お立ち寄りいただきありがとうございます。でめさん(@deme19800124)です。
普段の物欲とか、旅行とかそんな話とは全然違うのですが、外資系で働いているネタもたまーに書いているので、今回は、日本国が進めるIoT製品のセキュリティに関する新制度「JC-STAR制度」について、その概要とともに、深刻な問題点を掘り下げてみたいと思います。
普段の物欲とか、旅行とかそんな話とは全然違うのですが、外資系で働いているネタもたまーに書いているので、今回は、IoT製品のセキュリティに関する新制度「JC-STAR制度」について、「マジかよ、日本大丈夫?しこたま面倒なんですけど!ガラパゴス!ガラパゴス!」と感じるので、掘り下げてみたいと思います。
ガラパゴスセキュリティマークがついているからといって、本当に安心してよいのか?また、無駄な仕事を作る役人の所業と罪とは?個人的な想いとして、位な問題定義、お伝えしたいと思います。(僕の素性を知っている人があくまでも個人の意見です。)
JC-STAR制度とは(ざっくり説明)
JC-STAR(ジェイシースター)制度は、IoT機器のセキュリティ対策がどのくらいちゃんとしてるかを”見える化”しようという、日本独自の認証制度です。情報提供は2024年からスタートしていて、運営はIPA(情報処理推進機構)です。2025年3月よりついに制度がスタートしました。どんだけの人が知ってるんでしょうね。
あーでもない、こーでもないを役人と有識者で話して、パブコメも含めてまとめた結果ですね。パブコメなんてどんだけの人が知ってんのよって話。僕は知ってたけど。
製品には★1〜★4のラベルがついて、★が多いほど対策がしっかりしているという仕組み。★1・2はメーカーの自己宣言でOK、★3・4になると第三者機関の審査が必要になります。
対象はざっくりいうとIPアドレスを持っている機器すべて!です。
無理無理。だから自己宣言なんだけどね。
そして、別にとらなくてもいい、このラベルあればいいんじゃない?位な感じ、でも金はとります。一製品らいナップあたり20万くらい。初期割引は大体半額です。
ということで、さわりはIPAなり、NECさんあたりなりの企業ブログとかで見れるので適当に見て頂いて、会社名も明かしていない外資系一人日本人社員(もうだいぶ人増えてるけど。)の立場から問題点を4個ほど伝えたいと思います。
問題1:自己適合宣言のザルさがヤバい
まず一番気になるのが、★1と★2の“自己適合宣言”という方式。
簡単に言うと「うちの製品、ちゃんと対策してますよ!」とメーカー自身が言えば、それで通っちゃう仕組みです。
形式的な確認はIPAがやるみたいですが、内容そのものが本当に正しいか、技術的に妥当かといった部分には、あまり踏み込んでいません。
つまり「申告さえすれば認証が取れてしまう」状況になりかねないわけで、これじゃ本末転倒です。消費者から見れば、どこまで信用していいのかわからないし、むしろ疑心暗鬼になるレベルです。
まじめにやったら馬鹿を見る可能性が出るザル制度なんです。
問題2:ガラパゴス規格で世界から孤立?
