internet.watch.impress.co.jp

www.ipa.go.jp

セキュリティ上、IT機器はあれが危ないこれが危ないとか多すぎて悩む人多そうだけど100パーセントとは言わないまでも、認証リストをみた感じ信用度高そうだ、と個人の感想

www.ipa.go.jp

【情シス必見】9割が期待する「JC-STAR」制度とは？ネットワーク機器選定の新基準で解決される3つの課題

はじめに：情シス担当者が抱える深刻なセキュリティジレンマ

現代のデジタル社会において、情報システム担当者（情シス）が直面するセキュリティ課題は日々深刻化しています1。特にネットワーク機器の選定において、約9割の担当者がセキュリティ機能を重視している一方で、「各社の説明方法が異なり比較しづらい」という切実な悩みを抱えているのが現状です1。

そんな中、経済産業省主導で開始された「JC-STAR」制度が、情シス担当者の救世主として注目を集めています1。

デジタル庁が安全というものは技術的検証ほとんどなく（たまにあったとしてもテレビや新聞で騒がれたものの後追い）、大人の事情や政治的思惑が強く信用できないことばかりと常日頃感じていますが、経済産業省主導の制度は技術寄りで信頼度が高いと感じています。本記事では、バッファロー社が実施した最新調査結果をもとに、JC-STAR制度の詳細と、なぜ9割以上の情シス担当者がこの制度に期待を寄せているのかを徹底解説します。

デジタル庁が安全といってもとヤフコメやSNSをみていても、エンジニアは安全ではない　と証拠付きで言い切っていることが多々あり、「誰を信じればいいいの？」と混乱している情シス担当者がかなり多いと思います。

個人的にはIPAが出している指針や基準等が信頼度は高いと考えているので、そちらを参考にした方がよいと思います。これは私の個人の感想ではなく、技術に詳しいバリバリのセキュリティエンジニアも多くがIPAを信頼しているようです。

www.digitalsales.alsok.co.jp

バッファロー調査が明かす情シス担当者の実態

調査概要と衝撃的な結果

2025年5月に実施されたバッファロー社の調査では、従業員数100名～1,000名の企業でネットワーク機器の選定に関わる情報システム担当者111名を対象に、セキュリティ関心度調査が行われました1。

調査結果で明らかになった主要な数値は以下の通りです：

• 89.2%：ネットワーク機器のセキュリティ対策の必要性を痛感1

• 86.5%：機器選定時にセキュリティ機能を意識1

• 49.0%：「各社説明の仕方が異なり比較しづらい」と回答1

• 45.8%：「明確な判断基準がない」と回答1

• 91.0%：JC-STARが機器選定に重要になると認識1

セキュリティ対策の必要性を感じる理由トップ3

情シス担当者がセキュリティ対策の必要性を感じる理由として、以下が上位に挙がっています1：

1. IoT機器を標的とした攻撃の増加（59.6%）1

2. テレワーク普及による自宅セキュリティの必要性（43.4%）1

3. サイバー攻撃の報道増加（38.4%）1

重視されるセキュリティ機能

機器選定時に特に重視されるセキュリティ機能は以下の通りです1：

1. 暗号化技術の採用状況（49.0%）1

2. 不正ユーザー接続防止のアクセス制限機能（34.4%）1

1. 脆弱性情報の迅速な公開（29.2%）1

JC-STAR制度とは？完全ガイド

制度の正式名称と基本概念

JC-STARは「セキュリティ要件適合評価及びラベリング制度（Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements）」の略称です23。

この制度は、2024年8月に経済産業省が公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づき構築された、日本独自の適合性評価制度です24。

制度の目的と背景

JC-STAR制度が創設された背景には、以下の深刻な課題があります24：

• IoT製品の急速な普及とサイバー攻撃の増加

• セキュリティ対策の可視化の困難さ

• 国際規格との調和の必要性

• 調達基準の標準化への要求

制度の主な目的は、共通的な物差しでIoT製品のセキュリティ機能を評価・可視化し、政府機関から一般消費者まで、すべての購入者・調達者が適切なセキュリティ水準の製品を容易に選択できるようにすることです4。

