コラム
コラム
公開された「通信機器★3セキュリティ要件」、「ネットワークカメラ★3セキュリティ要件」
2026-03-02
IPAは、2026年2月6日に「通信機器★3セキュリティ要件」、「ネットワークカメラ★3セキュリティ要件」(以下、二つをまとめている場合は「★3セキュリティ要件」と表記、ネットワークカメラは、NWカメラと表記する場合もあります)を公開しました。2025年11月27日~12月12日で行われた「★3(レベル3)セキュリティ要件・適合基準案へのパブリック・コメント募集」時に公開された、★3セキュリティ要件・適合基準案(通信機器/NWカメラ)から今回公開の★3セキュリティ要件では、今後を見据えた変更、及び更新が多く含まれていましたので、それらのいくつかをまとめてみました。
1.適合ラベルの適合基準・評価手順の文書体系が変更されています
★3適合基準類の構成は、
・「★3セキュリティ要件」
・「★3適合要件」
・「★3評価ガイド」
の3点により構成されることになりました。
今回の公開では、「★3セキュリティ要件」のみの公開で、「★3適合要件」、「★3評価ガイド」は今後の公開となるようです。以下に「★3セキュリティ要件」より「 図2. ★3適合基準類の構成」を転載します。
・「★3セキュリティ要件」
・「★3適合要件」
・「★3評価ガイド」
の3点により構成されることになりました。
今回の公開では、「★3セキュリティ要件」のみの公開で、「★3適合要件」、「★3評価ガイド」は今後の公開となるようです。以下に「★3セキュリティ要件」より「 図2. ★3適合基準類の構成」を転載します。
今回公開された、「★3セキュリティ要件」の1.5項「1.5 ★3適合基準類の構成」では、「セキュリティ要件」、「適合要件」、「評価ガイド」の構成を説明し、どのような関係にあるかを明確化しています。ここで特に注意が必要なのは、この1.5項の記載がある9 / 48ページの下方に書かれている、以下文節です。
「つまり、本文書での「★3セキュリティ要件」だけを見て、自らの解釈で対策をとったとしても、 「★3適合要件」並びに「★3評価ガイド」に照らし合わせた適合評価で認証されない限り、適合ラベルが取得できないことに留意されたい。」です。
また、「表4. 「★3セキュリティ要件」と「★1レベル適合基準・評価手法」の項目名、記載事項」に、★3適合基準類のどれに何が書かれることになるのかが、まとめられています。こちらで特に気を付けるべき点は、★3セキュリティ要件案から「評価手法」の記載を削除し、「評価手法」は「★3評価ガイド」に記載されることになった点です。以下に「表4. 「★3セキュリティ要件」と「★1レベル適合基準・評価手法」の項目名、記載事項」を転載します。
表4. 「★3セキュリティ要件」と「★1レベル適合基準・評価手法」の項目名、記載事項
「つまり、本文書での「★3セキュリティ要件」だけを見て、自らの解釈で対策をとったとしても、 「★3適合要件」並びに「★3評価ガイド」に照らし合わせた適合評価で認証されない限り、適合ラベルが取得できないことに留意されたい。」です。
また、「表4. 「★3セキュリティ要件」と「★1レベル適合基準・評価手法」の項目名、記載事項」に、★3適合基準類のどれに何が書かれることになるのかが、まとめられています。こちらで特に気を付けるべき点は、★3セキュリティ要件案から「評価手法」の記載を削除し、「評価手法」は「★3評価ガイド」に記載されることになった点です。以下に「表4. 「★3セキュリティ要件」と「★1レベル適合基準・評価手法」の項目名、記載事項」を転載します。
表4. 「★3セキュリティ要件」と「★1レベル適合基準・評価手法」の項目名、記載事項
| 記載事項 | ★1レベル適合基準・評価手法 | ★3セキュリティ要件 |
| セキュリティ要件の分類 | セキュリティ要件カテゴリ | カテゴリ |
| セキュリティ要件の表題 | セキュリティ要件 | (廃止) |
| JC-STARの求めるセキュリティ要件の記述 | 適合基準 | セキュリティ要件 |
| 対象外(NA)となるための条件、基準の補足説明 | 対象外(NA)となるための条件、基準の補足説明 | 対象外(NA)となるための条件、基準の補足説明 |
| 評価手法の概要 | 評価手法 | (削除、★3評価ガイドに記載) |
