安全なルーターやネットワークカメラが一目でわかる？IoT製品のセキュリティレベルを｢★の数｣で評価、新ラベリング制度｢JC-STAR｣開始の訳

IPAでは2025年5月21日より、まずは★1ラベルを取得した製品の公開をホームページ上で開始。11社477製品（型番ベース）が公開された。

★1ラベルとは、すべてのIoT製品を対象に満たすべき最低限のセキュリティ要件をクリアした製品に発行されるもの。具体的には「マルウェア感染によるボット化の防止」「インターネットからの基本的なサイバー攻撃への実用的な耐性」「脆弱性に対するサポート方針の明確化と、適合ラベル有効期間内の確実なアップデート等のサポート提供」「廃棄時における生成データの削除機能」を実現するために16個の要件を満たしていることがラベル取得の条件となる。

★2ラベルは、通信機器、ネットワークカメラ、スマート家電といった製品分野ごとの特性に合わせたセキュリティ要件をクリアしていることを求めるもの。また★3・★4ラベルは、政府機関や重要インフラ事業者、地方自治体、大手企業の重要なシステムでの使用を想定した高度なセキュリティ要件を満たす製品が対象となる。

QRコードで製品情報やラベルの有効性を確認できる

★1・★2と★3・★4の大きな違いとして、★1・★2では自己適合宣言方式を採用していることが挙げられる。これはベンダーが基準に適合していることを自ら宣言することでラベルが発行される仕組みのこと。一方の★3・★4では、第三者認証機関による厳格な評価を経てラベルが発行される。

「自己適合宣言では、不備がなければベンダーの申告をそのまま信用する形になりますが、信頼性確保のため、ベンダーには適合性を証明する資料を保管する義務を課しています。問題が発覚した場合や必要に応じて検査を実施する際には、その保管資料を基に説明責任を果たしていただき、基準への不適合が判明した場合はラベルが取り消されます」