联系方式
全国免费服务热线
13925582920
固话:0769-85075888-6617
手机:13925582920
传真:0769-85075898
邮箱:net02@gtggroup.com
地址:上海市闵行区颛兴路1588号3幢
JC-STAR认证全解读——IoT设备出口日本网络安全合规指南 | 上海广测
2025年3月25日,日本经济产业省(METI)与信息处理推进机构(IPA)联合推出了一项全新的认证体系——JC-STAR(Japan Cyber-Security Technical Assessment Requirements,日本网络安全技术评估要求)。这是日本首次针对物联网(IoT)设备建立系统性的网络安全认证与标签制度,对计划将智能摄像头、工业路由器、智能家居设备或储能系统等产品出口日本的长三角企业而言,JC-STAR正在成为不可忽视的新型市场准入门槛。上海广测检测科技有限公司立足上海、辐射长三角,已针对JC-STAR认证建立了完整的评估与技术支持体系,本文将从标准体系、合规要求到认证路径做全面解析。
一、JC-STAR是什么?
JC-STAR是由日本经济产业省(METI)监督、信息处理推进机构(IPA)具体执行的物联网设备网络安全符合性评估与标签制度。其核心法律依据是日本的《信息处理促进法》,旨在为政府机构、企业和消费者提供可信赖的物联网产品安全认证依据。
【核心定义】JC-STAR是一项针对"可通过IP协议连接互联网或间接联网的IoT设备"的网络安全认证,通过评估后授予1-4星级安全标签,标签含二维码可链接至IPA产品信息页面。
【推出时间】2025年3月25日正式发布,STAR-1于2025年5月启动申请。
【监管架构】METI监督 → IPA执行发证 → 评估机构(第三方或自评)实施评估。
JC-STAR的推出标志着日本物联网安全监管从"无标准可依"进入"分级认证"时代。对厂商而言,获得JC-STAR标签不仅是产品安全能力的官方背书,更是进入日本政府公共采购、关键基础设施(电力、水务、交通)项目以及高端零售渠道的关键凭证。
二、四级认证标签体系详解
JC-STAR采用1至4星级的分级标签制度,从基础的自我声明到严格的第三方全项检测,四个等级对应不同的安全深度和适用场景:
|
等级 |
标签 |
评估方式 |
安全深度 |
适用场景 |
当前状态 |
|
STAR-1 |
★☆☆☆ |
自我声明/委托外部 |
基础级:16项合规要求 |
一般消费级IoT |
已开放(2025.5) |
|
STAR-2 |
★★☆☆ |
自我声明 |
中等级:增加额外要求 |
中端IoT产品 |
标准制定中 |
|
STAR-3 |
★★★☆ |
第三方实验室测试 |
高级:全面安全测试 |
基础设施/政府采购 |
标准制定中 |
|
STAR-4 |
★★★★ |
第三方实验室测试 |
最高级:最严苛评估 |
最高安全场景 |
标准制定中 |
【关键提示】STAR-1是目前唯一已开放申请的等级,也是企业进入日本IoT市场的"第一张门票"。STAR-2至STAR-4标准仍在制定中,但STAR-3和STAR-4已明确将要求第三方实验室测试,门槛显著高于自我声明。建议企业先从STAR-1入手,为后续升级提前布局。
三、STAR-1 16项合规要求——逐项拆解
IPA于2025年5月发布了63页的《STAR-1合规评估指南》,明确了4大类共16项合规要求。所有16项评估结果中不得出现"不合规(N)",方可申请标签。以下按类别梳理核心要求:
(一)身份认证与访问控制(4项)
- S1.1-01:对受保护信息资产的IP通信访问实施基于适当认证的访问控制
- S1.1-02:默认密码须每台设备唯一且不少于6位,或首次启动强制修改为不少于8位
- S1.1-03:网络用户认证凭证(密码/指纹等)须支持用户修改,并向用户提供修改流程
- S1.1-04:非受限设备须具备防暴力破解机制(如失败次数限制、多因素认证)
(二)漏洞与更新管理(5项)
- S1.1-05:公开漏洞披露政策,含报告联系方式、处理流程和状态更新流程
- S1.1-06:软件须可更新、可验证最新版本、更新版本断电后保留
- S1.1-07:向用户提供简单易懂的软件更新流程说明(自动更新、手动更新等)
- S1.1-08:网络更新前须验证软件完整性(哈希校验/数字签名,采用CRYPTREC推荐算法)
