産業サイバーセキュリティ研究会から読み解く、新たな評価の動きとJC-STAR制度

更新日:2025-12-23 公開日:2024-07-04 by Bitmoss

目次

【解説】新たなサイバー対策格付制度!?『第8回産業サイバーセキュリティ研究会事務局説明資料』を読む

はじめに

本記事は、経済産業省が開催してきた「産業サイバーセキュリティ研究会」における議論、とりわけ 「第8回産業サイバーセキュリティ研究会」の事務局説明資料(以下、「第8回研究会資料」と省略) をもとに、日本におけるサイバーセキュリティ評価制度の方向性を読み解くことを目的としています。

当初、研究会資料では「企業のサイバー対策を段階的に評価・可視化する仕組み」が検討案として示されており、 将来的には企業単位での成熟度評価(いわゆる格付けのような考え方)が導入される可能性が議論されていました。

その後の制度展開として、2025年3月に経済産業省は IoT製品向けのセキュリティ適合ラベリング制度 『JC-STAR(Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)』 を本格的に開始しています。

JC-STARは、ETSI EN 303 645 や NISTIR 8425 などの国内外の関連規格との整合性を意識しつつ、 日本独自の考え方も取り入れた、セキュリティ技術要件への適合性を可視化する制度です。

本記事では、

  • 研究会段階で議論されていた構想
  • その後、実際に先行して制度化されたJC-STAR

を整理しながら、日本のサイバーセキュリティ政策がどのように具体化してきたのかを見ていきます。

産業サイバーセキュリティ研究会とは何か

産業サイバーセキュリティ研究会は、経済産業省が主導する有識者会合であり、 日本の産業活動や経済基盤を支えるサイバーセキュリティ政策について、 中長期的な視点から検討を行う場です。

近年の研究会では、以下のような課題意識が共有されてきました。

  • サプライチェーン全体におけるサイバーリスクの増大
  • 企業や製品ごとのセキュリティ対策状況が外部から見えにくい問題
  • 市場原理を活かしてセキュリティ対策を促進する必要性

これらを背景に、「セキュリティ対策をいかに可視化するか」が重要なテーマとして位置付けられています。

研究会で議論された「評価・可視化」の考え方

研究会資料では、サイバーセキュリティ対策を単純に 「実施している/していない」で判断するのではなく、 成熟度(マチュアリティ)として段階的に捉えるという考え方が示されました。

主なポイントは次の通りです。

  • セキュリティ対策は一律ではなく、企業規模や事業内容に応じて段階が存在する
  • 成熟度を段階化することで、現状把握と改善の道筋が明確になる
  • 評価結果を可視化することで、取引先や市場からの信頼判断に活用できる

こうした文脈の中で、「企業のサイバー対策を複数段階で評価する仕組み」が、 あくまで検討段階の案として提示されていました。

「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」の重要性

「第8回研究会資料」では、評価制度の議論とあわせて、 「セキュア・バイ・デザイン」「セキュア・バイ・デフォルト」の重要性も強調されています。

セキュア・バイ・デザイン
製品やシステムを最初から設計する際にセキュリティを考慮に入れる方法。 セキュリティは製品の基本的な機能として組み込まれます。
セキュア・バイ・デフォルト
製品が市場に出る際に、最初から最も安全な設定で提供されること。 ユーザーは特別な知識がなくても、基本的な保護を受けることができます。


これは、後から対策を追加する方法には限界があるという認識に基づくものであり、 特に IoT製品やクラウドサービスの分野で重要性が高まっています。

IoT製品向けに先行して制度化された「JC-STAR」とは

こうした研究会での議論を背景に、実務的な制度として先行して導入されたのが 「JC-STAR」です。

JC-STARは、IoT製品を中心とした製品セキュリティについて、 STAR-1(★1)から STAR-4(★4)までの4段階で適合性を示すラベリング制度です。

制度の主な特徴として、以下が挙げられます。

  • 製品単位でセキュリティ対策状況を分かりやすく可視化
  • 国際的なセキュリティ要件や議論動向を踏まえた設計
  • 将来的な政府調達や市場での活用が期待され、検討が進められている仕組み

JC-STARのレベル構成と考え方

STAR-1(★1)

IoT製品に共通して求められる最低限のセキュリティ要件を定め、 それを満たしていることをベンダーが自己宣言するレベルです。

STAR-2(★2)

製品類型ごとの特性を踏まえ、★1に追加すべき基本的な要件を定め、 それを満たしていることをベンダーが自己宣言するレベルです。

STAR-3(★3)/STAR-4(★4)

政府機関や重要インフラ事業者、大企業などでの利用を想定し、 ★1・★2に加えて、より高度で汎用的なセキュリティ要件を満たしていることを 第三者が評価するレベルです。

研究会で検討されていた「企業の成熟度評価」とは対象が異なりますが、 セキュリティを可視化し、市場メカニズムによって全体の水準を引き上げるという思想は 共通している点が見て取れます。

企業評価と製品ラベルはどう違うのか

ここで整理しておきたいのは、 「企業のサイバー対策成熟度評価」と 「製品のセキュリティラベル(JC-STAR)」は、 目的も対象も異なるという点です。

企業評価は、組織全体のガバナンス、運用体制、人材やプロセスまで含めた 広い視点が必要になります。 一方、JC-STARはあくまで製品単位のセキュリティ対策状況を示す制度です。

ただし、製品ラベル制度が先行して動き出したことで、 今後、企業としての取り組みや体制整備に議論が広がっていく可能性も考えられます。

まとめ

サイバーセキュリティ評価制度は、単なる格付けや序列化を目的としたものではありません。 本来の目的は、現状を把握し、課題を明確にし、継続的な改善につなげることにあります。

JC-STARの開始は、日本における「セキュリティ対策の可視化」が、 研究会での検討段階から、実際の制度運用フェーズへと移行したことを示す 象徴的な動きと言えるでしょう。

今後、企業評価に関する議論がどのような形で具体化していくのか。 研究会で示された構想と、実際に動き始めた制度の両面を注視していく必要がありそうです。

出典:
経済産業省商務情報政策局: 第8回産業サイバーセキュリティ研究会事務局説明資料
経済産業省: 第8回「産業サイバーセキュリティ研究会」を開催しました

この記事をシェアする

  • 記事をnoteでシェアnote
  • 記事をメールでシェアメール
  • 記事のリンクをコピーリンクをコピー

関連記事

ブログトップに戻る