日本におけるセキュリティ要件適合評価及びラベリング制度（JC-STAR）の開始と、セキュリティ機能を支えるNXP製品 (日本語ブログ)

satoshikamiya · ‎06-30-2025

＜JC-STAR＞

JC-STAR制度発足の背景と目的

近年、IoT製品の普及に伴い、サイバー攻撃のリスクが増大しています。一方で製品のセキュリティ対策が不十分な場合、ユーザーや社会全体に重大な影響を及ぼす可能性があります。JC-STAR制度は、IoT製品全般（IPアドレスを持ち、直接的・間接的にインターネットにつながる、もしくはその可能性があるもの）を対象とし、セキュリティレベルを明確に示すことで、消費者や調達者が安心して製品を選択できる環境を整えることを目指しています。

⇒EUのサイバーレジリエンス法(CRA)とは異なり、法的な拘束力や罰金はありません。しかしながら、今後、消費者・調達者の安心材料の目安になり、調達要件として指定される可能性も考えられます。

適合基準と評価方法について

JC-STAR制度では、製品のセキュリティレベルに応じて★1から★4までの4段階の適合基準が設定されています。[表１]

表１．★１～★４の適合基準

ラベリング	開始時期	評価方法	範囲
★１	2025年3月～	自己適合宣言	アプリケーションによらず共通して求められる最低限のセキュリティ要件を定める
★２	2026年以降	自己適合宣言	製品類型ごとにセキュリティ要件を定める (ネットワークカメラ、通信機器（ルータ等）などから検討)
★３、４	2026年以降	第三者認証	政府機関等や重要インフラ事業者、地方自治体、大企業の重要なシステムでの利用を想定

適合ラベルの付与

適合基準を満たした製品には、レベル：★の数(1～4個)や、二次元バーコード付きの適合ラベルが付与されます。このラベルにより、セキュリティ対策の取組を調達者・購入者にアピールすることができるようになります。また二次元バーコードを通じて製品の詳細情報やセキュリティ情報を確認することが可能です。

今後の期待

JC-STAR制度は、日本国内のIoT製品のセキュリティ向上に寄与すると期待されています。また、国際的なセキュリティ規格との調和も図られており、グローバルな視点での信頼性確保にもつながると考えられます。 JC-STAR制度は、IoT製品のセキュリティ評価と可視化を通じて、安全で信頼性の高いIoT社会の実現を目指しています。

＜NXP製品＞

JC-STAR制度や様々なセキュリティ規制・規格においては、パスワードやウェブサービスに接続するための識別情報といった秘密情報はセキュアに保存することが要求されます。しかし通常のフラッシュメモリなどにそのまま保存すると不正なメモリの読み出しなどで漏洩する恐れがあります。暗号化すればフラッシュメモリなどにセキュアに保存することが出来ますが、暗号化に使用した暗号鍵は別途セキュアに保管する必要があります。それでは暗号鍵や識別情報といった秘密情報はどのように保管するのが良いでしょうか？

内蔵されたセキュリティユニット

NXPのアプリケーションプロセッサのi.MX 9シリーズ、例えばi.MX 93のようなアプリケーションプロセッサではEdgeLock secure enclaveと呼ばれるセキュリティ専用ユニットが内蔵されており、ユーザーの代わりに秘密鍵を安全に保護して保管してくれます。このセキュリティユニットは自律的に動作するように設計されており、メインCPUで実行されるソフトウェアから秘密鍵にアクセスすることはできません。物理的に分離したセキュリティ専用ユニットであるため、ARMのTrustZoneテクノロジーのような仮想セキュア環境も必要ありません(注)。 Linux ではEdgeLock secure enclaveのサービスにアクセスするためのライブラリが用意されているほか、OpenSSLなどから使用することも出来ます。

(注: TrustZoneのセキュアなアプリケーションからEdgeLock secure enclaveのサービスを利用することも可能です。)

それ以外にもi.MX 93はセキュアブートもサポートしておりシステムの完全性を検証するために役立ちます。

厳格な開発プロセス

セキュリティの法規制や制度では、製品のセキュリティ機能の他に開発プロセスの対応も要求されるようになってきています。i.MX 93のセキュリティユニットはNXPの厳格なセキュリティ開発プロセスに沿って開発され、第三者専門機関によりIoT製品のセキュリティ評価基準である SESIP のレベル3の認証を取得しています。

(SESIP: Security Evaluation Standard for IoT Platforms)

このような認証は、OEMがこれらのICを組み込んだ製品の規制・標準への適合を示すのに役立てることが出来ます。

まとめ

このように、最新のセキュリティ機能を備え、かつセキュリティ認証も取得したアプリケーションプロセッサを使用することでOEMはJC STAR制度や予定されている欧州サイバーレジリエンス法 (CRA) のような各種法規制・制度に適合した製品を開発しやすくなります。また、NXPではセキュリティ機能を備えたマイコン・プロセッサ以外にもセキュアエレメント・オーセンティケータを提供し、それに関連するクラウドサービスも展開しています。

様々なセキュリティの規制・制度に対応したセキュリティ上安全な製品を開発することは簡単ではありません。その開発を容易にするためにNXPのセキュリティ製品・ポートフォリオを活用頂ければ幸いです。

=========================

本投稿の「Comment」欄にコメントをいただいても、現在返信に対応しておりません。

お手数をおかけしますが、お問い合わせの際には、NXP代理店、もしくはNXPまでお問い合わせください。