- S1.1-09:制定安全更新优先级政策,明确漏洞严重度判定、响应组织架构和协作机制
(三)数据安全(4项)
- S1.1-11:受保护信息须安全存储(加密、签名或存储在安全区域)
- S1.1-12:网络传输的受保护信息须防窃听(加密传输或仅在受保护环境传输)
- S1.1-15:用户可删除使用过程中产生的个人数据和配置信息
- S1.1-16:向用户提供安全相关信息(使用说明、更新通知、支持终止政策、数据删除方法)
(四)接口与系统安全(3项)
- S1.1-10:向用户提供产品型号查询方式(机身标注或通过GUI/关联应用查询)
- S1.1-13:禁用非必要且有攻击风险的接口(TCP/UDP端口、蓝牙等),进行漏洞扫描
- S1.1-14:断电/断网恢复后,认证值与已更新软件不得恢复出厂设置
需要特别指出的是,STAR-1的评估结果分为三种:"合规(Y)""不合规(N)""不适用(NA)"。若某项要求因产品特性确实不适用,可标注"NA"并提供详细理由和替代方案说明,但这需要严谨的技术论证。16项要求中只要出现一个"N",申请即被驳回。
四、哪些产品需要关注JC-STAR?
JC-STAR的适用范围遵循"四条件"判定原则,需同时满足以下所有条件的产品才纳入认证范围:
- 产品包含实体设备:标签授予对象为设备本身(不含纯软件或纯服务)
- 具备IP协议通信能力:可通过IP协议收发数据
- 可直接或间接连接互联网:即使通过VPN、防火墙等逻辑隔离,仍可能被纳入
- 难以自行添加新安全措施:除漏洞修复更新外,用户难以自主安装新安全功能(这是PC、智能手机被排除的关键原因)
|
产品类别 |
典型产品 |
是否在JC-STAR范围内 |
|
智能家居 |
智能摄像头、智能门锁、智能音箱、智能网关 |
是 |
|
工业物联网 |
工业路由器、工业传感器、PLC控制器、边缘网关 |
是 |
|
储能与能源 |
储能系统控制器、智能电表、EMS能源管理系统 |
是 |
|
车载与交通 |
车载通信模块(TCU)、充电桩通信单元 |
是 |
|
消费电子 |
PC、智能手机、平板电脑 |
否(默认排除) |
|
传统家电 |
非联网电饭煲、非联网空调 |
否(不满足联网条件) |
五、JC-STAR与国际标准的互认关系
JC-STAR在设计之初就充分借鉴了国际主流物联网安全标准体系,并与部分标准建立了明确的互认机制。这一特点对于已取得其他国际认证的企业极为有利:
|
对比维度 |
JC-STAR(日本) |
ETSI EN 303 645(欧盟) |
UK PSTI(英国) |
|
法律性质 |
自愿性(采购事实强制) |
自愿性基线标准 |
强制性法规 |
|
监管机构 |
METI / IPA |
ETSI |
DSIT |
|
认证机制 |
分级标签(1~4星) |
无统一标签 |
自我声明 |
|
核心要求 |
16项(STAR-1) |
13项核心条款 |
3项基本原则 |
|
互认关系 |
— |
涵盖ETSI核心要求 |
MRA简化程序 |
【重大利好:日英互认协议(MRA)】2025年11月5日,日本METI与英国DSIT正式签署网络安全测试认证互认协议。已通过UK PSTI认证并完成在线自我声明的产品,申请JC-STAR STAR-1时走简化程序,视为已满足技术合规要求。反之,已获JC-STAR STAR-1标签的产品视为符合UK PSTI要求。这意味着已认证英国市场的产品可"一证两用"快速打开日本市场。
六、认证流程与时间规划
第1步·产品范围确认:依据"四条件"判定产品是否在JC-STAR适用范围内,确认目标等级(建议从STAR-1起步)。
第2步·差距分析:对照16项合规要求逐项评估现产品状态,识别不合规项和需整改项(可利用已有ETSI/PSTI合规成果加速)。
第3步·技术整改:修复密码策略、补全漏洞披露政策、强化软件更新机制、禁用非必要接口等。
第4步·合规评估:可选择自行评估或委托JC-STAR认可的外部评估机构,填写合规评估清单,准备证据材料。
第5步·提交申请:向IPA提交合规评估清单(16项均无"N"),等待审核。审核通过后获得STAR-1标签。
第6步·持证维护:标签有效期2年,期间持续提供安全支持、响应漏洞、配合IPA核查,到期前申请续期。
七、长三角企业如何高效应对?
