一、背景与由来

2025年3月25日,日本经济产业省(METI)与信息处理推进机构(IPA)联合推出了一项全新的认证体系——JC-STAR(Japan Cyber STAR,日本网络安全技术评估要求)。这是全球首个面向全品类物联网(IoT)产品的网络安全符合性评估与标签制度。

该体系的政策基础可追溯至2024年8月METI发布的《IoT产品安全符合性评估方案政策》。长期以来,物联网产品安全领域存在一个痛点:产品厂商难以向采购方和消费者有效展示其安全能力,而采购方和消费者也难以判断产品的安全措施是否充分。JC-STAR的设立,正是为了解决这一信息不对称问题。

JC-STAR全称:Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements

在这里插入图片描述


二、JC-STAR体系概述

JC-STAR是由IPA负责具体执行的自愿性认证标签计划,适用于可通过IP协议直接或间接连接互联网的物联网设备。通过评估后,产品将获得带有二维码的符合性标签,采购方和消费者可通过扫码获取产品详细信息、安全评估结果、漏洞更新信息及联系方式等数据。

该体系在制定过程中与国际标准进行了协调,主要参考了:

  • ETSI EN 303 645(欧洲电信标准协会物联网安全基线标准)
  • NISTIR 8425(美国国家标准与技术研究院物联网网络安全指南)

三、认证等级体系

JC-STAR共设四个安全等级,从低到高分别为STAR-1至STAR-4,不同等级在评估方式、适用场景上存在显著差异。

等级对照表

等级 安全要求范围 评估方式 适用场景 标签有效期
STAR-1 通用基线安全要求 厂商自我声明 消费级IoT产品 2年
STAR-2 基线要求 + 品类专项要求 厂商自我声明 特定品类IoT产品 待定
STAR-3 基线 + 品类专项 + 通用增强要求 第三方评估 政府/关键基础设施 待定
STAR-4 最高等级安全要求 第三方评估 关键系统/大型企业 待定

等级架构图

JC-STAR 认证体系

自我声明路径

第三方评估路径

STAR-1
基线安全要求
所有IoT产品通用

STAR-2
基线 + 品类专项
按产品类别设定

STAR-3
第三方评估
政府/关键设施适用

STAR-4
最高安全等级
关键系统适用

厂商自评 → 提交IPA → 授予标签

第三方评估机构出具报告 → IPA审核 → 授予标签

要点说明:

  • STAR-1和STAR-2采用自我声明模式,实施门槛相对较低,但IPA保留事后抽查和撤销标签的权力;
  • STAR-3和STAR-4须由独立第三方评估机构出具技术报告,IPA据此审核发证,可靠性更高。

四、适用产品范围

JC-STAR覆盖的产品范围较广,凡是具备IP通信能力的物联网设备均可能适用,典型品类包括:

  • 智能家居设备:智能摄像头、智能门锁、智能音箱、智能照明等
  • 网络设备:工业路由器、网关、交换机等
  • 储能与能源设备:家用储能系统、光伏逆变器等
  • 办公与通信设备:网络打印机、IP电话、视频会议终端等
  • 其他间接联网设备:通过网关或中继间接接入互联网的IoT终端

在这里插入图片描述


五、技术标准依据

JC-STAR的符合性要求(Conformance Requirements)以自有标准为基础,同时与国际主流标准保持协调:

标准/文件 来源 作用
ETSI EN 303 645 欧洲电信标准协会 IoT产品安全基线参考
NISTIR 8425 美国NIST IoT网络安全能力指南
IoT产品安全符合性评估方案政策 日本METI(2024年8月) JC-STAR制度基础
STAR-1评估指南与检查清单 日本IPA(2025年5月更新) 具体评估执行依据

STAR-1的评估主要依据IPA发布的《STAR-1 Assessment Guide》和《STAR-1 Assessment Checklist》,覆盖默认密码策略、漏洞报告机制、软件更新能力、数据保护措施等通用安全基线要求。


六、认证流程

STAR-1/STAR-2(自我声明路径)

确认产品
适用性

依据IPA评估指南
进行自我评估

填写评估清单
准备申请材料

向IPA提交
符合性声明

IPA形式审查

审查
通过?