★3ラベル取得希望者は、今後公開される「★3適合要件」と「★3評価ガイド」も、しっかりと読み込んで理解し、申請に向けての準備を進める必要があります。
2.「セキュリティ要件カテゴリ」は「カテゴリ」に変更されました
変更に伴い、その説明を「★3セキュリティ要件」の3.3節に記載しています(既出「表4」にも記載あります)。セキュリティ要件分類を「セキュリティ要件カテゴリ」から「カテゴリ(分類カテゴリ)」へ変更、各「カテゴリ」に紐づいて各「セキュリティ要件」説明がされています。★3では、「カテゴリ」が大幅に増加したことで、「セキュリティ要件」も増加しています。以下の表で「★1セキュリティ要件カテゴリ」と「★3カテゴリ」の比較をしています。なお、3.3節に「全てのカテゴリの対策が必要というわけではないことに留意されたい」とありますように、★3通信機器、★3NWカメラには「カテゴリ15」、「カテゴリ18」、「カテゴリ20」、に対応するセキュリティ要件は、ありません。
| ★1セキュリティ要件 カテゴリ | カテゴリ | ★3セキュリティ要件番号 | |
| 通信機器 | ネットワークカメラ | ||
| 1. 脆弱な認証・認可メカニズム(例: 汎用のデフォルトパスワード、脆弱なパスワード)を使用しない | カテゴリ1: 脆弱な認証・認可メカニズム(例:汎用のデフォルトパスワード、脆弱なパスワード)を使用しない | S3.1-01 | S3.2-01 |
| S3.1-02 | S3.2-02 | ||
| S3.1-03 | S3.2-03 | ||
| S3.1-04 | S3.2-04 | ||
| S3.1-05 | S3.2-05 | ||
| S3.1-06 | S3.2-06 | ||
| S3.1-07 | S3.2-07 | ||
| S3.1-08 | - | ||
| 2. 脆弱性の報告を管理するための手段を導入する | カテゴリ2: 脆弱性の報告を管理するための手段を導入する | S3.1-09 | S3.2-08 |
| 3. ソフトウェアを最新の状態に保つ | カテゴリ3: ソフトウェアを最新の状態に保つ | S3.1-10 | S3.2-09 |
| S3.1-11 | S3.2-10 | ||
| S3.1-12 | S3.2-11 | ||
| S3.1-13 | S3.2-12 | ||
| S3.1-14 | S3.2-13 | ||
| S3.1-15 | S3.2-14 | ||
| 4. 機密セキュリティパラメータをセキュアに保存する | カテゴリ4 : セキュアに保存する | S3.1-16 | S3.2-15 |
| S3.1-17 | S3.2-16 | ||
| S3.1-18 | S3.2-17 | ||
| S3.1-19 | S3.2-18 | ||
| 5. セキュアに通信する | カテゴリ5 : セキュアに通信する | S3.1-20 | S3.2-19 |
| S3.1-21 | S3.2-20 | ||
| S3.1-22 | S3.2-21 | ||
| 6. 露出した攻撃面を最小化する | カテゴリ6 : 露出した攻撃面を最小化する | S3.1-23 | S3.2-22 |
| S3.1-24 | S3.2-23 | ||
| S3.1-25 | S3.2-24 | ||
| S3.1-26 | S3.2-25 | ||
| S3.1-27 | S3.2-26 | ||
| S3.1-28 | S3.2-27 | ||
| S3.1-29 | S3.2-28 | ||
| S3.1-30 | S3.2-29 | ||
| なし | カテゴリ7 : ソフトウェアの完全性を確実にする | S3.1-31 | S3.2-30 |
| なし | カテゴリ8 : 個⼈データがセキュアであることを確実にする | S3.1-32 | S3.2-31 |
| 9. 停止に対してレジリエントなシステムにする | カテゴリ9 : 停止に対してレジリエントなシステムにする | S3.1-33 | S3.2-32 |
| - | S3.2-33 | ||
| S3.1-34 | S3.2-34 | ||
| なし | カテゴリ10 : システムのテレメトリデータを検証・保護する | S3.1-35 | S3.2-35 |
