據日媒《日經新聞》報導，日本於 3 月啟動「物聯網」（Internet of Things，IoT）設備的資安認證標籤制度，初期主要針對智慧家電等產品，訂定應符合的最低安全要求。

通過認證的產品，將可在包裝上標示專屬標籤。今（2025）年 4 月之後，日本政府將制定更高層級的安全標準，以供政府機構和重要基礎設施企業在採購設備時參考。

雖然之前各國先有建立產品驗證機制，但在標章方面，其實台灣早在 2018 年就已正式推動物聯網資安驗證及標章制度了。

降低駭客攻擊風險　 日本「JC-STAR」資安認證標籤上路

隨著數位科技發展，物聯網設備深入社會各個角落。而現在，家用 Wi-Fi 路由器與網路攝影機等 IoT 設備已成為惡意軟體（Malware）的攻擊目標，其攻擊方式也在日益進化。一旦設備遭駭客控制，可能被用來發動針對航空公司或金融機構的大規模網路攻擊，形成社會安全風險。

例如，2016 年爆發的惡意軟體 Mirai，就專攻物聯網設備（如網路攝影機、路由器等），將其納入殭屍網路以發動分散式阻斷服務（DDoS）攻擊。

Mirai 透過掃描使用預設用戶名與密碼的設備進行感染，曾癱瘓美國網域名稱供應商 Dyn，影響 Twitter、Netflix 等網站。其程式碼公開後，引發更多變種，促使網路安全界開始關注物聯網設備的防護問題。

相關報導：罕見大規模DDoS地毯轟炸　網攻日本民間基礎設施　急需主動網路防禦應對

本次名為「JC-STAR」的認證制度由日本經濟產業省所屬的情報處理推進機構（IPA）負責，根據資安標準對 IoT 設備進行審查，並依照標準給予「一星」到「四星」的安全等級，符合標準的產品可在包裝上標示認證標誌。

從家用通訊設備做起　資安認證：非強制、優先推薦

IPA 將自 3 月下旬起，開始受理製造商申請家用通訊設備等產品的「一星」認證，該等級要求設備至少符合最基本的安全標準。根據指引，共有 16 項標準，有任一項不符合就不得申請。

到 4 月以後，日本政府將針對「二星」以上的等級，制定更嚴格的安全要求，並預計在 2026 年開始受理申請。

一、二星認證的有效期限為兩年，到期後可申請延長，每次通過則可展延兩年；三、四星的有效期限也是兩年，但申請展延為每次一年。

雖然這項認證並非強制要求，但日本政府已呼籲行政機關與關鍵基礎設施企業在採購產品時，優先選擇通過認證的設備。IPA 安全中心技術評價部長神田雅透表示，希望能鑑別安全性的該制度可以成為「事實上的產業標準」。

中國製TP-Link家用Wifi路由器　美國市占65%、日本市佔30%

美媒《華爾街日報》（WSJ）曾於 2024 年底報導，美國政府正考慮禁止使用中國企業 TP-Link 生產的家用 Wi-Fi 路由器，原因是其安全漏洞可能遭駭客利用，從而對國家安全構成威脅。

TP-Link 的 Wi-Fi 路由器在美國市占率約 65%，在日本也占了約 30%。儘管該公司在聲明中反駁並強調旗下產品「完全符合業界安全標準」。如果有第三方對 IoT 設備推行安全認證制度，未來消費者也將更容易辨識可信任的產品。

日本國內企業普遍支持此制度。家用 Wi-Fi 路由器大廠 Buffalo 等公司所屬的「數位生活推進協會（DLPA）」總務委員長土田拓表示，期待這項認證能成為在消費者選擇購買哪個產品才安全時的一個指標。

全球IoT設備數年內倍增　各國陸續引進資安認證機制

隨著 5G 高速網路的普及，連網家電、汽車及工業設備的數量正在快速成長。國際調研機構 Statista 預測，全球 IoT 設備數量將從 2023 年的 159 億台，成長至 2033 年的 396 億台，增幅約 2.5 倍。

也有其他國家已經實施了類似制度。例如新加坡 2020 年的資安標籤機制（Cybersecurity Labelling Scheme, CLS，分為 4 級）。

韓國科學技術情報通信部（MSIT）於 2023 年 7 月宣布實施物聯網安全認證機制（정보통신망연결기기 보안인증），要求家電、交通、金融、智慧城市、醫療、製造、居住以及電信等八大領域所使用之物聯網設備，均須符合此安全認證。韓國的物聯網安全認證標籤分為三級：Lite、Basic、Standard。

新加坡亦與德國、芬蘭、韓國簽署備忘錄，使得新加坡 CLS 資安標籤機制與德國的資安標籤制度（IT-Sicherheitskennzeichen，2021 年 12 月啟動）、芬蘭的資安標籤制度（Finnish Cybersecurity Label，2019 年），以及前述韓國的認證標籤可以互通使用。

