できるようにしている。
適合ラベル付与し信頼性を確保
適合ラベルの取得方法は、適合基準により異なる。レベル1と2は、各ベンダーが本制度で定められた適合基準・評価手順により自己評価を行った結果を記載したチェックリストに基づき、IPAが適合ラベルを付与する自己適合宣言方式である。疑義が生じた場合はIPAが検査やサーベイランス(調査監視)を実施し、その結果次第で適合ラベルの取り消しもあり得る仕組みを入れることで、適合ラベルの取得負担の軽減と信頼性確保のバランスを取っている。
一方、レベル3以上では、政府機関や重要インフラ事業者ら向け製品を想定し、独立した第三者評価機関による評価報告書に基づき、IPAが認証・適合ラベルを付与することで、より高い信頼性を確保している。
なお、レベル1のセキュリティ要件・適合基準を記載した文書を本制度の概要サイトで公開した。本制度は任意制度であるが、特に、政府機関、重要インフラ事業者、地方公共団体などで調達する製品については、各組織の求めるセキュリティ水準に合致するラベルが付与されたIoT製品を選定・調達するように、経済産業省と関係組織間で調整している。例えば、24年7月に一部改定された「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」で、本制度開始後の活用と、普及後のラベル付与製品の調達を必須とする方針が示されている。
IPAでは、本制度の説明会を11月頃に予定している。また、具体的な申請方法や申請料、適合基準を紹介するガイドについても準備ができ次第、IPA公式ウェブサイトで公開する。
「セキュリティ要件適合評価及びラベリング制度(JC‐STAR)」についてはこちら
(独立行政法人情報処理推進機構・江島将和)
最新号を紙面で読める!