「JC-STAR」とは？～★1取得の進め方と通信の役割をざっくり解説

1NCEマーケティング担当
萩野豪太

2025年9月25日掲載
2025年10月8日更新

スマート家電、防犯カメラ、産業用センサーなど、IoT製品は私たちの生活やビジネスに欠かせない存在になっています。総務省発行の『情報通信白書令和7年版』によると、世界のIoT機器数は2027年に583億台に達すると予測されています。

その一方で、IoT製品の脆弱性を狙ったサイバー攻撃は年々増加。ルータやカメラが乗っ取られ、大規模なDDoS攻撃に利用された事例もあり、「セキュリティが確保された製品であるかどうか」が調達や購入の重要な基準となってきました。

こうした中で、経済産業省とIPA（情報処理推進機構）が2025年から本格運用を開始したのがセキュリティラベリング制度「JC-STAR」です。

本記事では、JC-STARの概要とIoTデバイスメーカーにとってのメリットを整理したうえで、現在申請が開始されている★1（レベル1）の取得プロセスと要件を解説します。
※★2~4は2026年1月以降に申請受付を開始予定

さらに、デバイスメーカーが★1を満たす製品を企画される際、IoT SIM (セルラーLPWAサービス)の機能をどのように活用できるかについても紹介します。

👉 この記事を読むことで、以下のポイントをざっくり理解できる内容になっています。

JC-STAR制度が目指す方向性
★1取得プロセスと要件
IoTデバイスメーカーにとっての取得メリット
★1取得にむけたセルラーLPWAの活用例

1. JC-STAR制度とは？

前述の課題に対応するため、経済産業省とIPA（独立行政法人情報処理推進機構）が立ち上げたのが、セキュリティラベリング制度、 JC-STAR（Japan Cyber-Security Technical Assessment Requirements）制度です。

制度の特徴

IoT製品のセキュリティ水準を「見える化」する認証制度
適合度に応じて★1〜★4のラベルを付与
★2以上は製品カテゴリーごとに適合基準が定められ、★1はカテゴリー共通の適合基準として位置づけ

ラベルは製品やパッケージにQRコードとして表示され、購入者はアップデート状況・サポート期間・脆弱性対応などを一目で確認できるようになります。

なお現在申請受付が開始されているのは★1のみとなっていますが、★2以上を取得予定の場合でも★1の先行取得が推奨されています。

2. ★1（レベル1）申請プロセスとコスト

流れとしては大まかに以下となっています。

①評価

16項目の適合基準それぞれについて評価ガイドに基づき以下いずれか(一部両方)の評価を実施および証跡を残すことが求められています。なお、各項目における具体的な評価方法については、IPA Webサイトに掲載の資料P12以降(PDF)をご参照ください。

評価手法	必要となる証跡
ドキュメント評価	評価に用いた技術文書や社内文書・規程等の名称、ウェブサイト、文書番号等の情報、及び根拠が記載された該当箇所がわかる情報（名称、文書番号、ページ番号、章番号、URL 等）
実機テスト	実機テストの検証結果が確認できる情報・文書等の名称（写真、動画、スクリーンショット、ログ（システム出力）等）、及び評価結果の概要

適合基準において1つでも満たせない項目があると申請不可となるため、注意が必要です。

② 必要書類の準備

★1取得に必要となる資料は以下の通りです。
各資料はIPAのサイトからダウンロード可能です。

適合ラベル取得申請確認書 (様式2-1)
JC-STAR適合ラベル申請書
チェックリスト
（代行申請の場合）委任状（様式2-3）
（法人番号を利用しない場合）法人格を証明できる書類

※IPA公式サイトから引用

評価結果の証跡(エビデンス)については申請時の提出は不要ですが、保管が義務付けられており、IPAからのリクエストがあった場合に提出が必要となります。

④ IPAによる確認・受理

メールでの提出後、2週間程度で受理される見込みです。

なお★1は“デバイスメーカー自身による自己適合宣言”とされていますが、一方で必ずしも受理されるわけではないとの注釈も付記されているため、⑥のラベル交付まで“適合予定”などの表現をしないよう注意が必要です。

⑤ 申請手数料の支払い

受理されたのち、手数料の支払いが必要となります。

なお★1の申請手数料（税込）は以下の通りとなっており、2025年9月末までに申請することで4割超のディスカウントを受けることができます。

2025年9月30日までの申請受領分：110,000円
それ以降：198,000円

補足）適合ラベルの期限と延長申請について

JC-STAR適合ラベルの有効期限は適合ラベル発行日から最大2年間とされており、期限を延長させたい場合は延長申請を行う必要があります。(★1の延長は2年単位で延長でき、延長回数の上限は定められていません)
延長申請の費用及び手続は新規申請時と同様とされています。

