現代の生活において、IoT（Internet of Things）機器はもはや欠かせない存在となりました。
 IoT機器とは一言でいうと、ネットワークに接続できる通信機能を持つ機器のことを指します。
かつてはパソコンやスマートフォン、タブレットといった情報機器が中心でしたが、現在ではエアコンや冷蔵庫、照明、ドアロックなど、あらゆる家電や設備がネットワークにつながるようになりました。これにより、私たちの日常生活はより便利で快適になっています。
しかしその一方で、新たな課題も浮き彫りになっています。それが「サイバー攻撃のリスク」です。

ネットワークを介して便利さが向上する反面、ネットワークに接続されるという特性上、IoT機器は外部からの攻撃対象にもなり得ます。実際に、監視カメラがサイバー攻撃の「踏み台」となる事件が国内外で報告されています。
たとえば、河川の監視用として設置されていたカメラが第三者に乗っ取られ、サイバー攻撃の発信源として悪用されるという事例が発生しました。近年、こうしたIoT機器を狙ったサイバー攻撃は急増しており、利便性と引き換えに高まるセキュリティリスクが大きな課題となっています。こういった社会問題の解決を目指し、2025年に「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」制度の運用が開始されました。本記事では、IoT機器で多発するセキュリティ問題や、JC-STARの運用についてご紹介します。

1. 近年のIoT機器のセキュリティ問題

IoT化が我々の生活を便利にする一方で、IoT機器の中にはPCやスマートフォンのように強固なセキュリティ対策が行われないままになっているものが多く、サイバー攻撃の標的になりやすいという問題も抱えています。IoT機器が攻撃を受け、マルウェアに感染し情報を盗まれるといった被害から、乗っ取られて他の機器を攻撃する踏み台にされるケースもあるなど、気がつかないうちに被害を拡大させてしまうこともあります。
国立研究開発法人情報通信研究機構（NICT）の調査によると2022年に観測されたサイバー攻撃関連通信5,226億件の内、約30%がウェブカメラやルータなどのIoT機器を狙ったものという結果が出ています。

このようなトラブルに合わないためには、ソフトウェアアップデートやパスワードの変更をこまめに行う、IoTデバイス間やデバイスクラウドサーバー間の通信を暗号化するといった、日々のセキュリティ対策が大切です。それに加え、導入機器を選定する段階で、「十分なセキュリティ性能を備えた製品であるか」を確認することも、後々のリスクを減らす上で重要と言えます。このようなシーンで頼りになるのが、2025年に運用が開始されたばかりの「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」制度です。

2. JC-STARの取り組みについて

「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」（※以降JC-STAR）は、2025年3月25日から取り組みが始まったばかりの新しい制度です。ここでは、JC-STARの概要や目的、各レベルの認定基準や、今後の展開についてご紹介します。

3. JC-STARとは？

JC-STAR は、IoT製品に対する適合基準への適合性を確認・可視化することを目的に生まれた制度です。2024年8月に経済産業省が公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づき構築されており、経済産業省と情報処理推進機構（IPA）が運営を行っています。
JC-STAR では幅広いIoT機器を対象に一律で★1（レベル1）～★4（レベル4）の4段階のセキュリティ基準を設けており、それぞれの水準に達したIoT機器に適合ラベルを付与します。
これにより、IoT機器のメーカーは自社製品のセキュリティ性能を消費者へアピールしやすくなり、また、消費者は自分が必要とするセキュリティ性能を備えたIoT機器を簡単に選ぶことができるようになります。
認定の状況としては2025年3月25日より、★1（レベル1）の申請受付が開始されており、順次★1（レベル1）の適合ラベルの発行や★2（レベル2）以上の申請受付が開始される予定です。

適合ラベル取得製品は順次情報処理推進機構（IPA）のウェブサイトに追加されていきます。
https://www.ipa.go.jp/security/jc-star/list/jc-star-product-list/index.html

4. 各レベルの適合基準

（情報処理推進機構（IPA）https://www.ipa.go.jp/security/jc-star/index.htmlより）

^{出典：セキュリティ要件適合評価及びラベリング制度（JC-STAR） | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構}