対象となるIoT製品

JC-STAR制度の対象となるのは、以下の条件を満たすIoT製品です35：

• **インターネットプロトコル（IP）**を使用したデータ送受信機能を持つ製品

• ネットワーク接続可能な機器全般

• 利用者によるセキュリティ対策追加が困難な製品

具体的には、無線ルーター、無線アクセスポイント、スマートスイッチ、NAS、ネットワークカメラなどが該当します36。

ただし、パソコンやスマートフォンなど、ソフトウェアインストールによりセキュリティ対策を容易に追加できる機器は対象外とされています45。

JC-STARの4段階評価システム

星の数で分かるセキュリティレベル

JC-STAR制度では、セキュリティ技術要件の違いに応じて**★1～★4**までの4段階のラベリングが設定されています78。

適合ラベルの仕組み

適合が認められた製品には、二次元バーコード付きの適合ラベルが付与されます39。このラベルから以下の情報を簡単に取得できます8：

• 製品詳細情報（製品名、型式番号、製造業者名など）

• 適合評価情報（適合レベル、評価結果など）

• セキュリティ情報（脆弱性情報、アップデート情報など）

• 問い合わせ先情報

有効期限とメンテナンス

★1および★2の適合ラベルの有効期間は最長2年間となっており、継続には再申請が必要です48。これにより、セキュリティ水準の継続的な維持が担保されています。

国際規格との調和と相互承認への展望

JC-STAR制度は、「ETSI EN 303 645」や「NISTIR 8425」等の国内外の規格とも調和しつつ設計されています36。これにより、将来的な諸外国との相互承認の実現を目指しており、IoT製品を海外に輸出する際のメーカー負担軽減も期待されています45。

バッファロー社の取り組みと対応製品

バッファロー社は、JC-STAR制度に積極的に対応しており、以下の製品群で適合ラベルを取得しています6：

対応製品一覧

• 法人向け商品：20シリーズ計76型番1

• 個人向けWi-Fiルーター：1シリーズ計3型番1

実装されるセキュリティ仕様

バッファロー社のJC-STAR適合製品では、以下のような高度なセキュリティ仕様が実装されています6：

• 管理画面ログインの強化（パスワード固有化・変更必須化）

• 連続ログイン試行時のアクセス制限

• 設定値の暗号化

• ファームウェア自動更新機能

• サポート期間内のセキュリティアップデート提供

• サプライチェーンにおけるマルウェア混入リスク回避

情シス担当者が抱える3つの課題とJC-STARによる解決策

課題1：比較基準の不統一

現在の問題：各社で説明方法が異なり、製品間の比較が困難1
JC-STARによる解決：統一された評価基準とラベル表示により、客観的な比較が可能1

課題2：専門知識の壁

現在の問題：「何がマストなのか分からない」「職員自体の知識不足」1
JC-STARによる解決：星の数による直感的なセキュリティレベル表示78

課題3：評価の時間とコスト

現在の問題：評価に手間と時間がかかる（43.8%）1
JC-STARによる解決：二次元バーコードによる即座の情報取得98

海外のIoTセキュリティラベリング制度との比較

JC-STAR制度は、海外の類似制度を参考に設計されています10。主要な海外制度との比較は以下の通りです：

政府調達への影響と今後の展望

内閣サイバーセキュリティセンターは、「2025年度中に★1以上を取得していることを機器等の選定基準に含める」方針を示しています8。これにより、JC-STAR制度は単なる任意制度から、実質的な調達必須要件へと変化していく可能性が高いとされています。

まとめ：JC-STARが拓く新しいセキュリティ調達の時代

バッファロー社の調査結果が示すように、情シス担当者の9割以上がJC-STAR制度に期待を寄せる理由は明確です1。従来の「比較しづらい」「判断基準がない」という課題を解決し、客観的で分かりやすいセキュリティ評価基準を提供することで、より安全なネットワーク環境の構築が可能になります1。

2025年3月に★1レベルの運用が開始されたJC-STAR制度は4、今後段階的に上位レベルの運用も予定されており、IoT製品のセキュリティ向上に大きく貢献することが期待されています37。

情シス担当者にとって、JC-STAR適合製品の選択は、セキュリティリスクの軽減と業務効率化を同時に実現する有効な手段となるでしょう1。デジタル社会の安全なインフラ整備において、JC-STAR制度は欠かせない存在として、その重要性がますます高まっていくことは間違いありません。