IoTセキュリティの新常識 JC-STAR制度でマルウェア攻撃に対抗

当ブログの一部のリンクはアフィリエイトリンクです。これらのリンクから商品を購入された場合、当サイトは一定の報酬を得ることがあります。

IoT機器を狙ったサイバー攻撃が深刻化する中、経済産業省が推進するIoTセキュリティ適合性評価制度「JC-STAR」が本格運用を開始しました。5月27日に開催されたプレスセミナーでは、制度の意義と現状、そして参加企業の取り組みが紹介されました。

10年続くIoTマルウェアとの戦い

横浜国立大学の吉岡克成教授は、IoTセキュリティ問題の推移について詳しく解説しました。「IoT機器へのサイバー攻撃は、もう十年くらい前から始まっています」と吉岡教授は語ります。

▲横浜国立大学 大学院環境情報研究院 教授 吉岡克成氏

2014~15年頃から本格化したIoT攻撃は、主にTelnetプロトコルの脆弱性を狙ったものでした。当時、多くのIoT機器で「12345」といった推測しやすいパスワードが設定されており、攻撃者にとって格好の標的となっていたとのことです。

そして、2016年に登場した「ミライマルウェア」は、IoT分野におけるパンデミックを引き起こしたと吉岡教授は語ります。吉岡教授の観測網では、一か月で100万IPアドレス以上からの攻撃を記録し、感染機器は監視カメラから様々な家電製品まで500種類に及んだとのことです。

攻撃の進化と深刻化

近年の攻撃はさらに高度化しています。初期のミライは電源を切れば駆除できましたが、現在では「電源を切っても消えないIoTマルウェア」が登場しています。さらに深刻なのは、攻撃のビジネス化です。

「攻撃で遊びでやっているのではなく、対価を受け取って攻撃しています」と吉岡教授は警告します。Telegramなどを通じて攻撃サービスが売買され、会員制で攻撃時間に応じた料金体系まで構築されている実態が明らかになりました。

JC-STAR制度:予防的対策の切り札

経済産業省サイバーセキュリティ課の武尾伸隆課長は、JC-STAR制度の概要を説明しました。「脆弱な機器が世の中に提供され続けていては、いつになっても終わりません」として、予防的対策の重要性を強調しました。

▲経済産業省 商務情報政策局 サイバーセキュリティ課 課長 武尾伸隆氏

「JC-STAR」とは「セキュリティ要件適合評価及びラベリング制度(Labeling Scheme based on Japa n Cyber-Security Technical Assessment Requirements)」のことです。「JC-STAR」は、「ETSI EN 3 03 645」や「NISTIR 8425」等の国内外の規格とも調和しつつ、独自に定める適合基準(セキュリティー技術要件)に基づき、IoT製品に対する適合基準への適合性を確認‧可視化する日本の適合性評価制度です。

「JC-STAR」は、経済産業省の示す制度構築方針に従い、同省の監督のもと、IPA(独立行政法人 情報処理推進機構)が制度を構築‧運営するスキームです。

制度の特徴は以下の通りです:

  • 4段階のセキュリティレベル評価:ユーザーの重要度に応じた製品選択が可能
  • 統一的な最低限基準(★1):3月から運用開始、自己適合宣言による申請
  • 対象製品:ルーター、ネットワークカメラ、スマート家電、産業用制御機器など

現在、十数社から約500製品弱がラベルを取得しています。政府調達ガイドラインでは、今後ラベル付与製品からの調達を推進する方針が示されています。

国際連携も進展

JC-STAR制度は国際的な動向とも歩調を合わせています。シンガポール、英国では既に類似制度が開始され、米国、EUでも準備が進んでいます。各国制度の相互承認に向けた議論も政治レベルで合意されています。

バッファローの本格参入:79製品でラベル取得

株式会社バッファローの富山強氏は、同社の取り組みを詳細に紹介しました。

▲バッファロー執行役員 富山強氏

同社は21シリーズ79型番でJC-STAR:★1を取得しています。法人向け20シリーズ76型番、コンシューマー向け1シリーズ3型番という内訳です。

▲製品に付与されるJC-STARのQRコードを読み取ると、認証情報などを確認できます

技術的対応のポイント

バッファローが実装した主要なセキュリティ仕様:

  1. 認証面強化:初期パスワード設定ウィザード、製品固有パスワードのプリセット
  2. ファームウェア自動更新:ユーザーが意識せずに最新版に更新
  3. 暗号化対応:内部通信プロトコルと設定パラメーターの暗号化
  4. 情報開示:脆弱性対応ポリシーとサポート終了案内の公開
  5. 自動回復機能:停電復旧時の通信自動回復

特に注目すべきは、同社が通信機器適合基準検討ワーキンググループに参加し、制度策定に積極的に関わっている点です。

販売網を活用した普及戦略

バッファローは約4400社の販売パートナーと1万2千名以上のユーザーを持つ強力な販売網を活用する計画です。「我々が単独でできることよりも、より広く、かつより早く皆様に知っていただけます」と富山氏は語ります。

今後の展望と課題

制度の今後について、各登壇者は前向きな見通しを示しました。

技術的進展

  • ★2以上の基準:ネットワークカメラと通信機器を先行し、年度内に制度開始予定
  • 対象分野拡大:スマートホーム分野などでの業界団体との連携議論
  • 国際協調:諸外国との制度調和による企業負担軽減

普及に向けた取り組み

政府機関、地方自治体、重要インフラ事業者を主要ターゲットとし、政府調達ガイドラインへの組み込みが進んでいます。一般消費者向けには、警察庁との連携やNHK番組での紹介など、幅広い啓発活動を展開しています。

残る課題

質疑応答では、総務省の技適制度との関係性や、中古製品市場での対応、コンシューマー製品への展開時期などについて活発な議論が交わされました。制度の詳細運用や、企業の対応コスト、国際制度との整合性など、解決すべき課題も残されています。

▲JC-STARの基準の一部は技適と被っているものがあります

IoTセキュリティを巡る状況は「サイバーデブリ」(弱い機器がインターネット上にゴミのように蓄積される状況)の解消が急務となっています。JC-STAR制度がこの課題解決の切り札となるか、今後の展開が注目されます。

関連:
【セミナー開催レポート】セキュリティ要件適合評価及びラベリング制度「JC-STAR」に関するプレスセミナーを実施 | 株式会社バッファローのプレスリリース

※本記事は、PLAUDの文字起こしをベースにClaudeで記事化したものを基に作成しました。

山本 竜也

ガジェットなど好きなことをブログやWEBメディアなどに書いて生きています。ライター仕事は常に募集中

Dream Seedをフォローする
News
スポンサーリンク
シェアする
Dream Seedをフォローする
山本 竜也
スポンサーリンク
タイトルとURLをコピーしました