JC-STARは、あくまで“日本国内の制度”です。海外にはシンガポールのCybersecurity Labelling SchemeやアメリカのU.S. Cyber Trust Markといった似た制度がありますが、現時点で相互互換性はありません。
つまり、日本の認証を取っても海外では通用しないし、逆もまたしかり。海外メーカーが日本市場に入ってくる場合も、JC-STARラベルがないと「なんか怪しい製品?」と見られてしまうかもしれません。ていうか調達要件に入ってくるかもしれませんし、まぁ、とにかく中途半端。
必須でもなくて、なんとなくあるといいよなんです。欧州のサイバーレジリエンス法(CRA)のように強制力もない、デモ政府の調達には必須化する予定。公式文書が、「しらんけど。」をやってきてる感じなんですよね。
このままだと、日本市場だけが孤立していく“ガラパゴス化”が進んでしまいます。制度を作るなら、最初から国際的な連携や整合性を視野に入れておくべきでした。書いてるけど、どうせやんないし、当面できる気しないし。だった、この記事書いている2025年5月14日時点でまだCRAのハーモナイズだって出てないんだよ?ほんと勘弁願いたい。
外資メーカーでそこそこ長くやってるとあるあるのガラパゴスですね、ドンマイです。
問題3:天下り万歳!IPAが儲かる、第三者評価機関の利権になる未来
★3・★4は第三者機関による評価が必要ですが、ここに新たな利権が生まれる可能性があるのでは?と感じています。
というのも、その第三者機関はIPAが選定・認定します。つまり、「認定されたところ」にしか審査を頼めない=市場が固定化されやすい構造になります。
しかも、審査費用は当然かかるわけで、独占状態になれば価格が釣り上がるリスクも。
「ラベル取りたいなら、うちを通さないと無理ですよ」みたいな状況ができてしまえば、それはもう“関所ビジネス”。JC-STARが健全な制度ではなく、天下り先確保の温床にならないか心配です。というか絶対になる。経済産業省とIPAの役人ウマウマ( ゚∀゚)o彡ですね。
もうちょっというと、こうした「制度をつくって運用も自分たちで回す」やり方、実は日本の各業界で繰り返されてきた悪習です。見た目は“公的な信頼マーク”ですが、その実、利権や既得権を温存する仕組みになってしまっている例は数知れず。
これが結果的に何を生むかといえば、国際規格とは乖離した独自仕様、つまり“ガラパゴス規格”の温床です。世界から見て互換性がなく、メンテコストだけが嵩み、しかも中身は信用しづらい──こんな制度があちこちにある国で、技術革新が進むはずがありません。
今回のJC-STAR制度も、単にセキュリティを高めるという大義名分のもとで、またひとつガラパゴス化した“自己満足の枠組み”を増やしてしまったのでは?そんな疑念が拭えません。
「どうせ政府の機関が決めたことでしょ?」と冷めた目で見られ、民間のフットワークが削がれていく。そんな構造が、この国の“技術的競争力の低下”や“国際的孤立”の一因になってきたのではないかと思わずにはいられません。
問題4:更新と継続の面倒さ
JC-STARラベルには有効期限(最大2年)があるのですが、更新や再評価のルールがまだ不透明です。
たとえば、製品が途中でアップデートされたら、その都度ラベルの内容も見直さないと意味がなくなります。でも、現時点ではそのあたりの運用がかなり曖昧。
製品はどんどん進化しているのに、ラベルが“最初の評価のまま放置”では、制度の意味がなくなってしまいます。せっかくラベル制度を作るなら、継続的に信頼できる運用体制が求められますよね。
それまた、日本で必須でもないんですよ。ほんとにやるの?やり続けるの?
死屍累々が目に見えてる。
すっごい金がかかるんよ?役人はそこわかってて、やり続けるんだろうなということを強く突き詰めたいです。
外資系IT企業で働くJC-STARに対する疑問を伝えたいまとめ
といことで、JC-STAR制度にはいくつもの根本的な疑問点があります。
- 自己申告方式って、それ信用できるの?→正直者がばかをみる
- 日本独自ルールで、世界から孤立しない?→どうせする
- 第三者評価って、実は利権の温床じゃない?→企業の利益が減る、働く者の手取りが減る
- IPAって、こういうことをやるのに適してるの?→全製品なんかできるわけない
- 運用、ちゃんと続けられるの?→必須じゃないからすたれそう
って感じです。
JC-SATR制度なぜ、日本でやるのかは理解しますが、課題が多すぎます。「認証マークがあるから安心」ではなく、「この認証の裏にある仕組みは本当に信頼できるのか?」と一歩踏み込んで考える必要があると思います。
IoT時代の製品選び、ますます慎重になっていきそうですね。
日本が成長しない、やった振りをする、そしてまじめにやればやるほど疲弊するというとんでもない制度とすら感じるJC-SATR制度。
政府さん、やるなら、ちゃんとやれよ?僕はやるから。
とはいえ、もうちょっと効率的にどうにかできないもんなんかいな?と思ったよ!というお話でした。
*よろしければこちらもお立ち寄りください。*
コメント