コラム
コラム
2026年は、セキュリティ要件適合評価及びラベリング制度(JC‐STAR)と他国のラベリングスキームとの相互承認が拡大?
2026-02-02
2025年10月23日、経済産業省はグローバル・サイバーセキュリティ・ラベリング・イニシアティブ(GCLI)に関して共同声明を発表。同年11月6日、経済産業省はJC-STARと英国Product Security & Telecommunication Infrastructure Act(PSTI法)の相互承認に関する覚書に署名を行いました。更に2026年1月1日より、IPAはJC-STAR「★1」適合ラベルとPSTI法との相互承認を開始しました。これらのことから、ECSEC Lab.では、日本と各国のIoT製品のセキュリティラベリング制度との相互承認の動きが活発になると考えています。
経済産業省のニュースリリース
・グローバル・サイバーセキュリティ・ラベリング・イニシアティブ(GCLI)に関して共同声明を発表しました
・JC-STARと英国PSTI法の相互承認に関する覚書に署名しました
PSTI法適合証明とJC-STAR適合ラベル取得で実施される相互承認に向けた具体的な手続き
・PSTI法適合証明について
経済産業省のニュースリリース
・グローバル・サイバーセキュリティ・ラベリング・イニシアティブ(GCLI)に関して共同声明を発表しました
・JC-STARと英国PSTI法の相互承認に関する覚書に署名しました
PSTI法適合証明とJC-STAR適合ラベル取得で実施される相互承認に向けた具体的な手続き
・PSTI法適合証明について
1.先行するシンガポールによる相互承認の動向
グローバル・サイバーセキュリティ・ラベリング・イニシアティブ(GCLI)に関しての共同声明が発表された、世界的なサイバーセキュリティ分野の会議であるシンガポール・サイバーセキュリティ・ウィーク(SICW)の開催されたシンガポールでは、日本に先駆けること5年前の2020年10月よりCyber Security Agency of Singapore(CSA:シンガポールサイバーセキュリティ庁))は消費者向けIoT製品向けにサイバーセキュリティラベリングスキーム(Cybersecurity Labelling Scheme: CLS)の導入を開始しました。現在CLSはドイツ、フィンランド、韓国の類似制度との相互承認を結んでいます。但し、包括的に相互承認できているわけではありません。以下の表にCLSと各国の制度との相互承認の状況を記します。
| 国/組織 | 相互承認のレベル |
| フィンランド | CLSレベル3以上とフィンランドのサイバーセキュリティラベルの相互承認 |
| ドイツ | CLSレベル2以上とドイツのITセキュリティラベルの相互承認 |
| 大韓民国 | 大韓民国のIoTサイバーセキュリティ認定(CIC)基本レベルとCLSレベル3以上で相互承認 |
上表はAbout Cybersecurity Labelling Scheme for IoT - CLS(IoT) より、ECSEC Lab.にて意訳、転載。
2.CLS Level1 Security Baseline RequirementとJC-STAR「★1」レベルの適合基準の比較
CLS Level1 Security Baseline RequirementとJC-STAR「★1」レベルの適合基準の比較を下表に作成してみました。表からは、JC-STAR「★1」の適合基準は、CLS Level1 Security Baseline Requirementの全てを包含していることが読み取れます。但し、CLS Level1 Security Baseline Requirementは、JC-STAR「★1」の適合基準の全てを包含していないので、直近での相互承認は難しいかもしれませんが、議論は前向きに進んでいくと考えられます。
| CLS | JC-STAR 「★1」 | ||
| Level1 Security Baseline Requirement | 適合基準 | 【参考】海外既存制度・文書で求められるセキュリティ要件との関係性(ETSI EN 303 645) | |
| 5.1 | 5.1-1 | S1.1-02 | 5.1-1 MC (1), 5.1-2 MC (2) |
| 5.1-2 | S1.1-02 | 5.1-1 MC (1), 5.1-2 MC (2) | |
| 5.1-3 | S1.1-01 | 5.1-3 M, 5.5-5 M | |
| 5.1-4 | S1.1-03 | 5.1-4 MC (8) | |
| 5.1-5 | S1.1-04 | 5.1-5 MC (5) | |
| 5.2-1 | S1.1-05 | 5.2-1 M | |
| 5.3-2 | S1.1-06 | 5.3-1 R, 5.3-2 MC (5) | |
| 5.3-3 | S1.1-07 | 5.3-3 MC (12) | |
| 5.3-7 | S1.1-08 | 5.3-2 MC (5), 5.3-7 MC (12), 5.3-10 M (11,12) | |
| 5.3-8 | S1.1-09 | 5.3-8 MC (12) | |
| 5.3-10 | S1.1-08 | 5.3-2 MC (5), 5.3-7 MC (12), 5.3-10 M (11,12) | |
| 5.3-13 | S1.1-16 | 5.12-2 R, 5.3-11 RC (12), 5.3-13 M | |
| 5.3-16 | S1.1-08 | 5.3-16 M | |
| 以下はCLS Level1 Security Baseline Requirementには無い、JC-STAR「★1」のみの適合基準 | |||
| S1.1-10 | 5.3-16 M | ||
| S1.1-11 | 5.4-1 M | ||
| S1.1-12 | 5.5-1 M, 5.5-7 M | ||
| S1.1-13 | 5.6-1 M | ||