1. 尽早启动,抢占窗口期
STAR-1于2025年5月已开放申请,目前属于市场早期,率先获证的企业将在日本政府采购和B2B招标中建立先发优势。STAR-2至STAR-4标准仍在制定中,趋势明确——要求只会越来越严。
2. 善用已有认证成果
若产品已取得UK PSTI或已参照ETSI EN 303 645完成安全设计,STAR-1的大部分合规准备已就绪。特别是持有PSTI认证的产品,可借助日英MRA直接走简化申请程序,时间和成本均可大幅降低。
3. 借力专业检测机构
JC-STAR虽允许STAR-1自我声明,但16项合规要求的逐项判定、证据准备、IPA审核应对都需要专业经验。建议与具备日本认证经验及IoT安全测试能力的第三方实验室合作,确保一次性通过评估。
4. 关注与日本电波法的协同
带无线通信功能的IoT产品出口日本,通常需要同时满足日本电波法(Radio Law)认证(射频/EMC合规)和JC-STAR认证(网络安全合规)。上海广测作为GTG广测集团成员,在无线射频与网络安全双领域均建有完备的检测能力,可为长三角企业提供从电波法到JC-STAR的一站式合规解决方案。
5. 建立长期安全运维机制
JC-STAR不仅仅是"拿证",标签有效期内厂商须持续提供安全支持,包括漏洞响应、软件更新、安全公告等。企业需要建立涵盖产品全生命周期的安全运维体系(PSIRT),这对传统硬件厂商是一个新的能力挑战。
JC-STAR认证 · 上海广测一站式服务
GTG广测集团 · 上海广测检测科技有限公司
立足上海,服务长三角 | 具备IoT网络安全完整测试能力
产品范围判定 → 差距分析 → 技术整改指导 → 合规评估 → IPA申请支持 全流程服务
八、常见问题(FAQ)
Q1:JC-STAR认证是强制性的吗?
JC-STAR目前为自愿性认证标签计划。但日本政府机关、电力、水务等关键基础设施领域的采购已开始将其作为供应商筛选依据,不具备JC-STAR标签的产品可能在实际招投标中被排除。建议出口日本IoT市场的企业主动申请,将其转化为市场差异化优势。
Q2:JC-STAR和日本电波法(Radio Law)认证有什么区别?
两者是不同维度的认证,不可相互替代。日本电波法(Radio Law)管控无线设备的射频性能和电磁兼容性,属于无线通信合规;JC-STAR管控设备的网络安全能力,属于信息安全合规。带无线功能的IoT产品出口日本通常两者都需满足。
Q3:我已有UK PSTI或ETSI EN 303 645认证,还需要做JC-STAR吗?
如果产品已通过UK PSTI认证,根据2025年11月日英签署的互认协议(MRA),申请STAR-1时可走简化程序,视为已满足技术要求。如果产品已满足ETSI EN 303 645要求,STAR-1的核心要求已基本涵盖,合规准备已完成大部分,但需额外关注日本本土化差异(如CRYPTREC推荐算法等)。
Q4:JC-STAR STAR-1认证的有效期是多久?到期后怎么办?
STAR-1标签有效期为2年。有效期内厂商需持续提供安全支持。若提前终止支持,标签有效期缩短至支持终止日。到期前需重新进行合规评估并申请延续。标签过期后不得继续在产品上使用JC-STAR标识。
Q5:JC-STAR认证的周期和费用大概是多少?
STAR-1采用自我声明方式,周期相对较短:产品安全差距分析与整改(2-4周)→ 合规清单准备与证据整理(1-2周)→ IPA申请审核(约2-4周)。STAR-3和STAR-4需第三方实验室测试,周期更长。费用因产品复杂度、目标等级和是否需要外部评估机构支持而差异较大。建议联系专业检测机构进行产品评估后获取精准报价方案。