日本政府がIoT機器セキュリティ認証「JC-STAR」を2027年から義務化、中国製太陽光・蓄電池が事実上排除へ

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「中国製のソーラーパネルや蓄電池が使えなくなるって本当?うちの会社は大丈夫?」
「JC-STARって聞いたことあるけど、自治体だけの話じゃないの?」

チップス

ボスっ、日本政府がIoT機器のセキュリティ認証を義務化するって聞きましたでしゅ。うちの会社にも関係あるんでしゅか?

ボス

大いに関係がある。太陽光発電・蓄電池・自治体のIT機器と対象は広い。中国製品は現時点でJC-STAR認証取得数がゼロだ。調達先の見直しを迫られる企業は少なくない。

自治体へのサイバー攻撃が相次ぎ、個人情報の流出や住民サービスの停止が繰り返されています。
それを受け日本政府は、IoT機器のセキュリティ認証「JC-STAR」を段階的に義務化する方針を固めました。
この記事では、制度の概要と企業・自治体が対応すべき内容を解説します。

  • 2027年度から太陽光発電・蓄電池のJC-STAR取得が系統連系の必須要件になる
  • 2027年夏から自治体のIT機器はJC-STAR/ISMAP認定品のみ調達可能になる
  • 中国製品の現在のJC-STAR認証取得数はゼロで、事実上の市場排除となっている

調達先の選定から設備更新の計画まで、早めに動くほど対応コストが下がります。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

日本のIoTセキュリティ認証「JC-STAR」とは何か

JC-STARは、経済産業省が2025年に開始したIoT製品向けのサイバーセキュリティ認証制度です。

制度の背景と仕組み

ネットワークに接続するIoT機器は、通信の脆弱性を突かれてサイバー攻撃の踏み台にされるリスクがあります。
自治体でも個人情報の漏洩やサービス停止被害が相次いだことが、制度化の直接の引き金になりました。
JC-STARの主な特徴は以下の通りです。

  • 対象:ネットワーク接続機能を持つIoT製品全般(太陽光発電・蓄電池・PCなどを含む)
  • 評価基準:ソフトウェア更新対応、強固な認証機能、通信の暗号化など
  • 認証機関:経済産業省が所管、取得は製品メーカーが申請

自治体向けのIT機器はこれに加え、内閣サイバーセキュリティセンターが管理する「ISMAP」の認定も条件になります。
どちらも中国製品は現時点で認証を取得できておらず、事実上の参入障壁となっています。

チップス

認証を取得できていない製品はもう使えなくなるんでしゅか? 今持っているやつはどうなるんでしゅ?

ボス

既存の機器はすぐに使えなくなるわけではない。更新タイミングで認定品に切り替える形だ。ただし新規調達は義務化の時期から認定品のみになる。準備は早めに始める必要がある。

義務化のスケジュール

制度の適用は段階的に進む予定で、対象によって時期が異なります。
自社や自治体がどのフェーズに当たるかを把握することが、対応計画の第一歩です。
主な適用スケジュールは以下の通りです。

時期対象内容
2027年4月〜太陽光発電・蓄電池(高圧連系設備)JC-STAR★1取得のPCS等が系統連系の必須要件に
2027年10月〜太陽光発電・蓄電池(低圧・50kW未満)同上、家庭用・小規模設備まで拡大
2027年夏〜自治体のPC・通信機器・サーバー等JC-STAR/ISMAP認定品のみ調達可能に

2027年は複数のフェーズが重なる節目の年です。
対応が必要な機器の棚卸しと、代替製品の選定を今から進めることが現実的な対策になります。

中国製品の事実上排除と企業が取るべき対応

JC-STAR・ISMAPはいずれも中国製品の認証取得実績がゼロで、市場への参入が実質的に閉じられています。

サプライチェーン全体を見直す必要がある理由

この政策の本質は「特定国の排除」ではなく、サイバーリスクのある機器を重要インフラから排除することです。
ただし結果として、中国製の太陽光パネル・蓄電池・IT機器の多くが対象外になります。
企業に影響が及ぶ具体的なシナリオは以下の通りです。

  • 工場・物流センターの太陽光発電設備が2027年度以降の系統連系要件を満たせない
  • 自治体向けシステムを納品する企業が、使用機器の認証取得状況を証明する必要が生じる
  • 複数拠点の設備を一斉更新する場合、調達先の変更に伴うコスト増加が生じる
チップス

うちの会社、屋根に太陽光パネルついてるんでしゅけど、それも対象になるんでしゅか?

ボス

系統連系しているなら対象になる可能性がある。2027年4月が高圧設備の起点だ。まず設備の仕様とメーカーを確認し、JC-STAR取得の有無を問い合わせるところから始めるといい。

今から動ける3つの対応策

義務化まで1年以上ある今が、最も余裕を持って動けるタイミングです。
場当たり的な対応を避けるため、組織として計画的に進めることが重要です。
優先度の高い対応策を以下にまとめます。

  • IoT機器・太陽光設備の棚卸しを実施し、JC-STAR認証取得の有無をメーカーに確認する
  • 2027年の更新サイクルに合わせた調達計画を策定し、代替製品の候補を選定する
  • 自治体向けサービスを提供している場合は、契約先自治体のIT調達要件の変更を確認する

経済産業省のJC-STAR公式ページには認証取得済み製品一覧が公開されており、調達先選定の参考になります。
総務省も自治体向けに専用相談窓口を設置しており、自治体と取引のある民間企業も活用できます。

まとめ:サイバーセキュリティを調達基準の中心に置く時代へ

日本政府のJC-STAR義務化は、IoT機器のサイバーリスクを調達の段階から排除する方向への大きな転換です。
中国製品が事実上の排除状態となる一方、国内外の認証取得済みメーカーへの需要が集中します。
企業は「使っている機器が認証を取得しているか」を今すぐ確認し、2027年の義務化に向けた調達計画を立て直すことが求められます。

チップス

セキュリティって買う前から考えなきゃいけないんでしゅね。調達担当に伝えてみましゅ!

ボス

それが正しい考え方だ。「安いから」という理由だけで機器を選ぶ時代は終わりつつある。セキュリティを調達基準の中心に据えることが、組織を守る最初の一手だな。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次