JC-STAR认证详解:日本物联网产品网络安全合规要求与认证路径
一、背景与由来
2025年3月25日,日本经济产业省(METI)与信息处理推进机构(IPA)联合推出了一项全新的认证体系——JC-STAR(Japan Cyber STAR,日本网络安全技术评估要求)。这是全球首个面向全品类物联网(IoT)产品的网络安全符合性评估与标签制度。
该体系的政策基础可追溯至2024年8月METI发布的《IoT产品安全符合性评估方案政策》。长期以来,物联网产品安全领域存在一个痛点:产品厂商难以向采购方和消费者有效展示其安全能力,而采购方和消费者也难以判断产品的安全措施是否充分。JC-STAR的设立,正是为了解决这一信息不对称问题。
JC-STAR全称:Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements

二、JC-STAR体系概述
JC-STAR是由IPA负责具体执行的自愿性认证标签计划,适用于可通过IP协议直接或间接连接互联网的物联网设备。通过评估后,产品将获得带有二维码的符合性标签,采购方和消费者可通过扫码获取产品详细信息、安全评估结果、漏洞更新信息及联系方式等数据。
该体系在制定过程中与国际标准进行了协调,主要参考了:
- ETSI EN 303 645(欧洲电信标准协会物联网安全基线标准)
- NISTIR 8425(美国国家标准与技术研究院物联网网络安全指南)
三、认证等级体系
JC-STAR共设四个安全等级,从低到高分别为STAR-1至STAR-4,不同等级在评估方式、适用场景上存在显著差异。
等级对照表
| 等级 | 安全要求范围 | 评估方式 | 适用场景 | 标签有效期 |
|---|---|---|---|---|
| STAR-1 | 通用基线安全要求 | 厂商自我声明 | 消费级IoT产品 | 2年 |
| STAR-2 | 基线要求 + 品类专项要求 | 厂商自我声明 | 特定品类IoT产品 | 待定 |
| STAR-3 | 基线 + 品类专项 + 通用增强要求 | 第三方评估 | 政府/关键基础设施 | 待定 |
| STAR-4 | 最高等级安全要求 | 第三方评估 | 关键系统/大型企业 | 待定 |
等级架构图
要点说明:
- STAR-1和STAR-2采用自我声明模式,实施门槛相对较低,但IPA保留事后抽查和撤销标签的权力;
- STAR-3和STAR-4须由独立第三方评估机构出具技术报告,IPA据此审核发证,可靠性更高。
四、适用产品范围
JC-STAR覆盖的产品范围较广,凡是具备IP通信能力的物联网设备均可能适用,典型品类包括:
- 智能家居设备:智能摄像头、智能门锁、智能音箱、智能照明等
- 网络设备:工业路由器、网关、交换机等
- 储能与能源设备:家用储能系统、光伏逆变器等
- 办公与通信设备:网络打印机、IP电话、视频会议终端等
- 其他间接联网设备:通过网关或中继间接接入互联网的IoT终端

五、技术标准依据
JC-STAR的符合性要求(Conformance Requirements)以自有标准为基础,同时与国际主流标准保持协调:
| 标准/文件 | 来源 | 作用 |
|---|---|---|
| ETSI EN 303 645 | 欧洲电信标准协会 | IoT产品安全基线参考 |
| NISTIR 8425 | 美国NIST | IoT网络安全能力指南 |
| IoT产品安全符合性评估方案政策 | 日本METI(2024年8月) | JC-STAR制度基础 |
| STAR-1评估指南与检查清单 | 日本IPA(2025年5月更新) | 具体评估执行依据 |
STAR-1的评估主要依据IPA发布的《STAR-1 Assessment Guide》和《STAR-1 Assessment Checklist》,覆盖默认密码策略、漏洞报告机制、软件更新能力、数据保护措施等通用安全基线要求。
六、认证流程
STAR-1/STAR-2(自我声明路径)
STAR-3/STAR-4(第三方评估路径)

七、标签与标识要求
JC-STAR符合性标签的核心要素是内置的二维码。消费者或采购方扫码后,可进入IPA维护的产品信息页面,获取以下内容:
- 产品供应商基本信息
- 产品型号与规格信息
- 标签等级(STAR-1至STAR-4)及有效期
- 安全信息(产品安全更新、已知漏洞公告等)
- 联系方式
注意事项:
- STAR-1标签有效期为2年,到期后须重新申请;
- 标签的存在不代表产品"绝对安全",仅表示产品符合对应等级的安全基线要求;
- IPA在发现产品不符合要求时,有权撤销已授予的标签。
八、国际互认进展
JC-STAR在制度设计阶段就考虑了国际互认机制,目前已取得以下进展:
| 互认对象 | 生效时间 | 互认内容 |
|---|---|---|
| 英国PSTI制度 | 2025年11月(MRA签署) 2026年4月(申请文件发布) |
PSTI合规产品申请JC-STAR Level 1可走简化程序;JC-STAR Level 1产品视为满足PSTI要求 |
| 新加坡CLS制度 | 2026年6月1日 | 新加坡网络安全标签制度与JC-STAR互认 |
这一互认机制的意义在于:产品获得JC-STAR标签后,可在互认国家/地区获得等效认可,降低多市场准入的重复评估成本。
九、常见问题(FAQ)
Q1:JC-STAR是强制性的吗?
JC-STAR目前为自愿性认证制度,非市场准入强制要求。但政府机构和大型企业的采购评估中可能将认证作为参考因素,同时日本储能领域补贴政策对认证提出了关联要求,因此在市场准入层面具有一定参考意义。
Q2:STAR-1和STAR-2的自我声明是否可靠?
自我声明模式下,IPA建立了事后监管机制:当对产品符合性产生疑问时,IPA可启动检查和监督程序。若发现问题,IPA有权撤销标签。此外,产品信息通过二维码公开可查,形成市场透明监督。
Q3:什么样的产品属于"间接联网设备"?
指自身不具备直接IP通信能力,但通过网关、中继器或集线器等中间设备间接接入互联网的IoT产品。例如:使用Zigbee协议通过网关联网的智能传感器、通过蓝牙网关接入的穿戴设备等。
Q4:STAR-2、STAR-3、STAR-4的标准何时发布?
STAR-2及以上等级的符合性标准目前正在制定中。IPA于2025年5月更新了STAR-1评估指南,后续等级的评估文档将陆续发布。
Q5:证书到期后如何处理?
STAR-1标签有效期为2年。到期前,产品厂商须重新提交符合性声明,证明产品仍满足当前版本的评估要求,方可延续标签。
十、结语
JC-STAR作为全球首个全品类物联网安全认证制度,代表了日本在IoT产品安全治理领域的前瞻性布局。其分层设计——基线自声明与高阶第三方评估并行,兼顾了不同层级产品的安全需求与市场可操作性,同时通过国际互认机制降低了跨国合规成本。
对于面向日本市场的IoT产品厂商而言,提前关注STAR-1的评估清单、将安全基线要求融入产品设计阶段,是顺应制度趋势的务实路径。
数据来源声明: 本文依据日本经济产业省(METI)公开政策文件、IPA官方JC-STAR制度文档及ETSI/NIST公开标准资料整理。相关标准与制度如有更新,以官方发布的最新版本为准。
更多推荐

所有评论(0)