获得JC-STAR标签
产品列入公开清单

补充/修正材料

持续维护
(IPA保留抽查权)

STAR-3/STAR-4(第三方评估路径)

确认产品类别
与适用等级

选择第三方
评估机构

评估机构进行
技术测试与评估

出具评估
技术报告

向IPA提交
报告及申请

IPA审核

审核
通过?

获得JC-STAR标签

补充评估/修正

在这里插入图片描述


七、标签与标识要求

JC-STAR符合性标签的核心要素是内置的二维码。消费者或采购方扫码后,可进入IPA维护的产品信息页面,获取以下内容:

  1. 产品供应商基本信息
  2. 产品型号与规格信息
  3. 标签等级(STAR-1至STAR-4)及有效期
  4. 安全信息(产品安全更新、已知漏洞公告等)
  5. 联系方式

注意事项:

  • STAR-1标签有效期为2年,到期后须重新申请;
  • 标签的存在不代表产品"绝对安全",仅表示产品符合对应等级的安全基线要求;
  • IPA在发现产品不符合要求时,有权撤销已授予的标签

八、国际互认进展

JC-STAR在制度设计阶段就考虑了国际互认机制,目前已取得以下进展:

互认对象 生效时间 互认内容
英国PSTI制度 2025年11月(MRA签署)
2026年4月(申请文件发布)
PSTI合规产品申请JC-STAR Level 1可走简化程序;JC-STAR Level 1产品视为满足PSTI要求
新加坡CLS制度 2026年6月1日 新加坡网络安全标签制度与JC-STAR互认

这一互认机制的意义在于:产品获得JC-STAR标签后,可在互认国家/地区获得等效认可,降低多市场准入的重复评估成本。


九、常见问题(FAQ)

Q1:JC-STAR是强制性的吗?

JC-STAR目前为自愿性认证制度,非市场准入强制要求。但政府机构和大型企业的采购评估中可能将认证作为参考因素,同时日本储能领域补贴政策对认证提出了关联要求,因此在市场准入层面具有一定参考意义。

Q2:STAR-1和STAR-2的自我声明是否可靠?

自我声明模式下,IPA建立了事后监管机制:当对产品符合性产生疑问时,IPA可启动检查和监督程序。若发现问题,IPA有权撤销标签。此外,产品信息通过二维码公开可查,形成市场透明监督。

Q3:什么样的产品属于"间接联网设备"?

指自身不具备直接IP通信能力,但通过网关、中继器或集线器等中间设备间接接入互联网的IoT产品。例如:使用Zigbee协议通过网关联网的智能传感器、通过蓝牙网关接入的穿戴设备等。

Q4:STAR-2、STAR-3、STAR-4的标准何时发布?

STAR-2及以上等级的符合性标准目前正在制定中。IPA于2025年5月更新了STAR-1评估指南,后续等级的评估文档将陆续发布。

Q5:证书到期后如何处理?

STAR-1标签有效期为2年。到期前,产品厂商须重新提交符合性声明,证明产品仍满足当前版本的评估要求,方可延续标签。


十、结语

JC-STAR作为全球首个全品类物联网安全认证制度,代表了日本在IoT产品安全治理领域的前瞻性布局。其分层设计——基线自声明与高阶第三方评估并行,兼顾了不同层级产品的安全需求与市场可操作性,同时通过国际互认机制降低了跨国合规成本。

对于面向日本市场的IoT产品厂商而言,提前关注STAR-1的评估清单、将安全基线要求融入产品设计阶段,是顺应制度趋势的务实路径。


数据来源声明: 本文依据日本经济产业省(METI)公开政策文件、IPA官方JC-STAR制度文档及ETSI/NIST公开标准资料整理。相关标准与制度如有更新,以官方发布的最新版本为准。


更多推荐