2025年、日本国内で独自にIoT製品のセキュリティ基準を評価・認証する「IoT製品に対するセキュリティラベリング制度（JC-STAR）」が本格的に運用開始しました。工場設備や医療機器、スマート家電など幅広い機器が対象となる中、開発企業だけでなく、利用企業にも最低限の知識が求められます。

この記事では、JC-STARの概要と要件を整理してご紹介します。さらに、情報システム部門や開発部門がどのように対応を進めるべきか“実務ロードマップ”に従って解説します。

【関連記事】IoTを用いた生産設備の効率改善

IoTセキュリティの新常識──なぜ「JC-STAR」制度が必要なのか？

JC-STARとは、‟経済産業省およびIPA（独立行政法人情報処理推進機構）が主導する、IoT機器に対する国内セキュリティ認証制度”であり、2025年3月より本格運用が開始された新たな仕組みです。

「JC-STAR」は“Japan Cybersecurity Standardized Assurance Requirements：日本サイバーセキュリティ標準保証要件”の略称で、日本独自に定めるIoT製品のセキュリティ評価基準として設計されました。スマート家電や業務用機器、産業ロボット、医療機器、さらにはセンサー類やネットワークカメラまで、インターネット接続機能を有するあらゆる機器が認証対象となり得ます。

この制度の最大の目的は、「製品レベルでのセキュリティ確保と可視化」です。その背景には、認証を通じて製品が「安全かどうか」「どの程度のセキュリティ要件を満たしているか」を明確化し、IoT製品の調達・選定を容易にすること、企業に取ってセキュリティの優先度を高めることが目的としてあります。

サイバー攻撃の手口は年々巧妙化し、今や攻撃者の狙いは、サーバーやPCだけではなく、外部にさらされたIoT機器にまでおよんでいます。 例えば、大きな被害につながるリスクとして挙げられるのが、以下のような事例です。

・工場内のスマートセンサーが侵害され、製造ラインが一時停止
・ネットワークカメラを通じて社内ネットワークにマルウエアが侵入
・医療現場で使用される機器が乗っ取られ、患者情報が漏えい

これらは一見「ITとは無関係」に見える機器であっても、ネットにつながっている以上、立派な“攻撃対象”となり得ることを物語っています。

JC-STAR認証がもたらす「選定基準の見える化」

JC-STAR認証は、こうしたリスクに対処するための制度です。具体的には、以下のような基準を基に製品のセキュリティ実装を審査し、要件を満たした機器に対して認証マークを付与します。

・ソフトウエアの安全な更新機構を備えているか
・アクセス制御やデバイス認証が適切に行われているか
・個人情報や通信データの暗号化がなされているか
・脆弱性が発覚した際の対応体制やガイドラインが整備されているか

これにより、製品を選ぶ際に「認証の有無」という“分かりやすい指標”が企業にもたらされるのです。特にセキュリティに明るくない現場部門や購買部門にとって、一定の安全性が保証された製品を選べるようになる点は大きなメリットです。

さらに、JC-STARは国際的な認証制度との連携・整合性も意識して設計されています。例えば、米国では「U.S. Cyber Trust Mark（FCC）」、EUでは「ETSI EN 303 645」などが同様の仕組みとして存在しており、これらとの互換性を持たせることで、国内製品の海外輸出時の評価基準としても有用になることが期待されています。

つまり、JC-STARを取得することは国内調達の信頼性向上だけでなく、“日本発のセキュアなIoT製品”としてのブランド確立にもつながるのです。

全企業に“認証リテラシー”が求められる時代へ

このように、JC-STAR認証制度は、単に「製品開発者向け」の取り組みではありません。IoT製品を“導入・活用する側”である企業にも、新たなリテラシーが求められる時代が来たといえます。

情報システム部門としては、今後「JC-STAR認証の有無」を調達・導入時の判断材料としてどう扱うか、社内のセキュリティ基準としてどのように組み込むか──そのあたりを今から検討しておくことが、一歩先のセキュリティ対策となるでしょう。

JC-STAR認証の要件を読み解く──企業が押さえるべき“三つの視点”

JC-STAR認証は「取得・チェックすれば終わり」の制度ではありません。本当に重要なのは、制度の中身を理解し、自社が「どこに関与し、何を確認すべきか」を把握することです。

ここでは、JC-STAR認証制度において企業が理解・活用すべき視点を「三つの視点」として整理します。

視点1：製品分類──「何が認証対象になるのか？」

JC-STAR認証では、IoT製品（IoT機器＋付随サービス）を対象としています。IoT機器とは、インターネットやネットワークに接続され（あるいは接続可能で）、IPを用いたデータ送受信機能を持つ電子機器を指します。さらに、これらと連携して機能を提供するクラウドやアプリケーションなどの付随サービスも含めて評価対象となります。

一方で、パソコンやタブレット、スマートフォンのように、ユーザー自身が容易にセキュリティ対策を追加できる汎用的なIT製品は対象外とされています。ただし、汎用OSを搭載していても、ユーザーが製品本体に対して容易に対策を講じられない場合には、対象に含まれます。