日本政府也正與新加坡等國的相關機構協商，希望透過「相互承認」機制，讓 JC-STAR 認證的產品能自動獲得其他國家的標章。

另外，鑑於前述 2016 年的 Mirai 殭屍網路，英國在 2024 年通過全球首創的法案，強制要求物聯網設備廠商需遵守安全標準，除了每個產品預先設置的密碼必須是唯一的，或能夠由產品使用者定義以外，還要求：發布漏洞揭露政策，以通報安全漏洞、規定提供安全更新的最短期限、提供安全性更新軟體的機制等等。

美國2025年1月啟動「Cyber Trust Mark」

在資訊科技領域領先的美國則於 2025 年 1 月正式啟動「美國網宇信任標章」（U.S Cyber Trust Mark）制度，可透過此標籤附帶的 QR Code 查閱產品資訊。由 UL Solutions 負責該標籤的核發及管理。

而 UL Solutions 另外已為 IoT 設備建立了安全評級系統，分為 5 個級別：銅級、銀級、金級、白金級、鑽石級。

雖然取得網宇信任標章屬志願性質，但美國政府已鼓勵 Amazon、Best Buy 等大型家電量販店，在店舖架上以及電商網站上優先陳列販售具有該標示的產品。

「Cyber Trust Mark」制度最初由拜登政府於 2023 年提出，獲得兩黨支持，預計在川普政府任內也不會有重大變動。

諮詢服務公司 PwC Consulting（倫敦 PwC 在日本的顧問公司）一名經理指出，也有日本企業已開始著手申請該標章。

因應歐盟法規　芬蘭停止發放標籤

2019 年推出物聯網資安標籤的芬蘭，在去年已宣布不再發行新的標籤，主要是為了因應未來歐盟法規。

根據歐盟的《無線電設備指令》（Radio Equipment Directive, RED）和《網路韌性法案》（Cyber Resilience Act, CRA） ，自 2025 年 8 月 1 日起，在歐盟市場銷售的無線電設備，必須符合歐盟統一的新資安要求。2027 年起根據 CRA 將強制執行資安監管。

芬蘭評估隨著歐盟法規的生效，資安標章的重要性將大幅下降，甚至可能完全消失，因此決定停止發放資安標籤。

歐盟《網路韌性法案》對製造商和零售商引進了強制性的資安要求，涵蓋產品的規劃、設計、開發和維護，並要求這些義務在價值鏈（Value chain）的每個階段都必須遵守。

製造商還需在產品生命週期內提供持續的資安維護服務。對於某些在資安領域具有關鍵性的重要產品，則需在銷售前，經由授權機構進行第三方審查並獲得認證，才能進入歐盟市場。

該法案適用於所有直接或間接連接其他設備或網路的產品，但特定例外情況則不受此規範，例如部分開源軟體或已受現有法規規範的產品（如醫療器材、航空產品和汽車等）。符合 CRA 要求的產品將貼有 CE 標誌，表示其遵守資安標準。

推動物聯網資安標章　台灣走在歐美日前面

另一方面，許多人不知道的是，台灣同樣鑑於資安防護不足的物聯網設備將成為網路攻擊的跳板，嚴重威脅各國政府、企業及民眾的個資、財產，甚至人身安全的觀點下，早於歐美日推行資安認證標章制度。

2017 年行政院認定「資安即國安」，並訂頒「第五期國家資通安全發展方案」（2017 年至 2020 年），經濟部工業局也於 2017 年宣示進入物聯網資安產業標準元年。

接著經濟部與國家資訊傳播委員會（NCC）在行政院資通安全處指導下，在 2018 年 6 月發布物聯網設備資安驗證標章制度，並於同年 12 月正式啟動物聯網資安標章。

分三級　政府、關鍵基礎設施應選用2級以上

台灣的物聯網設備資安標章依照資安風險高低及安全技術實現複雜度，共分為三個等級，1 級為適合一般家庭使用、2 級為適合商業用途使用、3 級為最高防護強度。標章上則以星星數量分級。NCC 指出，政府機關或關鍵基礎設施，至少應選用 2 級產品。

負責機構一：行動應用資安聯盟

自 2021 年起台北市電腦公會受經濟部工業局（2022 年數位發展部成立後由該部數位產業署承接主管機關）及工研院委託擔任「物聯網資安認驗證制度推動暨驗證機構」。

目前由台北市電腦公會擔任聯盟秘書組營運的「行動應用資安聯盟」（MAS）負責執行這項物聯網資安標章的資安認驗證機制及推廣工作。

行動應用資安聯盟於 2016 年 11 月成立，為中華民國資訊安全學會下的任務性組織，以推動行動應用 App 及有線物聯網設備資安認驗證相關產業為宗旨。

在物聯網設備方面的，行動應用資安聯盟陸續公告了 7 類 20 部資安產業標準及測試規範，包含：影像監控系統 4 部、智慧巴士資通訊系統 3 部、智慧路燈系統 2 部、空氣品質微型感測裝置 1 部、消費型網路攝影機 1 部、門禁系統 6 部及感測裝置 3 部。

