情報セキュリティ
最終更新日:2024年12月17日
セキュリティ要件に応じたラベルを付与することで、IoT製品ベンダーへのインセンティブ、IoT製品の付加価値向上に繋げる以下の取り組みをしています。
IoT製品に対するセキュリティ要件(適合基準)への適合性を自己適合宣言又は客観的評価に基づき可視化するラベリング制度「JC-STAR」の趣旨に賛同し、当該制度の適合ラベルの取得及び制度周知の促進に協力する企業及び団体等が、当該制度の周知促進のために「JC-STARロゴマーク」(以下「ロゴマーク」という。)を無償で使用することができます。
利用に当たっては、以下の「JC-STARロゴマーク使用規約」を確認し、「JC-STARロゴマーク利用申請」から申し込みを行ってください。
政府機関等における機器等の調達に対して、「政府機関等のサイバーセキュリティ対策のための統一基準」およびガイドラインを参照しつつ、組織及び取り扱う情報の特性等を踏まえて、統一基準の遵守事項・基本対策事項を満たすためにとるべき対策基準を定めるように求められている。
令和6年7月に公表された「政府機関等の対策基準策定のためのガイドライン(令和5年度版)一部改定版」では、遵守事項 4.3.1(1)(a)「機器等の選定基準」について、「必要なセキュリティ機能が適切に実装されていること」を確認する手段として、JC-STARの活用が含まれている。この中で、「制度整備の状況を踏まえつつ、2025年度中に同制度の★1(レベル1)以上を取得していることを機器等の選定基準に含めるとともに、以降も、★2(レベル2)、★3(レベル3)以上の対象機器の拡充に応じて選定基準への反映を順次行っていく予定である。情報システムの重要度に応じて「重要度:低」は★1(レベル1)以上、「重要度:高~中」は少なくとも★3(レベル3)以上の IoT機器等を各機関等の選定基準に含めることの追加を検討している。なお、ラベル付与製品が普及する時期をめどに、政府機関等では求めるセキュリティ水準に応じたラベル付与製品の調達を必須化する方針である。」と明記されている。
「政府機関等の対策基準策定のためのガイドライン(令和5年度版)一部改定版」については、内閣サイバーセキュリティセンターのページ(PDF)を参照ください。
また、政府機関の情報システムの構成要素として適切なセキュリティ対策が必要とされる製品分野が「IT製品の調達におけるセキュリティ要件リスト」として指定されており、経済産業省から発表されています。このリストで指定された11個の製品分野については、セキュリティ要件を特定し対応することが調達者に義務付けられており、JISECによるCC認証製品を調達条件とすることでこの義務を果たすことができるようになっています。現在、12番目の製品分野として「IoT製品」をリストに追加する作業を進めています。
政府機関向けガイドラインの改定内容に合わせて、重要インフラ事業者に対して、IoT製品調達時に用途やそのリスクに応じてラベル付与製品を選定・調達することを求めていくように、関係者と調整を進めています。具体的には、「重要インフラのサイバーセキュリティに係る行動計画」に紐づく安全基準等策定指針および手引書に調達製品への要求事項の策定及び調達時の確認を明示した上で、「重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書」に詳細な記載を追加する方向で検討しています。
政府機関向けガイドラインの改定内容に合わせて、地方公共団体におけるIoT製品調達時に用途やそのリスクに応じてラベル付与製品を選定・調達することを求めていくように、関係者と調整を進めています。具体的には、総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」中の「情報セキュリティ対策基準」において、JC-STAR適合ラベルを取得したIoT製品の調達についての追記を検討しています。
経済産業省は2024年11月、「特定分野システムのIoT製品におけるJC-STAR制度活用ガイド」を公開しました。本ガイドは、特定分野システム(特定の分野や業界において類似の汎用的な構成で利用されるシステム)にて調達・利用されるIoT製品において、実質的な業界標準としてラベル取得製品が調達されることで、当該分野でのセキュリティの確保に貢献することを目的としています。業界団体等が特定分野システムに組み込まれるIoT製品に対するセキュリティ要件を検討するに当たって参考となる情報を提供するほか、JC-STARの活用を検討する際に参考となる情報を提供します。
賛同団体とは、各業界団体やIoT製品を製造しているベンダーも参画し、JC-STAR制度の連携や会員企業への積極的なラベル取得の働きかけを行うことに賛同していただいている団体のことです。2024年9月30日時点での賛同団体は以下の通りです(五十音順)。
本制度では、諸外国におけるIoT 製品の適合性評価制度設立の動向も踏まえ、各国の制度との連携を図り、相互承認することも目指しています。これにより、IoT製品を海外に輸出する際に求められる適合性評価にかかるIoT製品ベンダーの負担を軽減できます。現在、シンガポール(Cybersecurity Labelling Scheme)、英国(PSTI法)、米国(U.S. Cyber Trust Mark)、EU(CRA法)の各国担当機関との間で相互承認に向けた交渉を行っています。
2024年12月17日
「特定分野システムのIoT製品におけるJC-STAR制度活用ガイド」について追記しました。
2024年12月2日
JC-STARロゴマーク利用申請について追記しました。
2024年9月30日
新規公開しました。