取得が広がるセキュリティ等級保護認定、変化する中国情報セキュリティ事情とは

目次

1. サイバーセキュリティ法の影響か

6 月 1 日から「サイバーセキュリティ法」が施行されたことを受 け、IT システムに関するセキュリティ等級の認定が進んでいる。つ い先日には、微信(Weixin)等を運営する騰訊(テンセント)のクラウド サービス「騰訊雲」が、金融クラウドプラットフォームで 4 級、パ ブリッククラウドプラットフォーム、カスタマーサービスシステム、 料金計算システム、運用保守管理システムでそれぞれ 3 級の認定を取得したことを発表 したばかりだ。サイバーセキュリティ法の施行後、初の認定取得だという。

通信分野のセキュリティ等級制度は 2000 年ごろから整備が始められ、これに関連し た国家標準規格(GB 規格)も次々と追加、改訂されている。これまで特に重視されること はなかったが、情報セキュリティの強化を目的としたサイバーセキュリティ法の施行を きっかけに、当局が認定取得の徹底を呼び掛けている。

2. 中国の情報システムのセキュリティ等級(等級保護)とは

2007 年 6 月に発表された「情報セキュリティ等級保護管理弁法(信息安全等级保护管 理办法)」では、第 7 条において 5 段階のセキュリティ等級を示している。

1級 情報システムが破壊された場合、 公民、法人、 その他組織の合法的な利益を損 なうが、国家の安全、社会秩序、公共の利益に影響しない。
2級 情報システムが破壊された場合、 公民、法人、 その他組織の合法的な利益を著 しく損う、あるいは社会秩序と公共の利益を損うが、国家の安全に影響しない。
3級 情報システムが破壊された場合、 社会秩序と公共の利益を大きく損なう、あるい は国家の安全に損害をもたらす。
4級 情報システムが破壊された場合、社会秩序と公共の利益を著しく損なう、あるい は国家の安全に大きな損害をもたらす。
5級 情報システムが破壊された場合、国家の安全に著しい損害をもたらす。

この等級分けは 2008 年に発表された国家標準規格「情報セキュリティ技術情報シス テムセキュリティ等級保護基本要求(信息安全技术信息系统安全等级保护基本要求 GB/T22239-2008)」や「情報システムセキュリティ等級保護分類ガイド(信息安全技术信息系统安全等级保护定级指南 GB/T22240-2008)」にも掲載されている。

同ガイドによれば、業務データと情報システムを使ったサービスのセキュリティ等級は、いずれも損害を受ける対象と損害の程度によって次の表のように決まる。判断の優先順位は、まずは国家の安全、次に社会秩序、公共の利益、最後に公民・法人・その他組織の合法的利益となる。

                                                                                                                                     
損害を受ける対象損害の程度
普通の損害大きな損害著しい損害
公民、法人、その他組織の合法的な利益 1級 2級 2級
社会秩序、公共の利益 2級 3級 4級
国家の安全 3級 4級 5級

損害を受ける対象の具体的な例は次の通りとなっている。

公民、法人、 その他組織の合法的利益

  • 法律の保護を受けた公民、法人、 その他組織が享受する社会的な権利と利益

社会秩序

  • 国家機関による社会管理と公共サービス業務の秩序
  • 各種経済活動の秩序
  • 各産業の科学研究、生産の秩序
  • 公衆が法律や道徳のルールの下で正常に生活する秩序
  • その他の社会の秩序

公共の利益

  • 公共施設の利用
  • 公開情報の取得
  • 公共サービスの享受
  • その他公共の利益

国家の安全

  • 政権の安定および国防力
  • 国家の統一、民族の団結、社会の安定
  • 国家の対外活動中の政治的、経済的利益
  • 国家の重要な安全保障作業
  • 国家の経済競争力および科学技術力
  • その他国家の安全に影響する事項

また損害の程度に関する定義は次のようになっている。

普通の損害

機能が一部影響を受け、 業務能力が低下するが、 主要な機能の執行に影響はない。 軽微な法的問題が発生し、財産の損失もあるが、 社会への悪い影響は限られており、 その他組織や個人への損害は少ない。

大きな損害

機能が大きな影響を受け、 業務能力が大幅に低下し、主要な機能の執行にも大きな影響がある。 深刻な法的問題が発生し、 財産の損失も大きく、 社会への悪い影響も比較的広い範囲に及び、 その他組織や個人への損害も大きい。

著しい損害

機能が特に著しい影響を受けるか、あるいは執行能力を喪失し、業務能力が著 しく低下したり、機能が執行できなくなる。 特に深刻な法的問題が発生し、 財産の損失も莫大で、社会への悪い影響も大きな範囲に及び、 その他組織や個人 への損害も非常に大きい。

実際にどの等級に該当するのかは、情報システムの運営者や使用者が「情報セキュリティ等級保護管理弁法」と「情報システムセキュリティ等級保護分類ガイド(信息安全技术信息系统安全等级保护定级指南 GB/T22240-2008)」を参考に決めてよい。2 級以上であれば公安に届出登録を行い、審査で認定されれば、証明書が発行される。

ただし、省を跨ぐか全国統一で運用されるシステムについては、主管部門が等級を決める。4 級以上に該当すると思われるシステムは、運営者か使用者、あるいは主管部門が当局の専門家委員会 に判断を仰ぐとしている(10 条)。  

先の 4 級を取得した「騰訊雲」の金融クラウドプラットフォームは、主に金融サービ スで利用されることから、サイバー攻撃を受けたり災害などで損害を受ければ、4 級に該当する“社会秩序と公共の利益を著しく損なう、あるいは国家の安全を大きく損なう” 可能性があるというわけだ。

