IoT機器のセキュリティ認証制度

皆さん、こんにちは。

先々週、自宅前の雨に濡れた歩道で滑って転倒し、腰椎を圧迫骨折してしまいました。

1週間、ほぼ寝たきり生活でしたが、先日装具（コルセット）ができたので、ようやく少し身体を起こせるようになりました。

このニュースレターも、無理のない範囲で続けていきたいと思います。

こうなってみると、改めて健康の有難さを感じますね。

さて、以前にこのニュースレター記事の中で、頻発するサイバー攻撃の脅威への対策について解説し、その中でパソコンやスマートフォン以外のネットワークにつながっている機器、すなわちルーターや監視カメラ等のいわゆるIoT機器についても注意が必要であることを述べてきました。

◇以前の記事「頻発するサイバー攻撃から身を守るには」（2025/2/10）

そうしたところ、5月1日より、「IoT機器のセキュリティ認証制度（JC-STAR認証）」が本格的に始動しましたので、今回はこの制度について紹介したいと思います。

これは、インターネットに接続されるIoT機器に求められる最低限のセキュリティ性能を明確にし、消費者や事業者が安心して製品を選べるようにするための制度です。

以前から課題となっていたIoT機器のセキュリティ基準の明確化と認証制度が具体化されたものであり、一歩前進であると評価できると思います。

IoT機器のセキュリティ認証制度（JC-STAR認証）の概要

この制度は経済産業省および独立行政法人情報処理推進機構（IPA）が所管するもので、インターネットプロトコルによる通信機能を持つ幅広いIoT製品（パソコン、スマートフォン等を除く）を対象に、セキュリティ機能を評価・可視化し、適切な製品を容易に選択できるようにすることを目的とするものです。

◇経済産業省「IoT製品に対するセキュリティラベリング制度（JC-STAR）の運用を開始しました」（2025/3/25）

基準に適合する製品には★1から★4という4つのセキュリティレベルに分類されたラベルが付けられ、★1～★2はいわゆる民生品、★3～★4は政府機関や重要インフラ事業者、地方公共団体、大企業等の重要なシステムに利用される製品への適合度を表します。

★1～★2は各製品メーカーが基準に基づいて自己宣言し、より高い要件を求められる★3～★4は第三者認証を要するものとされています。

制度の開始と同時に、まずセキュリティレベル★1に適合した製品の認証が始まり、5月1日より取得製品のリストがIPAによって公開されました。

◇IPA「適合ラベル取得製品リスト」

レベル★1は、日常生活の中で使用される比較的リスクの低い製品を対象に、初期設定時のパスワード変更や不要なポートの無効化、通信の暗号化など、基本的なセキュリティ対策が施されていることを要件としています。

冒頭に挙げた過去の記事でも指摘しているとおり、パソコンやスマートフォン以外にも、ネットワークにつながる機器はサイバー攻撃の「裏口」になるリスクがあります。

監視カメラやルーターなどのネットワーク機器が適切なセキュリティ設定をされないままインターネットに接続されている場合、そこを足がかりにしてランサムウェアに感染したり、他のシステムへ侵入されたりする可能性があります。

また、機器そのものがDDoS攻撃の踏み台として利用され、大規模な被害の一端を担ってしまう恐れもあります。

こうした背景を踏まえ、IoT機器のセキュリティ性能を「見える化」しようという動きが、今回の認証制度の導入につながったものです。

IoT活用社会における安全性の土台

このニュースレターの別の記事でも取り上げていますが、日本は今後、人口減少と高齢化がさらに進行していく中で、限られた人手を補う手段として、IoT技術の活用がより一層求められていくことになります。

◇以前の記事「人口減少社会を乗り越えろ、IoT技術について」（2025/3/11）

産業分野だけでなく、家庭、医療、福祉、教育など多様な場面でIoT機器の導入が進んでおり、その恩恵を享受するためには、安全性を担保する制度的基盤が不可欠です。

IoTの利活用が社会の効率性と利便性を高める一方で、それに付随するリスクに対処しなければ、信頼性を損なう結果となりかねません。

セキュリティ事故が一度起これば、個人情報の漏洩、事業停止、法的責任など、影響は多方面に及びます。

そのため、セキュリティ性能の基準を設け、国が認証することで、「この製品は一定の安全性を満たしている」と利用者に明示する制度は、極めて意義深いものです。

今後は、レベル★1だけでなく、より高度なセキュリティ対策を講じた製品向けのレベル★2、レベル★3の認証も導入されていくようです。

またレベル★1～★2の民生品についても、監視カメラやネットワーク機器だけでなく、ネット対応家電やスマートスピーカーなどについても、適合性を明示してもらいたいと思います。

これにより、使用目的やリスクに応じて、適切な製品を選べる環境が整っていくことが期待されます。

古いIoT機器の更新と製品選定の意識

サイバー攻撃は日々進化しており、過去に安全だとされた機器でも、今となっては脆弱性を抱えているケースがあります。

とりわけIoT機器は、パソコンやスマートフォンに比べてソフトウェアの更新頻度が低く、製造から時間が経つと、セキュリティ面でのリスクが増していきます。

したがって、これから新たにIoT機器を導入する場合には、JC-STAR認証の有無を確認することを習慣化していくことが望ましいといえるでしょう。

製品選定時の比較基準として、単に価格や性能だけでなく、「セキュリティ認証を取得しているかどうか」という観点を持つことが、利用者自身の安全を守る第一歩となります。

また、すでに使用している機器についても、認証制度の基準を参考に、自社または自宅内の機器の状態を見直すことが推奨されます。

更新が止まっていたり、パスワードが初期設定のままだったりする機器は、極力新しい製品への更新を検討していくべきです。

特に、法人利用の現場においては、セキュリティ事故が信用問題に直結する可能性もあるため、早急な見直しが求められます。

今後も、サイバー攻撃から身を守るためには、「つながる機器の見える化」と「信頼できる製品の選択」が不可欠となります。

IoT機器のセキュリティ認証制度は、その土台を築くための第一歩であると言えるでしょう。

ぜひこの制度を活用し、安全で安心なデジタル社会の構築に役立てていただきたいと思います。

それでは今回はこの辺で。

宜しくお願い致します。

ニュースレターの最新号をメールでお知らせしますので、こちらのデジタルビズ・トップページより、ぜひ配信登録をお願い致します。