JC-STARとは何か──IoTセキュリティラベリング制度の概要
JC-STAR(Japan Cybersecurity Technical Advisory and Rating)は、経済産業省とIPA(独立行政法人情報処理推進機構)が主導する、IoT製品向けのセキュリティ要件適合評価・ラベリング制度です。2025年3月25日から★1(レベル1)の申請受付と適合ラベル取得製品リストの公開が開始されており、IoT製品が具備するセキュリティ機能を共通の物差しで評価・可視化する仕組みが正式に動き出しました。
この制度が生まれた背景には、IoTデバイスの急速な普及と、それに伴うサイバー攻撃リスクの増大があります。デフォルトパスワードの悪用やファームウェアの脆弱性を突いた攻撃が後を絶たない中、政府機関・企業・一般消費者がセキュリティ水準を確認できる製品を容易に選択できる環境の整備が急務となっていました。
JC-STARは★1から★4の4段階のレベルで構成されています。2025年3月時点では★1の申請受付が開始されており、★2以上については2026年1月以降に申請開始が見込まれています。レベルが上がるほど、第三者機関による評価が加わるなど、より厳格なセキュリティ検証が求められます。
レベル | 評価方式 | 主な対象 | 申請開始時期 |
|---|---|---|---|
★1 | 製造業者による自己適合宣言 | 一般消費者向けIoT製品 | 2025年3月 |
★2 | 認定試験所による試験 | 法人向けIoT製品 | 2026年1月以降予定 |
★3 | 認定試験所による試験+製品調査 | 高セキュリティ要求製品 | 未定 |
★4 | 第三者認証機関による認証 | 重要インフラ向け製品 | 未定 |
サイバーセキュリティ戦略2025が求めるIoTデバイスセキュリティ
2025年12月23日に閣議決定された「サイバーセキュリティ戦略」は、深刻化するサイバー脅威への対応として能動的サイバー防御の強化、社会全体のレジリエンス確保、AI・量子技術等への対応という三つの柱を掲げています。この戦略の中でJC-STARは重要な位置付けを与えられており、政府機関等における調達選定基準への反映が新たに期限を設けて取り組むべき事項として明記されました。
また、2025年6月に公表された「サイバーセキュリティ2025」(年次計画)においても、IoT製品のセキュリティ確保は主要施策の一つとして取り上げられています。内閣サイバーセキュリティセンター(NISC)を発展的に解消して新設された「国家サイバー統括室(NCO)」が、これらの施策を強力に推進する体制が整いつつあります。
企業にとってこの動向が意味するのは、政府調達に参加しようとするIoT製品ベンダーや、政府機関に製品・サービスを提供する事業者にとって、JC-STAR対応が実質的なビジネス要件になりつつあるということです。単なるコンプライアンス対応を超えて、製品の競争力強化という観点からも、JC-STAR対応への取り組みを早期に開始することが求められています。
JC-STARが定めるセキュリティ要件の詳細
★1の適合基準は16項目から構成されており、「マルウェア感染・ボットネット拡大の防止」「スクリプトキディレベルのリモート攻撃への耐性確保」「脆弱性対応・サポートポリシーの明確化」という三つのセキュリティ目標を達成することを目的としています。
以下は★1の主要な要件カテゴリと対応する具体的な要件をまとめた表です。
カテゴリ | 主な要件内容 |
|---|---|
認証・パスワード管理 | 個人向け製品はパスワードの初期値を固有化。法人向け製品は初期設定時にパスワード変更を必須化。固有パスワードには十分なランダム性を確保 |
ネットワーク通信保護 | 暗号化されていない通信プロトコルの不要な有効化を禁止。通信の機密性・完全性を保護する仕組みの実装 |
ソフトウェア更新 | セキュアなファームウェア更新メカニズムの実装。更新の真正性・完全性の検証。ラベル有効期間中のセキュリティアップデート提供 |
脆弱性管理 | 脆弱性開示ポリシーの公開。既知の脆弱性スキャンの実施。攻撃に悪用される可能性がある脆弱性がない状態の維持 |
最小機能・攻撃面削減 | 不要なポートやサービスの無効化。最小権限の原則に基づく設計 |
ログ・監査 | セキュリティ関連イベントのログ記録。ログの改ざん防止 |
これらの要件は、ETSI EN 303 645やNISTのIoTセキュリティフレームワーク、国内ではIoTセキュリティガイドラインとも整合するように設計されています。特に認証管理、通信の暗号化、ソフトウェア更新の三点は、あらゆるIoT製品において最も重要な基盤的要件として位置付けられています。
AWS IoT Device Defenderによる要件対応の実装
AWS IoT Device Defenderは、AWS IoTに接続されたデバイスフリートのセキュリティ管理を統合的に支援するマネージドサービスです。監査(Audit)、検出(Detect)、緩和アクション(Mitigation Actions)の三機能を組み合わせることで、JC-STARが求めるセキュリティ要件の多くをクラウド側から検証・継続監視することができます。
Audit機能では、X.509証明書、IoTポリシー、クライアントIDなどのデバイス関連リソースをAWS IoTのセキュリティベストプラクティスに照らし合わせて監査します。具体的には以下のような項目をチェックできます。
監査チェック項目 | 対応するJC-STAR要件 |
|---|---|