3. IoTデバイスメーカーにとってのメリット

JC-STAR取得によって、IoTデバイスメーカーには次のようなメリットがあります。

・調達市場での競争力向上
政府機関や地方自治体、重要インフラ事業者の調達要件に組み込まれていく予定です。

・海外展開の後押し
英国PSTI法やシンガポールCLSなど、海外の制度と相互承認が検討されており、輸出時の評価コストを削減が期待されます。（英国、シンガポールに加え、EU、米国とも交渉中である旨IPAのWebサイトに記載あり）

・消費者からの信頼獲得
セキュリティがラベルで明示されることで、消費者にも「安心して使える製品」として選ばれやすくなります。
もっとも、JC-STARの取得には多くのセキュリティ要件を満たす必要があり、メーカーにとっては技術的にも運用的にも負担となる部分があります。特に、通信の安全性確保、アップデート配信、脆弱性対応、サポート期間管理などは、製品の設計だけでなく運用基盤まで含めた仕組み作りが欠かせません。

4. ★1の適合基準（サマリ版）

IPAによって開示されている資料は多岐にわたり、基準も詳細に定められています。

本記事ではざっくりと概要を掴んでいただくため「セキュリティ要件適合評価及びラベリング制度（JC-STAR）★1チェックリスト(2025.05.05版) 」を中心とした末尾に記載の参考文献1-3を、生成AIを活用して下表にサマライズしました。

※評価手法は以下の通り表現を省略しています。

ドキュメント評価：資料
実機テスト：実機

★1適合基準番号	カテゴリ	適合基準サマリ	要件充足不要となる条件	評価手法
S1.1-01	認証・認可	製品にアクセスするときは正しいユーザーだけが入れる仕組みが必要。技術基準適合認定(技適)取得済みであれば適合扱い。	ユーザーの認証・アクセス制御が不要な場合（理由を証跡に記載）	資料
S1.1-02	認証・認可	デフォルトパスワードは禁止。機器ごとに固有のものにするか、初回起動時に必ず変更させる必要あり。	パスワード認証を使わない場合	資料
S1.1-03	認証・認可	パスワードやトークンなどの認証情報は、ユーザー／管理者が変更可能であること	認証不要、または閉域網専用の場合（証跡必須）	資料
S1.1-04	認証・認可	総当たり攻撃（何度もログインを試す攻撃）を防ぐ仕組みの実装が必須。当該機能は原則デフォルトで有効化が必要。	認証が不要、または処理能力が極めて限られた機器の場合	実機
S1.1-05	ソフト更新	脆弱性を報告できる窓口を設け、開示ポリシーを公開する。契約者限定品は個別開示でも可。	該当なし	資料
S1.1-06	ソフト更新	ファームウェア(FW)を更新でき、最新版かどうか確認できるようにすること。複数FWやオープンソースソフトウェア(OSS)も対象。	該当なし	実機
S1.1-07	ソフト更新	更新手順はユーザーや保守担当が分かりやすいようにすること。	該当なし	資料
S1.1-08	ソフト更新	ネット経由で更新する場合は、暗号技術(例：電子署名やハッシュ値)でソフトウェアの改ざんや破損がないか(完全性)を検証すること。CRC(巡回冗長検査)は HTTPSも併用すれば可。	ネット経由で更新しない場合	資料
S1.1-09	ソフト更新	セキュリティ更新を速やかに行うための方針を文書化すること。	該当なし	資料
S1.1-10	ソフト更新	製品型番を本体や画面（GUIやアプリ）で確認できるようにすること。	該当なし	実機
S1.1-11	機密情報保存	パスワードや鍵などの機密情報は暗号化または保護領域に保存する。NASやSDカードは暗号化が推奨。	該当なし	資料
S1.1-12	通信の安全	守るべき情報（通信設定・セキュリティ設定・個人情報など）は暗号化して通信すること。	守るべき情報資産を通信しない場合	資料
S1.1-13	攻撃面最小化	不要なポートやUSBなどは無効化し、脆弱性検査を実施すること。	該当なし	両方
S1.1-14	レジリエンス	電源やネットワークが切れても、認証情報や更新状態を保持すること。	該当なし	実機
S1.1-15	データ削除	ユーザーが容易に個人情報・設定・鍵を消去可能とすること。	ユーザーデータを扱わない製品の場合	両方
S1.1-16	情報提供	安全な設定・利用・廃棄方法、更新内容、サポート期限等をユーザーに周知すること。	該当なし	資料