JC-STARの適合ラベルは求められるセキュリティ水準により、★1（レベル1）、★2（レベル2）、★3（レベル3）、★4（レベル4）の4段階に分かれており、レベルが上がるほど高いセキュリティ要件を満たしていることを示します。

★４（レベル４）／★３（レベル３）

政府機関や重要インフラ事業者、地方公共団体、大企業等の重要なシステムでの利用を想定した製品類型ごとの汎用的なセキュリティ要件を定め、それを満たすことを独立した第三者が評価して示すもの

★２（レベル２）

製品類型ごとの特徴を考慮し、★１（レベル１）に追加すべき基本的なセキュリティ要件を定め、それを満たすことをIoT製品ベンダーが自ら宣言するもの

★１（レベル１）

製品として共通して求められる最低限のセキュリティ要件を定め、それを満たすことをIoT製品ベンダーが自ら宣言するもの

^{出典：セキュリティラベリング制度（JC-STAR）についての詳細情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構}

5. 今後のJC-STAR活用について

制度の運用が本格化するにつれ、入札や調達の要件として、JC-STARの適合レベルが指定される可能性は高いと言えます。すでにIPAでは、政府機関や、重要インフラ事業者、地方公共団体などの、社会的にセキュリティリスクが高く、確かな制度利用が見込まれる組織のIoT製品の調達要件の中に、ラベルが付与された製品の選定を含めることを働きかけています。
また、JC-STARは、政府機関や地方公共団体に加え、重要インフラ事業者や業界団体など、多くの組織や団体で広く利用されるよう推進されています。

政府機関等

調達基準は、統一基準とガイドラインに基づき、必要なセキュリティ機能を確認するためにJC-STARを活用します。2025年度中に★1以上の取得を求め、重要度に応じて★3以上を選定基準に含める方針です。

地方公共団体

地方公共団体は、用途やリスクに応じてJC-STAR適合ラベルを取得したIoTデバイスを調達する方針を検討しています。

重要インフラ事業者

IoTデバイス調達時にリスクに応じたラベル付与製品の選定を求める方針を調整中です。具体的には、行動計画や手引書に基づき、調達基準を明示し、リスクマネジメント手引書に詳細を追加します。

業界団体等

経済産業省は業界団体向けに「特定分野システムのJC-STAR活用ガイド」を公開し、情報を提供しています。

国際連携

海外のIoTデバイス適合性評価制度の動向を踏まえ、各国の制度と連携し、相互承認を目指しています。これにより、IoTデバイスを海外に輸出する際の適合性評価にかかるベンダーの負担を軽減できます。
現在、シンガポール（Cybersecurity Labelling Scheme）、英国（PSTI法）、米国（U.S. Cyber Trust Mark）、EU（CRA法）の各国担当機関と相互承認に向けた交渉を進めています。

6. IoT機器のセキュリティレベルが一目でわかる

これまで、監視カメラを含むIoTデバイスを導入するユーザーは、購入予定の製品に対する製造業者のサイバーセキュリティ対策やセキュリティレベルを個別に判断しなければなりませんでした。これは、製品を購入するユーザーにとって非常に大変な作業です。

JC-STARのラベルの確認を行うことで、どのIoTデバイスがどのセキュリティレベルにあるのかが可視化され、安心して製品を選定することができます。

また、日々の運用においても、製造業者から最新のファームウェアやセキュリティパッチがリリースされた場合、その案内に従ってIoTデバイスにファームウェアを適用することで、よりセキュアな環境で運用が可能となります。

7. i-PRO　JC-STAR取得について

i-PROは、JC-STARの取得にいち早く対応し、監視カメラ業界で初めて^{（※2025年5月当社調べ）}、ネットワークカメラ139品番に対してJC-STAR★1の認証を取得しました。監視カメラシステムの導入をご検討中でセキュリティ面にご不安をお持ちのお客様に対し、安心してご導入・ご活用いただける製品をご提供いたします。