1. 導入:なぜ今、このルールを確認すべきなのか
ITインフラのセキュリティを担保する上で、製品の「認証」は調達や導入の際の重要な判断基準です。現在、事務機等のセキュリティ認証制度である「BMSec」が、IPAが運営する「JC-STAR(セキュリティ要件適合評価及びラベリング制度)」へ統合される過渡期にあります。この移行期間中、既存の認証製品をどのように扱い、いつまでにJC-STARへ切り替えるべきかを把握していないと、調達計画に支障をきたしたり、セキュリティ要件を満たさない製品を運用し続けるリスクが生じます。本記事では、この移行ルールを正確に理解し、実務でトラブルを避けるためのポイントを解説します。
2. 基礎知識:JC-STARとBMSecの統合について
まず、JC-STARとは「セキュリティ要件適合評価及びラベリング制度」の略称で、製品のセキュリティレベルを可視化する新しい枠組みです。これまでJBMIAが運営していた「BMSec(事務機セキュリティプログラム)」は、このJC-STARへ段階的に統合されることとなりました。ここで重要なのが「経過措置」です。IPAの規定では、一定の条件を満たせば、旧制度であるBMSecの適合モデルを、JC-STARの「★1(レベル1)」と同等とみなす取り扱いが定められています。
3. 実装/解決策:移行期間における製品の取り扱いフロー
製品のライフサイクル管理において、以下の「2つの区分」を明確に分けて管理する必要があります。
・2025年3月25日以前にBMSec適合済みのモデル:
受付開始日から2年間は、JC-STARの★1と同等として扱われます。
・移行期間中(~2026年3月末)にBMSecに適合したモデル:
登録日から2年間(ただし最長2027年9月末まで)は、JC-STARの★1と同等とみなされます。
実務上のアクションとしては、現在導入している、または導入予定の製品が「いつBMSec適合を受けたか」を管理台帳で確認し、上記期限を過ぎる前にJC-STAR認証への切り替えやリプレースを計画してください。
4. サンプルプログラム:適合期限管理の自動化スクリプト
製品の適合期限をExcel等で管理している場合、以下のPythonスクリプトを用いて期限切れを自動検知する仕組みを構築することをお勧めします。
import datetime
適合製品のリストと登録日を管理するデータ構造
product_list = [
{“name”: “複合機A”, “reg_date”: “2025-02-01”},
{“name”: “複合機B”, “reg_date”: “2025-06-01”},
]
def check_expiry(products):
today = datetime.date.today()
for item in products:
reg_date = datetime.datetime.strptime(item[“reg_date”], “%Y-%m-%d”).date()
# 簡易的な2年間の有効期限判定ロジック
expiry_date = reg_date.replace(year=reg_date.year + 2)
if today > expiry_date:
print(f”警告: {item[‘name’]} は認証期限が切れています。対応が必要です。”)
else:
print(f”確認: {item[‘name’]} は {expiry_date} まで有効です。”)
実行
check_expiry(product_list)
5. 応用・注意点:現場でのバグやミスを回避するために
現場で最も陥りやすいミスは、「最長期限」の誤解です。BMSecから移行した製品は、2年間という期間に加え、「最長2027年9月末」という絶対的な期限が存在します。どれだけ新しい製品でも、移行期間終了後に適合したものは上記期限を過ぎればJC-STARの★1としては扱われなくなります。
注意点:
・調達仕様書に「JC-STAR対応」あるいは「同等以上の認証」を明記する際は、移行期間であることを考慮し、ベンダーに対して「制度移行後の対応方針」を必ず確認してください。
・期限管理は、製品の「導入日」ではなく、認証の「登録日」を基準に行うのが鉄則です。
・2026年4月以降はBMSecでの新規適合ができなくなるため、次期購入計画はJC-STARを前提に設計するようにしてください。
コメント