設備商需將其物聯網設備送往「物聯網認可實驗室」（10 家，負責認證項目各異）依據「資安標準及測試規範」進行檢測作業並通過安全等級所須項目，取得測試報告後，由物聯網認可實驗室代為申請 「物聯網資安合格證書」以及「物聯網資安標章」，再經過行動應用資安聯盟審核通過後，才能取得合格證書及資安標章。

未符合資安標準之合規性可有 2 次補正機會，若仍未通過則需要重新申請及計費。物聯網設備證書效期登載在證書上（多為 3 年），到期後限申請展延一次，展延有效期為一年。

合格之商品可在商品銷售網頁、設備包裝或外殼上標示資安標章。聯盟也在網站上公布了物聯網設備檢測通過名錄，以作為消費者選購時的參考。截至 2025 年 3 月 20 日，共有 72 件設備通過資安檢測，其中 1 級有 66 件、2 級有 6 件，以網路攝影機為大宗。

負責機構二：台灣資通產業標準協會

另外，經濟部於 2015 年支持成立的台灣資通產業標準協會（TAICS）也自 2018 年起陸續推出 11 類 9 部物聯網設備的相關資安規範與測試標準，包含：影像監控系統 4 部、智慧巴士資通訊系統 3 部、智慧路燈系統 2 部、空氣品質微型感測裝置、無線寬頻分享器、消費性物聯網產品、數據機、機上盒；以及 5 類設備（無線網路攝影機、數位機上盒、無線路由器、行動通信增波器、無線 Access Point）的安全檢測技術指引。

台灣資通產業標準協會與行動應用資安聯盟使用相同的物聯網設備資安標章，基本上申請流程相仿。台灣資通產業標準協會的認可實驗室有 7 家，申請者在取得測試報告後，可自行或委託實驗室向協會申請驗證合格證明，通過審核後取得合格證明及標章使用權。

截至 2025 年 3 月 20 日，在台灣資通產業標準協會的合格產品名錄中共有 201 項產品，其中網路攝影機有 123 項。

據《中央社》2019 年 9 月報導中，TAICS 業務推展處副處長黃雅琤的說明，取得 TAICS 資安驗證 1 星的產品，軟、硬體都有一定程度的防護力，不容易被駭入；2 星等級的防護能力，則可供政府重要機關、領域使用，例如國防、總統府。TAICS 國際事務處長顏嘉邦則補充，要非常、非常高階產品，才能通過總共 50 多個項目的 3 星級測試。

資安防護力不足　都被看光光

多年以來頻頻傳出網路攝影機被駭入的事件，有些事件中私人影像被外流，有些攝影機的鏡頭會跟隨人轉動，甚至還發生從攝影機附帶的麥克風傳來陌生他人聲音的案例。也因此，前述兩個單位通過驗證並取得標章的設備皆以網路攝影機為大宗。

根據《中央社》引述 TAICS 及業界的說明，8、9 成以上一般家用網路攝影機都沒有足夠防護力，很多產品是購買中國業者的模組後，換個外殼設計，主打低價搶市，而這類產品頂多就是可設密碼，軟硬體則幾乎沒有資安防護力，如果消費者連預設密碼都沒改，就更容易駭入了。

黃雅琤指出，台灣作為全球網路攝影機的主要出口國之一，但這幾年在中國大陸產品的削價競爭下，使得整個產業環境不佳。

奇偶科技、陞泰科技是全台排名前三大的網路攝影機廠商，業者向《中央社》表示，過去股價榮景，有的曾經還來到每股新台幣 300 元以上。

2019 年的報導中，奇偶科技經理林重光給一般消費者幾點建議，第一、要優先選購有取得全球各種資安驗證標章廠商的產品，資安防護才夠力。第二、如果已經購買目前市售沒資安防護力的產品，務必要更換預設密碼。

雖然標章申請為志願性質，但 TAICS 在網站上提到，通過驗證取得物聯網資安標章的產品，不僅能在國內成為公部門優先採購的安全產品，更有助於廠商出口如美國、歐盟地區等國際市場，讓物聯網資安標章成為品質保障的最佳利器，推動產業在新一波物聯網浪潮下搶得先機。

延伸閱讀：CP值不值？中國製產品監視全世界　駭客入侵、個資外洩⋯問題不斷

參考新聞連結：
2025/03/08　日経　IoT機器のセキュリティー認定制度、3月に運用開始
2024/12/02　IPA　セキュリティラベリング制度（JC-STAR）についての詳細情報
2024/04/29　IoTnews　UK introduces first IoT security laws
2024/09/30　Traficom　The Finnish Transport and Communications Agency Traficom will no longer issue new Cybersecurity Labels
2019/02/09　國家通訊傳播委員會　IoT資安有標章，安心使用有保障
2019/09/18　中央社　網路攝影機不設防 資安漏洞隱私被看光
2019/09/18　中央社　防堵網路攝影機資安漏洞 消費者自保有道
2019/09/18　中央社　迎戰中國削價競爭 台灣安全監控產業資安升級
2023/10/12　網管人　強化聯網產品資安水準　各國推行認驗證標章規範