| S1.1-14 | 5.9-1 R | ||
| S1.1-15 | 5.11-1 M | ||
| 参考文書:Cybersecurity Labelling Scheme for IoT Publication No. 4 Assessment Methodology April 2025 Version 1.2(CCC SP-151-4 CLS(IoT) Assessment Methodology v1.2.pdf) | 参考文書:セキュリティ要件適合評価及びラベリング制度(JC-STAR) ★1レベル適合基準・評価手法 令和6年12月(JC-STARlevel1_tekigoukizyun_hyouka.pdf) | ||
3.日本におけるの相互承認の動向
経済産業省によるJC-STARと英国PSTI法の相互承認に関する覚書への署名及び、IPAによるJC-STAR「★1」適合ラベルとPSTI法との相互承認の開始は、英国以外の各国とのセキュリティラベリングスキーム間の相互承認が進む、大きな一歩と考えられます。経済産業省のニュースリリースでは具体的なセキュリティ要件とマッピングまでには触れられていなかったので、以下の表を参考のためにECSEC Lab.でまとめてみました。PSTI法の要件とJC-STAR「★1」の適合基準間の整合性を確認できます。
| PSTI法 の「Conditions for Deemed Compliance with Security Requirements」の項目 | 各項目の要求するETSI EN 303 645のセキュリティ要件 | JC-STAR 「★1」レベル適合基準 |
| Passwords(パスワードに関する要件) | 5.1-1, 5.1-2 | S1.1-02 |
| Information on how to report security issues(セキュリティ問題の報告方法に関する情報:脆弱性報告に関する要件) | 5.2-1 | S1.1-05 |
| Information on minimum security update periods (最小セキュリティ更新期間に関する情報:サポート期間に関する要件) | 5.3-13 | S1.1-16 |
| 参照文書: ・The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023(ukdsi_9780348249767_en.pdf) | 参照文書: ・セキュリティ要件適合評価及びラベリング制度(JC-STAR) ★1レベル適合基準・評価手法 令和6年12月(JC-STARlevel1_tekigoukizyun_hyouka.pdf) | |
今回の経済産業省によるJC-STAR「★1」と英国PSTI法の相互承認に関する覚書への署名及び、IPAによるJC-STAR「★1」適合ラベルとPSTI法との相互承認の開始は、要件間の整合性を確認できれば、相互承認が可能であるという一例にもなったとも考えられますし、JC-STARのネットワークカメラと通信機器で検討中である「★3」適合基準案が適合基準として公開後、シンガポールのCLSのレベル3の要件との整合性が確認できるならば、シンガポールだけではなくフィンランド、ドイツ、韓国との相互承認へと広がる高い可能性を有することになります。
相互承認が拡大することは、日本のラベリングスキームでラベル取得するメリットが広がり、IoT製品ベンダーの皆様にとっても、時間、コストの負担が少なくなると考えられますので、経済産業省、IPAによる継続した相互承認推進の活動をECSEC Lab.としても期待しています。
相互承認について、各国間で前向きな議論が増加し、相互承認が進むと、各国のラベリングスキーム関連文書のアップデート回数は増える方向と考えられるので、IoT製品ベンダーの皆様におきましては、定期的なラベリングスキーム関連文書の確認をお勧めします。
相互承認が拡大することは、日本のラベリングスキームでラベル取得するメリットが広がり、IoT製品ベンダーの皆様にとっても、時間、コストの負担が少なくなると考えられますので、経済産業省、IPAによる継続した相互承認推進の活動をECSEC Lab.としても期待しています。
相互承認について、各国間で前向きな議論が増加し、相互承認が進むと、各国のラベリングスキーム関連文書のアップデート回数は増える方向と考えられるので、IoT製品ベンダーの皆様におきましては、定期的なラベリングスキーム関連文書の確認をお勧めします。
JC-STAR「★1」、通信機器「★3」とネットワークカメラ「★3」ラベル取得に関する評価のご依頼、ご質問、ご相談のお問い合せは、お問い合せフォームに必須事項をご入力の上、ご連絡ください。
HP内で公開していますJC-STAR評価サービスQ&A集もご活用ください。
本コラム公開時、IPAによる暫定措置として、ECSEC Lab.は「JC-STAR暫定評価機関」です。製品評価技術基盤機構(NITE)の製品評価技術基盤機構認定制度(ASNITE)の中に、JC-STARの「★3」(レベル3)以上の評価を行える事業者についてISO/IEC 17025に基づくJC-STAR評価機関認定制度を設け(2025年度以降)、適切な能力及び体制を整備した事業者を「JC-STAR評価機関」として認定する予定となっており、ECSEC Lab.は認定取得を予定しています。
HP内で公開していますJC-STAR評価サービスQ&A集もご活用ください。
本コラム公開時、IPAによる暫定措置として、ECSEC Lab.は「JC-STAR暫定評価機関」です。製品評価技術基盤機構(NITE)の製品評価技術基盤機構認定制度(ASNITE)の中に、JC-STARの「★3」(レベル3)以上の評価を行える事業者についてISO/IEC 17025に基づくJC-STAR評価機関認定制度を設け(2025年度以降)、適切な能力及び体制を整備した事業者を「JC-STAR評価機関」として認定する予定となっており、ECSEC Lab.は認定取得を予定しています。