| 11. ユーザが簡単にデータを消去できるようにする | カテゴリ11 : ユーザが簡単にデータを消去できるようにする | S3.1-36 | S3.2-36 |
| なし | カテゴリ12 : 製品の設置及びメンテナンスを容易にする | S3.1-37 | S3.2-37 |
| なし | カテゴリ13 : 入力データの妥当性を確認する | S3.1-38 | S3.2-38 |
| なし | カテゴリ14 : 個人データを適切に処理する | S3.1-39 | S3.2-39 |
| S3.1-40 | S3.2-40 | ||
| S3.1-41 | - | ||
| S3.1-42 | - | ||
| なし | カテゴリ15 : 製品を識別可能にする | - | - |
| なし | カテゴリ16 : 脅威を特定しテストする | S3.1-43 | S3.2-41 |
| なし | カテゴリ17 : 製品に関する情報提供を行う | S3.1-44 | S3.2-42 |
| S3.1-45 | S3.2-43 | ||
| なし | カテゴリ18 : 文書化する | - | - |
| なし | カテゴリ19 : 製品の可用性を確実にする | S3.1-46 | S3.2-44 |
| なし | カテゴリ20 : セキュアなセッションを確立する | - | - |
| なし | カテゴリ21 : ハードウェアの完全性を確実にする | S3.1-47 | S3.2-45 |
| 参照文書: ・JST-CR-01-01-2024 セキュリティ要件適合評価及びラベリング制度(JC-STAR) ★1レベル適合基準・評価手法 令和6年9月 | 参照文書: ・JST-CR-03-01-2026 セキュリティ要件適合評価及びラベリング制度(JC-STAR)通信機器★3セキュリティ要件 令和8年2月 ・JST-CR-03-02-2026 セキュリティ要件適合評価及びラベリング制度(JC-STAR) ネットワークカメラ★3 セキュリティ要件 令和8年2月 | ||
| ★3セキュリティ要件の内容に差分の無い場合は、セルの背景色が緑色になっています | |||
3.【参考】についての更新
「★1レベル適合基準・評価手法」中の各★1適合基準で、記載されていた「【参考】海外既存制度・文書で求められるセキュリティ要件との関係性」、「【参考】国内既存制度・文書で求められるセキュリティ要件との関係性」は、「★3セキュリティ要件」から削除されました。但し、「★3セキュリティ要件」の表3に「考慮した国内外のセキュリティ要件」で文書は記載されています。また、「Appendix B: 参照先リンク」で文書のリンク先を記載しています。今回削除された部分は、今後公開される★3適合要件・評価ガイド文書に記載されるのではないかと思われます。期待して、★3適合要件・評価ガイド文書の公開を待ちたいと思います。
4.守るべき情報資産についての更新
「★1レベル適合基準・評価手法」では、各★1適合基準で記載されていた「守るべき情報資産」の説明は、「★3セキュリティ要件」では、3.2節「★3通信機器での守るべき情報資産」、「★3 NWカメラでの守るべき情報資産」にも纏められるようになりました。
なお、「守る」には、「機密性を守る」という場合と、「完全性を守る」という場合があり、利用環境やユースケース、情報資産の種類によって、その両方を守ることが必要な場合(CSP(Critical Security Parameter(表7参照))と「完全性保護は求められるが、機密性保護までは求められない場合」があるとしています。「★3セキュリティ要件」の各々の機器に想定される守るべき情報資産の違いを明確にするため、以下に各「★3セキュリティ要件」の表7を一つにまとめた表を以下に記します。
なお、「守る」には、「機密性を守る」という場合と、「完全性を守る」という場合があり、利用環境やユースケース、情報資産の種類によって、その両方を守ることが必要な場合(CSP(Critical Security Parameter(表7参照))と「完全性保護は求められるが、機密性保護までは求められない場合」があるとしています。「★3セキュリティ要件」の各々の機器に想定される守るべき情報資産の違いを明確にするため、以下に各「★3セキュリティ要件」の表7を一つにまとめた表を以下に記します。
