IoT機器の安全性を可視化する「JC-STAR」 サイバー攻撃から企業を守る、最低限の基準
バッファロー 執行役員 富山 強氏
経済産業省 商務情報政策局 サイバーセキュリティ課 課長 武尾 伸隆氏
CISO 代表取締役 那須 慎二氏
見過ごされてきたIoT機器の安全性
── 経産省がJC-STAR制度を始動させた背景となっている、IoT製品が内包するセキュリティリスクについて教えてください。
武尾伸隆氏(以下、武尾):IoT機器とは、企業・組織、あるいは一般家庭のシステムとインターネットをつなぐデバイスで、インターネットに直接つながるルーター、ネットワークカメラ、スマート家電、産業用コントローラーなどが含まれています。
これらの普及台数は年々増え続け、2026年には世界合計で約500億台に達するとみられています。それに伴い増大しているのがセキュリティリスクです。IoT機器はインターネットに直接つながるために、サイバー攻撃の標的になりやすいのです。にもかかわらず、製品のセキュリティ対策が不十分であることが珍しくなく、その弱点を攻撃者に突かれ、重大なセキュリティ事故につながることが多々あります。そうした事故を発生させると、企業・組織は多額の復旧費用や賠償金の支払い、ブランドの棄損、社会的信用の失墜など、甚大なダメージを被る結果になります。
那須慎二氏(以下、那須):セキュリティ対策の観点からいえば、IoT製品は「最新の仕組み」が「最良」であり、安全性が高いのですが、IoTセキュリティへの無関心さからリスクが見過ごされ、セキュリティ上の問題を内包した古いルーターやネットワークカメラが長く使われ続けているケースが多くあります。加えて、機器管理用のパスワードが出荷時のデフォルト設定のままであることもよくあり、そうした無防備なIoT製品はハッキング用の検索エンジンを少し調べるだけで簡単に見つけられ、攻撃者に悪用されてしまいます。しかも、2025年以降、AIの悪用によってサイバー攻撃のスピードと巧妙さが高まり続けています。
富山強氏(以下、富山):バッファローの調べでは、10年以上前のWi-Fi機器を使い続けている企業が全体の2割以上もあるという結果が出ています。セキュリティ対策の大切さや、どのような製品を導入すべきかを明確に伝えるすべとして、今回の「JC-STAR」制度は、非常に合理的で効果的であるとみています。
IoT製品の適合性を評価する「JC-STAR」
── JC-STAR制度について概要を教えてください。
武尾:JC-STARは、IoT製品がセキュリティ基準に適合していることを可視化するラベリング制度です。主眼は、IoT製品を調達する際に、セキュアな製品を容易に選択できるようにすることです。2025年3月に、すべてのIoT製品に共通して求められる必要最低限のセキュリティ要件に適合していることを示す「★1(レベル1)」の申請受け付けから制度を始動させました。このレベル1では基準が16個あり、代表的なものとして「推測可能なデフォルトパスワードの禁止」「適切なアクセス制御」「守るべき情報資産の保護」などが挙げられます。加えて、将来的には4段階での適合性評価を行うことを目指しています。
── JC-STARの意義について、那須さん、富山さんはどのようにお感じですか。
那須:中小企業の経営層をはじめ、IoT製品を使う多くの人たちにとってセキュリティは難解で、「何をどうすればリスクが低減できるか」が見えにくいものです。その見えにくさが、対策への無関心さにつながってきたともいえます。JC-STARは、そのあたりの問題を一挙に解決しうる制度です。この制度により、セキュリティの知識がないユーザーでも、IoT製品の安全性を判断できるようになります。結果として、日本の企業・組織全体、ひいては社会全体のセキュリティレベルが大きく高められる可能性があります。
富山:バッファローは、IoT機器に相当する製品を幅広く製造・販売しており、かつ、法人と一般消費者の双方に向けた製品を扱う業界でも希有な存在です。法人のお客様のニーズをヒアリングする中、セキュリティ面での不安をひしひしと感じてきました。その不安を解消する一手として、JC-STARはとても有意義で有効です。また、それに積極的に取り組み、制度の普及と認知活動に貢献することは、IoT機器ベンダーとしての責務であると考えています。
JC-STARを調達基準とする動きも
── JC-STAR制度は市場にどのようなインパクトをもたらしていますか。
武尾:普及状況では、2025年12月末時点でIoT製品ベンダーからのラベル取得の申請は138件あり、すでにネットワーク機器、ネットワークカメラ、エネルギー関連機器など、広範なカテゴリーの製品がレベル1ラベルを取得しています。その製品点数は型番単位で1000品目を超えています。2026年3月末までにはベンダーからの申請数が200件程度まで増える見込みです。
本制度には、「セキュア・バイ・デザイン」の実践が根底にあります。セキュリティ品質が担保された製品をベンダーに開発・供給してもらうことと、そのような製品を優先的に調達することを促進しています。すでに政府調達や自治体の調達基準においてJC-STARが参照されているほか、JC-STARを補助金制度の要件とする動きも広がっています。また、経産省が各府省庁にアンケート調査を行ったところ、府省庁の約8割超がJC-STARを選定基準として活用していると回答しています。
さらに、IoT製品ベンダーからは「納入先企業からJC-STARの取得を促された」という声も多く聞かれています。つまり、官民の双方でJC-STARを導入の要件とする動きが広がりを見せているということです。
──こうした中で、バッファローではJC-STARにどのように取り組んでいるのですか。
富山: 当社では、JC-STAR取得に先駆的に取り組み、2026年1月時点で44シリーズ150型番がレベル1ラベルを取得しています。これにより、現行のラインナップでおおむね取得を済ませた状況になり、今後の製品についても積極的にJC-STARを取得していく方針です。加えて当社では、ネットワーク機器に関連した「レベル3」基準を策定するワーキンググループに参加し、基準作りにも貢献しています。
JC-STAR製品で企業競争力を高める
── 那須さんは、JC-STAR制度が市場に与える影響をどうみていますか。
那須:近年、サプライチェーンにおける企業間取引の要件としてセキュリティ対策の重要性が高まっています。例えば、サプライヤーに対して行うセキュリティ対策の調査も、従来のアンケートベースの確認から、「本当に有効な施策を講じているか否かの検証」へと厳格化しています。そうした中で、JC-STAR製品を使うことが、厳しいチェックをクリアする効果的な手段の1つになりえます。加えて今日では、サイバー攻撃により実害を被った企業が重要顧客から取引停止を言い渡され、破綻に至るケースも出始めています。そうした事態を回避する一手としても、JC-STAR製品の導入は有効だと感じます。
武尾: 那須さんのご指摘のとおり、JC-STAR製品を選択することは、企業が自社のセキュリティレベルを向上させる有効な手立てになります。また、それによって自社の評価が上がり、新規のビジネスを開拓しやすくなります。
富山:当社では、IoT製品への社会の要請が単に「つなげること」から「安全につなげること」へと変容しつつあると感じていました。その要請に応えるためにも、JC-STARに取り組むことは重要であり、利便性と安全性を融合させた製品を開発・提供し続けることはわれわれの使命でもあります。その考え方に基づき、国内各所で製品サポートの拠点やデータ復旧サービスを展開し、製品の導入後も見守る体制も整えています。こうした一連の取り組みを通じて、セキュアで快適な未来づくりや、日本企業の市場競争力アップに貢献していきたいと考えています。