期限切れまたは失効した証明書の検出 | 認証管理・脆弱性管理 |
複数デバイスによる同一X.509証明書の共用検出 | 固有IDの付与要件 |
過度に許可的なIoTポリシーの検出 | 最小権限の原則 |
IoT Coreのロギング設定確認 | ログ・監査要件 |
デバイス証明書の有効期限管理(30日〜10年の閾値設定) | 証明書ライフサイクル管理 |
Detect機能には、ルールベース(Rules Detect)と機械学習ベース(ML Detect)の二種類があります。Rules Detectでは、TCPリスニングポート数や認可失敗数など監視対象のメトリクスを定義し、定義した動作範囲を逸脱した場合にアラートを発生させます。ML Detectでは、過去14日間のデバイスデータから正常動作のモデルを自動生成し、毎日再トレーニングを行うことで、ゼロデイ的な異常も検知できます。
検出されたアラームに対しては、緩和アクション機能を使って自動的に対処できます。デバイスのグループへの追加、デフォルトポリシーバージョンの置き換え、デバイス証明書の更新といった操作を、アラーム発生時に自動実行するよう設定できます。
実装アーキテクチャとベストプラクティス
JC-STAR対応を実現するAWS IoT Device Defenderの実装では、以下のアーキテクチャパターンが有効です。
まず、すべてのIoTデバイスにデバイスエージェントを搭載してデバイス側メトリクスを収集します。デバイスエージェントは、開いているTCPポート数、確立済みTCPコネクション数、パケット送受信数、DNSルックアップ数などのメトリクスをAWS IoTに定期的に送信します。これらのデータはDetect機能によって継続的に分析されます。
次に、Audit機能を定期スケジュール(例:毎日または週次)で実行するよう設定します。監査結果はAmazon CloudWatchメトリクスとして出力でき、Amazon SNSを通じて担当者への通知を自動化できます。監査で検出された違反は、AWS IoT Device Defender APIを通じてSIEMやチケット管理システムに連携することも可能です。
実装領域 | ベストプラクティス |
|---|---|
デバイス認証 | デバイスごとに固有のX.509証明書を発行し、AWS IoT Certificate ManagerまたはAWS Private CAと連携して証明書ライフサイクルを管理する |
ポリシー設計 | 最小権限の原則に従い、デバイスが必要とするトピックへのパブリッシュ・サブスクライブのみを許可するIoTポリシーを設計する |
通信の保護 | TLS 1.2以上を強制し、AWS IoT CoreのカスタムドメインとACMの証明書を組み合わせて通信の完全性・機密性を確保する |
異常検知の調整 | ML Detectは最低14日間のデータ蓄積後に有効化し、初期段階ではRules Detectで閾値ベースの監視を先行実施する |
インシデント対応 | 緩和アクションを使った自動対応に加え、AWS Step Functionsと連携した段階的エスカレーションフローを構築する |
継続的監視 | Amazon Security Hubと統合してAWS IoT Device Defenderの検出結果をセキュリティの一元管理ダッシュボードに集約する |
また、JC-STARの★1で求められる脆弱性開示ポリシーへの対応として、AWS IoT Device Defender Detectで検出した異常をトリガーに、Amazon EventBridgeとAWS Lambdaを連携させた自動報告フローを構築することで、インシデントの記録・追跡を効率化できます。
まとめ:JC-STAR対応のロードマップ
JC-STARは2025年3月の運用開始から本格的に動き出しており、政府調達への反映が具体化するにつれてその重要性はさらに増していきます。IoT製品を提供する企業や、IoTデバイスを大規模に運用する企業にとって、JC-STAR対応は避けて通れない課題です。
AWS IoT Device Defenderは、JC-STARが求める多くの技術要件を実装・継続監視するための強力な基盤を提供します。特に証明書管理、ポリシー監査、異常検知という三分野においては、AWSのマネージドサービスとして運用負担を最小化しながら高いセキュリティ水準を維持できます。
フェーズ | 期間の目安 | 主なアクション |
|---|---|---|
現状把握 | 1〜2週間 | 現行IoT製品・システムのセキュリティ要件充足状況のギャップ分析。AWS IoT Device Defender Auditの初回実行による現状把握 |
基盤整備 | 1〜2か月 | デバイスごとの固有証明書発行体制の整備。最小権限IoTポリシーの再設計。デバイスエージェントの搭載・メトリクス収集開始 |
継続監視体制構築 | 2〜3か月 | Rules DetectおよびML Detectの設定。CloudWatch・SNSとの連携による通知自動化。緩和アクションの定義とテスト |
★1申請準備 | 1〜2か月 | 16要件の適合状況の文書化。脆弱性開示ポリシーの整備。自己適合宣言書の作成とIPAへの申請 |
JC-STAR対応は、単にラベルを取得するだけの取り組みではありません。デバイスセキュリティを体系的に強化し、継続的に維持・改善していくプロセスそのものです。AWS IoT Device Defenderを活用することで、そのプロセスをスケーラブルかつ効率的に実現し、日本のIoTセキュリティ水準の向上に貢献していきましょう。