| 守るべき情報資産 | 保護対象となる情報 | 通信 機器 | NW カメラ |
| CSP(Critical Security Parameter) | 曝露又は改ざんによってセキュリティモジュールのセキュリティが侵害される可能性がある、セキュリティ関連の秘密情報 例: 秘密の暗号鍵、パスワードなどの認証値、PIN、証明書のプライベート要素。 | 〇 | 〇 |
| SSP(Sensitive Security Parameter) | CSP(Critical Security Parameter)に以下の要素を加えたもの ・ソフトウェア検証に使用される公開鍵 ・証明書の公開要素 ・機器固有のID | 〇 | 〇 |
| セキュリティ機能に関する設定情報 | 認証情報(ユーザ認証/ホスト認証)、電子証明書、改ざん検出設定、ユーザ権限設定 | 〇 | 〇 |
| 通信機能に関する設定情報 | 設定したIPアドレス情報(IPv4、IPv6)、VLAN設定、DHCPサーバー設定、Wi-FiのSSID | 〇 | |
| 設定したIPアドレス情報(IPv4、IPv6)、HTTPポートの変更設定(HTTP/HTTPS)、SRTP通信設定、 IEEE 802.1Xネットワークアクセスコントロール設定 | 〇 | ||
| 監視設定情報 | 動体検知を行う範囲、映像に対して自動認識・処理を行う際の閾値、検知時のアクション | 〇 | |
| 映像・音声情報 | 映像データ(動画)、画像データ(静止画)、音声データ | 〇 | |
| AIが生成したデータ | 車両の滞留時間、プラント設備の温度 | 〇 | |
| アラート情報 | 異常を知らせる信号、異常の具体的な内容 | 〇 | |
| 制御信号 | カメラの位置調整、明るさの制御 | 〇 | |
| ログ | テレメトリデータ、監査ログ | 〇 | 〇 |
| プログラムコード | ソフトウェア | 〇 | |
| ソフトウェア(AIモデルを含む) | 〇 | ||
| その他 | IoT製品の意図する使用において、IoT製品が収集し、保存又は通信する、個人情報等の一般的に機密性が高い情報 | 〇 | 〇 |
5.本コラムのまとめ
通信機器とNWカメラとの★3セキュリティ要件が公開され、「★1レベル適合基準・評価手法」に比べて、いろいろな部分でブラッシュアップが進んでいるとECSEC Lab.は受け取りました。まだJC-STARは、始まってから約1年しか経っていない制度ですので、今回の「★3セキュリティ要件」の公開の内容は、今後の「★1セキュリティ要件」の更新*、2026年度に作成されるスマートホーム関連機器に対する「★2セキュリティ要件」へ大きな影響を及ぼすものと考えており、★1、★2対象機器ベンダーの皆様にとっても見逃せない内容が盛りだくさんになっていると思われます。IoT機器ベンダーの皆様においては、これらの情報を取り入れた、セキュアな製品の開発に取り組んでいただきたいと思います。
*:本コラムの掲載直前、IPAは「★1 の文書構成の変更に向けた事前告知」を掲載しました。こちらも、ご一読することをお勧めします。
JC-STAR「★1」、通信機器「★3」とネットワークカメラ「★3」ラベル取得に関する評価のご依頼、ご質問、ご相談のお問い合せは、お問い合せフォームに必須事項をご入力の上、ご連絡ください。
HP内で公開していますJC-STAR評価サービスQ&A集もご活用ください。
本コラム公開時、IPAによる暫定措置として、ECSEC Lab.は「JC-STAR暫定評価機関」です。2026年2月6日、製品評価技術基盤機構(NITE)は、「JC-STAR制度」に基づくIoT製品のセキュリティ機能や対策状況の評価を行う評価機関に対する認定プログラムを開始しました 。
HP内で公開していますJC-STAR評価サービスQ&A集もご活用ください。
本コラム公開時、IPAによる暫定措置として、ECSEC Lab.は「JC-STAR暫定評価機関」です。2026年2月6日、製品評価技術基盤機構(NITE)は、「JC-STAR制度」に基づくIoT製品のセキュリティ機能や対策状況の評価を行う評価機関に対する認定プログラムを開始しました 。
ECSEC Lab.は、本認定プログラムによる評価機関認定取得の準備を進めており、認定取得申請の準備が整い次第、認定取得申請を提出予定です。