「JC-STAR」とは？ IoT製品のセキュリティ評価と申請手順：知っておきたいJC-STAR（3/3 ページ）

[リョーサン]

5. JC-STAR ★1適合基準の考え方

5-1. セキュリティ水準の目標

　JC-STAR ★1では、IoT製品がインターネットを介して受ける遠隔攻撃に対して、最低限のセキュリティ対策を講じることを目的としています。特に、製品がマルウェアに感染し、bot化することで他の機器への攻撃の踏み台となる事態を防ぎ、感染の拡大を抑止することが重視されています。

　制度が想定する攻撃は、高度な専門技術を必要とするものではなく、公開されているクラックツールやスクリプトを用いて、システムの脆弱性を突くようなものです。こうしたスクリプトキディ^※1）レベルの攻撃、すなわち不正アクセスや通信の盗聴などに対して、IoT製品が実用的な耐性を持つことが、JC-STAR ★1セキュリティ水準の考え方です。

※1）スクリプトキディ：他人の製作したプログラムまたはスクリプトを悪用し、サイバー攻撃をおこなう者

5-2. ライフサイクルにおける要件

　製品の運用期間中には、脆弱性や不具合に対して適切なサポートやアップデートが提供されることが必要です。また、製品の廃棄や譲渡時には、保存されたデータが漏洩しないよう、確実に削除できる仕組みが備わっていることが求められます。

5-3. アタックサーフェスと保護対象

　想定されるアタックサーフェス^※2）は、有線・無線インタフェースなどの通信機能、潜在的攻撃経路（公開脆弱性を用いた裏ルート侵入など）、製品廃棄時の物理的接触などが挙げられます。

　守るべき情報資産には、通信機能・セキュリティ機能・IoT機能の設定情報および機器が収集・保存する個人情報などの機密性^※3）が高い情報が含まれます。

※2）アタックサーフェス：サイバー攻撃者が侵入や攻撃を試みることができる、システムやネットワーク上の全ての
　　　　　　　　　 　　　 ポイントや経路
※3）機密性：許可された者だけが情報にアクセスできること

5-4. セキュアな保存（保護方法）の考え方

　セキュアな保存（保護方法）では機密性、完全性^※4）、真正性^※5）の確保が求められます。

　具体的な実現方法として、機密性は暗号化、完全性はデジタル署名^※6）やメッセージダイジェスト^※7）によって確保されます。機密性と完全性の両方を確保するためには、ハードウェア実現領域^※8）、サンドボックス^※9）、または容易に取り外せないストレージ領域で外部からのインタフェースを持たない領域でのデータ保存が必要です。

※4）完全性：情報が改ざんされず、正確な状態で保たれていること
※5）真正性：情報や通信の送信元が本物であることが確認できること
※6）デジタル署名：データが改ざんされておらず、正当な送信者からのものであることを証明する電子的な署名
※7）メッセージダイジェスト：あるデータ（メッセージ）から生成される固定長の要約（ハッシュ値）
※8）ハードウェア実現領域：ソフトウェアではなく、物理的な回路や装置によって機能を実装する領域
※9）サンドボックス：プログラムを他のシステムに影響を与えずに動作させるために使われる、
　　　　　　　　　 　 外部から隔離された安全な実行環境

5-5. 暗号通信の要件

　暗号通信は通信内容の盗聴防止を目的とし、インターネットを経由した通信を行う機器、またはインターネット側から接続される可能性がある範囲内のIoT機器が対象となります。ただし、インターネット側からの接続が完全に遮断されている機器であり、かつその利用環境がユーザーに明確に示されている場合は、暗号通信の対象外とすることが可能です。

6. まとめ

　JC-STARは、IoT製品のセキュリティ向上と市場での競争力確保を両立させる重要な仕組みです。経済産業省においては、補助金制度との連携を含めた普及策の検討が進められており、企業による積極的な適合ラベル取得が推奨されています。

　2025年3月末に申請受付が開始され、現在は製品仕様および運用体制の両面で適合基準を満たすための準備が急務となっています。こうした対応を早期に進めることができれば、政府調達や重要インフラにおける優先採用といった事業機会の獲得につながります。そのためにも、適切な評価手順を理解し、必要に応じて第三者評価機関を活用することで、確実な適合ラベルの取得を目指すことが重要です。

　リョーサンテクラボには、JC-STAR以外にもさまざまなテーマのコンテンツを掲載していますので、のぞいてみてください。