English
IoT製品セキュリティ評価
ITSCとセキュリティ要件適合評価及びラベリング制度
(JC-STAR)
一般社団法人ITセキュリティセンター(ITSC)は、「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の評価サービスを行います。
JC-STAR(Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)は、独立行政法人 情報処理推進機構(IPA)の運営する「IoT製品に対する適合基準への適合性」を確認・可視化する制度です。ITSCは、ISO/IEC 15408(Common Criteria)の評価を通じで培ったノウハウを活用し、JC-STRT評価機関としての活動を開始します。
ITSCは、IPAによる暫定措置によりJC-STAR評価機関認定制度による認定が開始されるまでの期間について「JC-STAR評価機関」相当の機関として認められています。認定制度が開始され次第、正式に「JC-STAR評価機関」としての認定を取得する予定です。
JC-STARとは
JC-STATとは、単独のIoT機器、またはIoT機器と必須付随サービスで構成される一式を対象としたセキュリティ評価・認証制度です。
対象となるIoT機器は、「直接インターネットに接続」して利用する機器だけではなく、「インターネット上のサービスとの連携が意図された機器」も対象です。
また、調達者や消費者から求められるセキュリティ水準に応じて、IoT製品共通の最低限の脅威に対応するための適合基準★1(レベル1)とIoT製品類型ごとの特徴に応じた適合基準★2(レベル2)、★3(レベル3)、★4(レベル4)の4つのレベルが設けられます。
| レベル | 位置づけ | 評価方法 |
|---|---|---|
| ★1(レベル1) | IoT製品として共通して求められる最低限のセキュリティ要件を定め、それを満たすことをIoT製品供給者(製造・販売)が自ら宣言するもの | IoT製品供給者による自己評価(評価機関への評価委託も可能) |
| ★2(レベル2) | IoT製品類型ごとの特徴を考慮し、★1に追加すべき基本的なセキュリティ要件を定め、それを満たすことをIoT製品供給者が自ら宣言するもの | IoT製品供給者による自己適合宣言(評価機関への評価委託も可能) |
| ★3(レベル3) 以上 | 政府機関等や重要インフラ事業者、大企業の重要なシステムでの利用を想定したIoT製品類型ごとの汎用的なセキュリティ要件を定め、それを満たすことを独立した第三者が評価して示すもの | 第三者機関による評価 |
IoT製品ベンダーによる適合宣言(★1、★2)
IoT製品供給者(製造・販売)による適合宣言(自己適合宣言)では、IoT製品供給者によるチェックリストの作成が求められます。IoT製品供給者は、評価機関に製品評価およびチェックリストの作成を依頼することも可能です。
★1(レベル1)のラベル申請では、最低限の脅威に対応するための製品共通の適合基準・評価手順に基づいたチェックリストの作成・提出が必要です。また、★2(レベル2)では、製品類型毎に定められた適合基準・評価手順に基づいたチェックリストの作成・提出が必要です。
第三者機関による評価・認証(★3、★4)
★3(レベル3)、および★4(レベル4)のラベル申請では、製品類型毎に定められた適合基準・評価手順に基づいた第三者評価機関による評価が必要となります。
※ITSCは、IPAによる暫定措置によりJC-STAR評価機関認定制度による認定が開始されるまでの期間について「JC-STAR評価機関」相当の機関として認められています。認定制度が開始され次第、正式に「JC-STAR評価機関」としての認定を取得する予定です。
ITSCの評価サービス
ITSCでは、★1(レベル1)/★2(レベル2)で要求されるチェックリストを作成するための評価サービスに加え、評価機関にISO/IEC 17025(JC-STAR)認定が要求される★3(レベル3)/★4(レベル4)の評価サービスを行います。
お問い合わせ
IoT製品セキュリティ評価(JC-STAR)についてのお問い合わせは、電話またはお問い合わせ窓口をご利用ください。