導入企業は、自社が利用する機器がこの定義に該当するかを把握しておくことで、認証対応や製品選定における指針を早期に設定できるでしょう。

視点2：セキュリティ要件──「何を満たす必要があるのか？」

JC-STARでは、製品の特性や利用状況に応じて複数の適合性評価レベルが設けられており、それぞれに求められるセキュリティ要件や適合基準が異なります。

レベル★1（最低限）

IoT製品に共通して求められる統一的な最低限のセキュリティ基準を満たすこと。主に自己適合宣言によって担保されます。

レベル★2（基本要件）

製品カテゴリの特性を考慮し、★1に加えて追加すべき基本的なセキュリティ基準を満たすこと。こちらも自己宣言での適合が可能です。

レベル★3・レベル★4（高レベル要件）

政府機関や重要インフラ事業者、大企業の重要システムなどに利用される製品を対象とし、★2までの基準に加え、より高度なセキュリティ要件を第三者が認証するものです。

具体的な技術的・組織的要件には、以下のような観点が含まれます。

・ソフトウエア更新の安全性：信頼できる方法での自動・手動更新、署名検証や改ざん防止措置
・アクセス制御と認証：デフォルトパスワードの排除、ユーザー単位の認証機構、不正アクセス防止策
・通信とデータ保護：通信経路の暗号化（HTTPSやVPNなど）、機器内データ（ログなど）の適切な保護
・脆弱性管理と運用体制：リリース後の脆弱性対応フローや責任体制、ユーザーへの情報開示

これらの基準を満たすことで、ベンダーは製品のセキュリティ水準を証明できます。一方、導入企業にとっては、認証済み製品を選定することで、運用リスク低減につながります。

視点3：認証スコープの理解──「どこまでが審査対象か？」

JC-STAR認証では、対象となるのは「IoT製品に求められるセキュリティ要件全体」です。ハードウエアのみならず、製品の運用に関わるソフトウエアやサービスを含めた構成要素が審査の範囲となります。 具体的には、以下の領域も含めて、製品が定められた「セキュリティ要件」と「適合基準」に従っているかを確認します。

・機器本体のソフトウエア層（ファームウエア、OSなど）
・ネットワークやサービスとの連携部分（クラウドアプリケーション、連携APIなど）
・利用者が操作するフロントエンド（スマホアプリ、管理画面）
・更新や運用に関わる基盤（アップデートサーバ、バックエンドの管理システム）

したがって導入企業は、ベンダーが提示する「製品の構成」と「認証スコープ」の関係を並べ、システム全体がセキュリティ要件に適合しているかを確認することが重要です。

現場のための実務ロードマップ──情報システム・開発部門はどう動くべきか？

JC-STAR認証の意義や要件が分かっても、実務でどう取り組めばよいのかが見えていなければ意味がありません。

ここでは、情報システム部門や開発部門、そして全社的な視点で、JC-STAR対応を現場に落とし込むための“実務ロードマップ”を提示します。

【STEP 1】情シスの初動チェック──「調達判断に“認証”を組み込む」

まず重要なのは、新たな製品を導入する前段階で“認証の有無”を確認する体制を整えることです。具体的には以下のような動きが求められます。

・社内調達基準書・セキュリティ要件書に「JC-STAR有無の確認項目」を追加
・製品選定時に「JC-STAR認証取得済みか否か」をベンダーに確認する
・認証が未取得の場合、将来的な対応予定・アップデート計画の有無を聞き取る
・同等の認証（欧米のCyber Trust MarkやETSI基準など）があれば代替評価として整理

特に営業部門や現場主導でIoT製品が導入されるケースでは、情報システム部門主導で“入口管理”を徹底することが不可欠です。

【STEP 2】開発部門の対応フロー──「自社製品が該当する場合の動き方」

もし自社がIoT製品の開発・提供を行っている場合、JC-STAR対応は将来的な信用維持や調達競争力の確保に直結します。

・自社製品がJC-STARの認証対象カテゴリに該当するかを確認
・開発工程で、セキュリティ設計方針（Secure by Design）を明文化
・ソフトウエア更新・認証・暗号化・脆弱性対応の技術要件をレビュー
・認証取得に向けたスケジュール・費用感・支援機関の有無を整理
・開発者・マネジメント向けに「認証取得の目的と顧客側の視点」を共有

初期段階からの設計対応が重要であるため、“プロダクト企画フェーズ”での巻き込みが成否を分けます。

【STEP 3】組織横断の体制整備──「情シス以外の部門全体との連携を」

JC-STAR認証への対応は、情報システム部門や開発部門だけでは完結しません。調達・品質管理・法務なども含めた横断的な仕組みが必要です。

・全社的なセキュリティ方針に「認証制度の活用方針」を明記
・新製品導入時に使用されるチェックシート・ヒアリング項目を更新
・情報システム部門がベンダーからの回答書（セキュリティ仕様書など）を収集・管理
・社内教育（例：情シス向け・非エンジニア向けに“制度の要点”を伝えるセッション）を実施

また、社外の委託先やSIerにも認証対応状況を確認する体制も求められます。納品された機器のリスクも排除する仕組みを整えましょう。

【STEP 4】支援制度の活用──「中堅企業でもはじめやすい環境づくり」

JC-STAR認証取得には一定の手間とコストがかかるため、とくに中堅企業では「対応が難しい」「何から始めればよいか分からない」と感じられがちです。そこで、以下のような公的支援の活用も視野に入れるとよいでしょう。

・IPA提供による認証取得支援・ガイドラインの活用
・地方自治体や商工会議所経由の助成金・研修制度の利用
・評価機関・第三者認証機関による技術レビュー支援の要請

“費用面の不安”や“ノウハウの不足”といったハードルに、政府や自治体が対応する動きも各所で見られます。まずは情報収集だけでも今からはじめていきましょう。

JC-STAR対応は「コスト」ではなく「信頼と選定の基準」に

これからの時代、IoT製品にセキュリティを組み込むことは、単なるリスク対策に留まりません。認証マークは、製品が一定の基準を満たしていることを客観的に示す「信頼の証」となり、調達や取引において一定の地位を占めることが見込まれます。

情報システム部門に求められるのは、“安全な製品を選び、安心して運用できる仕組みを先回りして整える役割”です。組織の競争力と信頼性を高める「投資」として、JC-STAR制度への対応を進めていきましょう。