※生成AIによる要約をベースとしているため、正確な情報や詳細はチェックリストをご参照ください。

補足）“守るべき情報資産”の定義

通信設定・セキュリティ設定・個人情報などが対象とされています。詳細は以下の2資料をご参照ください。

『JC-STAR ★1 評価ガイド』（令和7年5月版）P10
『JC-STAR ★1 評価補足ガイダンス』（令和7年5月22日版）P4

5. ★1取得に向けたセルラーLPWAサービス活用イメージ

上記の表をご覧いただくとわかる通り、多くの要件はハードウェアやソフトウェア（非通信の領域）で設計・実装が必要となる技術要件です。

一方で★1取得要件の中には「通信の確保」が前提となる項目や、セキュアな接続が評価を補強できる項目も存在します。そこで弊社が取り扱うIoT SIM「1NCE (ワンス)」を例に、どの項目でどのように活用できるか紹介します。

(1) ソフトウェアアップデートの安定実行

要件概要：「ソフトウェアを最新の状態に保つこと（S1.1-06～09）」が必須。（アップデート方法は手動・自動の制約なし）
1NCEの活用例：無線でソフトウェアアップデートを実現するOTA(Over-The Air)機能自体は製品側に実装されることが前提ですが、1NCE IoT SIMをはじめとするセルラーLPWAを利用することでユーザー操作やWi-Fi環境に依存せず、遠隔でアップデートを行うことができます。

(2) セキュアな通信経路の確保

要件概要：「セキュアに通信すること（S1.1-12）」が要件です。
1NCEの活用例：
- 1NCEではオープンソースのVPNソリューションであるOpenVPNに標準対応（無償）しているため、インターネット接続時にVPN接続（インターネットVPN）を実現できます。
- さらに高いセキュリティが必要な場合、1NCEはサービス基盤がAWSベースのため、モバイル網→1NCE基盤（AWS）→VPCピアリング→貴社基盤（AWS）といった接続も(有償ですが)実装可能です。
- AWSが基盤ではない場合、IP-SEC接続（有償）も実装可能です。

補足）1NCE（ワンス）とは？

ドイツに本社を置く1NCE社が提供する法人専用のセルラーLPWA(IoT SIM)サービスです。主な特長は以下の通りです。

月額料金は不要で、10年一括2,000円＋SIMカード代(200円～400円)で利用可能
データ容量10年合計500MBが基本料に含まれており、追加チャージも可能
日本を含む173カ国・地域で同一価格
オープンソースのVPNソリューション「OpenVPN」が標準で利用可能（無償）
アジア太平洋地域（APAC）19カ国・地域においてソフトバンクが独占販売パートナー

詳細はソフトバンクの1NCEのページもしくは下記の資料をご覧ください。

資料：セルラーLPWAユースケースと「1NCE(ワンス)」サービス概要

セルラーLPWAの具体的なユースケースと、IoT SIM「1NCE(ワンス)」のサービス概要を掲載しています。

資料ダウンロード

6. まとめ

JC-STAR制度は、IoT製品の「安全性を見える化」する経産省・IPA主導のスキームです。

大半の項目はデバイス・運用側で実装・対応が必要となる項目ですが、前項の通り通信関連の項目も含まれています。JC-STARの取得を前提としてIoTデバイスの企画・開発を行う際は、これらの条件を費用面・運用面で満たしやすい通信手段・サービスを選定することがTCO削減の観点から非常に重要となります。

また、サービスの海外展開を予定している場合、JC-STARは諸外国の制度と相互承認が検討されており、海外でも同じように使える通信手段を企画段階で選定することで、グローバル展開のハードルを更に下げることが可能になります。

1NCEに限らず、IoT製品のセルラー接続について不明点や提案依頼があれば、お気軽にお問い合わせください。

免責事項

本記事は2025年8月28日時点の情報で記載しております。
正確な情報の記載に努めてはいますが、実際と異なる可能性がございます。誤りがあった際に弊社は一切の責任を負うことはできませんのでご留意ください。JC-STAR制度の詳細・最新情報は出典に記載の各社サイトをご確認ください。
本記事に記載されている会社・団体名および製品名は、各社の商標、登録商標もしくは商号です。