JC-STAR ★1取得ガイド|IoTメーカーが最初にやるべき5つのステップ
はじめに:JC-STARとは何か、なぜ今なのか
JC-STAR(Japan Cyber-Security Technical Assessment Requirements)は、IoT製品のセキュリティ適合性を評価・ラベリングする制度です。経済産業省が主導し、IPA(独立行政法人 情報処理推進機構)が運用しています。
2025年3月に運用が開始され、現在は★1(レベル1)の申請が可能です。
「うちにはまだ関係ない」と思われるかもしれません。しかし、以下の動きを考えると、今から準備を始めるメーカーとそうでないメーカーの差が開き始めています。
- 公共調達での活用:政府・自治体のIoT機器調達でJC-STARラベルが参照される可能性
- 大手企業の調達要件:取引先からのセキュリティ要求にJC-STARが含まれるケースが増加
- EU CRA(Cyber Resilience Act):2027年12月に完全適用。欧州市場向け製品は必須対応
- SCS評価制度:サプライチェーン強化に向けたセキュリティ対策評価制度が2026年度末に開始予定
JC-STAR ★1の概要
評価レベル
| レベル | 位置づけ | 評価方法 |
|---|---|---|
| ★1 | 最低限のセキュリティ要件 | 自己適合宣言(自社で評価) |
| ★2以上 | より高度なセキュリティ要件 | 第三者評価機関による評価 |
★1は自己適合宣言方式のため、外部機関への評価依頼なしに自社で申請が可能です。これが「まず★1から」と言われる理由です。
対象製品
インターネットプロトコル(IP)を利用してネットワークに接続するIoT製品が対象です。
- 防犯カメラ・ネットワークカメラ
- 産業用ゲートウェイ・センサー
- ビル設備・入退室管理機器
- 決済端末・POS端末
- AI搭載エッジデバイス
- ルーター・スイッチ等のネットワーク機器
申請手数料
★1の申請手数料は198,000円(税込)です。
5つのステップで進めるJC-STAR ★1準備
ステップ1:対象製品を1つ選定する
まず、JC-STARの対象とする製品を1つだけ決めます。
選定の基準:
- 主力製品 or 新規案件で求められている製品を優先
- ネットワーク接続機能があること(IP通信)
- 製品の仕様・設計情報にアクセスできること
ステップ2:16の適合基準を確認する
JC-STAR ★1には16の適合基準があります。
| カテゴリ | 確認ポイント例 |
|---|---|
| アクセス制御 | デフォルトパスワードの排除、認証機能の実装 |
| ソフトウェア更新 | セキュリティアップデートの提供手段 |
| 通信の保護 | 暗号化通信の使用 |
| データの保護 | 保存データの暗号化、不要データの削除 |
| 脆弱性管理 | 脆弱性の受付窓口、対応プロセス |
| セキュリティ設計 | 最小権限の原則、攻撃面の最小化 |
ステップ3:ギャップを洗い出す
チェックリストの各項目について、自社製品の現状を確認します。
- チェックリストの各基準を読み、適合 / 非適合 / 確認が必要の3つに分類
- 非適合の項目について、対応に必要な工数と難易度を概算
- 確認が必要な項目について、開発チームや設計担当にヒアリング
「分からない」も立派な発見です。「この基準が自社製品に該当するか判断できない」という項目は、社内にナレッジがないことを意味します。それ自体がギャップです。
ステップ4:エビデンスを準備する
各基準に対して以下の記載が必要です。
- 評価結果(適合 / 非適合)
- エビデンスの名称(設計書、テスト結果、スクリーンショット等)
- エビデンスに基づく適合理由
エビデンスの例:
- ファームウェアアップデート機能の仕様書
- デフォルトパスワード変更を求めるUI画面のスクリーンショット
- 暗号化通信のプロトコル設定画面
- 脆弱性受付窓口のWebページURL
- セキュリティテストの実施報告書
ステップ5:チェックリストを完成させ、申請する
申請の流れ:
- IPAのJC-STAR申請ページにアクセス
- 申請書とチェックリストを提出
- 申請手数料(198,000円・税込)を支払い
- IPAによる確認
- 適合が認められればJC-STARラベルが付与
よくあるつまずきポイント
「脆弱性の受付窓口がない」
対応方法:
- 専用メールアドレス(例:security@example.com)を設置する
- 製品ページにセキュリティに関する連絡先を掲載する
- 受付後の社内エスカレーションフローを簡易的に定める
最初から完璧な体制は不要です。「窓口がある」「報告を受け付ける意思がある」ことを示すのが第一歩です。
「アップデート機能はあるが、方針が文書化されていない」
対応方法:
- セキュリティアップデートの提供方針を簡潔に文書化する
- 製品の想定ライフサイクル(サポート期間)を明記する
- アップデートの通知方法を定める
スケジュール感の目安
| フェーズ | 期間 | 内容 |
|---|---|---|
| 準備 | 1〜2週間 | 製品選定、チェックリスト確認、担当者アサイン |
| ギャップ分析 | 2〜3週間 | 16基準の確認、非適合項目の洗い出し |
| 対応・エビデンス準備 | 2〜4週間 | 非適合項目への対応、証拠資料の作成 |
| 申請 | 1〜2週間 | チェックリスト完成、申請書提出 |
合計:おおよそ2〜3か月が目安です。
まとめ
JC-STAR ★1は、IoTメーカーが製品セキュリティに取り組む最初の一歩として最適な制度です。
- 対象製品を1つ選ぶ
- 16の適合基準を確認する
- ギャップを洗い出す
- エビデンスを準備する
- チェックリストを完成させて申請する
制度が始まったばかりの今だからこそ、早めに動いたメーカーが顧客からの信頼を先に獲得できます。
自社だけでの準備が難しいと感じたら
「チェックリストの読み解き方が分からない」「エビデンスとして何を出せばいいか判断できない」——そんな場合は、外部の専門家と一緒に進めるのも現実的な選択肢です。
初回相談は無料です。まずは現状の体制と課題感をお聞かせください。
無料相談を申し込む