なお、ここでいう「情報システム」の定義は、「情報セキュリティ等級保護管理弁法」 の上位法である「コンピューター情報システムセキュリティ保護条例(计算机信息系统 安全保护条例)」で定められており、「コンピューターおよびこれに関連する周辺機器と ネットワークを含む設備で構成されたもので、特定のプログラムに従ってデータの収集、 加工、保存、送信、検索等の処理を行うマン・マシンシステム」となっている(2 条)。同 条例は 1994 年 2 月に施行されたもので、2011 年に条文中の処罰の根拠となる法令の 名称を訂正しているが、その他の内容は 20 年以上変わっていない。

3. 必要なセキュリティ保護とは

「情報セキュリティ等級保護管理弁法」の第 8 条において、情報システムの運営者や使用者に対し、当該システムの等級に応じたセキュリティ保護を行うよう求めている。

具体的には、1 級に該当する情報システムの場合、運営者あるいは利用者自身で管理 規範や技術標準を元にセキュリティ対策を行えばよいが(自主保護レベル)、2 級の場合 は自身でセキュリティ対策を行った上で当局が指導すること(指導保護レベル)、3 級は さらに当局が監督、検査を行うこと(監督保護レベル)、4 級は業務に応じたセキュリティ対策を行い、当局が強制的な監督および検査を行うこと(強制保護レベル)、5 級では さらに強固なセキュリティ対策を行い、国家が指定した専門部門が監督および検査を行 うこと(専門制御保護レベル)、としている。

また、情報システムの稼働中も定期的にセキュリティ等級の見直しと保護対策の実施 状況について検査を行う必要があり、3 級に該当するシステムは少なくとも年に 1 回、 4 級は少なくとも半年に 1 回、5 級ならば別途定められる基準に沿ったタイミングでの 実施が必要となる(14 条)。

さらに 3 級以上の情報システムでは、使用する機器にも次の条件がある(21 条)。

● 製品の研究開発・生産メーカーが、中国公民または中国法人の投資により設立されているか持ち株会社で、中国国内に独立した法人資格を有していること。

● 製品の基幹技術や基幹部品が中国の知的財産権を有していること。

● 製品の研究開発・生産メーカーとその主要事業、技術者に犯罪記録がないこと。

● 製品の研究開発・生産メーカーが、ぜい弱性、バックドア、トロイの木馬等のプ ログラムや機能を故意に放置または設置していないとの声明を出していること。

● 国家の安全、社会秩序、公共の利益に危害を与えないこと。

● 情報セキュリティ製品認証目録に掲載されている製品については、国家情報セキ ュリティ製品認証機構の認証証書を取得していること。

具体的にどのようなセキュリティ設計が必要かについては、「情報セキュリティ技術 情報システム等級保護セキュリティ設計技術要求(信息安全技术信息系统等级安全设计 技术要求 GB/T25070-2010)」が参考になるだろう。

例えば 4 級のシステムでは、ログインひとつとっても「ユーザーがシステムにログイ ンあるいは再接続するたびにパスワード、生体識別データ、デジタル証明書等セキュリティの高いものを 2 つか 2 つ以上組み合わせて認証を行い、このうち 1 つの識別データは代替不可で、かつ識別データの機密性と完全性が保たれていること」となっている。 このほかのシステムやネットワークに関する技術的な要求に加え、セキュリティ管理制度、人員体制、メンテナンスといった管理運用面にも詳細な条件が示されている。

先ほども例を挙げた「騰訊雲」の金融クラ ウドプラットフォームの場合、上述したよう な 4 級で求められるセキュリティ対策が取ら れている。逆に言えば、4 級程度のセキュリティしかないため、ここに 5 級に該当するような重要なデータは保存できないわけだ。実際、 PtoP レンディング(ソーシャル融資)の分野では、今まで 2 級の取得で済ませていたところ、 個人情報や取引情報を扱うことから、金融機関が運営するものを中心にすでに 150 あまり のサービスが 3 級を取得しているという。

このほか、地方独自のセキュリティ保護条例や業界・産業ごとのガイドライン等で、 対応すべきセキュリティ対策や目標とする等級が決められていることがある。例えば水道関連事業者向けに水利部が発表した「ネットワークと情報セキュリティ体系建設基本技術要求」では、都市部の水資源リアルタイム監測システムについて 2 級または 2 級以上、ダムや灌漑などの水利開発プロジェクトに関する情報システムについて 3 級、水道関連事業者の内部ネットワークおよび日常業務に用いるシステムについて 2 級などと 定めている。

4. クラウドにも対応した“セキュリティ等級保護 2.0”

現行の基準ではセキュリティを担保できないクラウド、モバイルインターネット、IoT、 産業用コンピューター(IPC) 、ビッグデータといった分野をカバーするため、公安部などは 2014 年ごろから「情報セキュリティ技術情報システムセキュリティ等級保護基本要求(GB/T22239-2008)」の拡張を検討してきた。

阿里巴巴集団(アリババグループ)のクラウドサービス「阿里雲(Alyun)」は、クラウドサ ービスに関する拡張規格の編集に携わるとともに、2016 年 10 月にクラウドサービス としては初めてセキュリティ等級の認定を受け、阿里雲電子政務クラウドプラットフォ ームはクラウド等級保護 3 級、阿里雲金融クラウドは同 4 級が認められている。

この“セキュリティ等級保護 2.0”と呼ばれる拡張規格は、すでにひな形が出来上が っておりインターネット上で公開されている。

ひな形では、第 2 部分でクラウドサービスに触れている。一部抜粋すると、現行の規定ではセキュリティ対策の責任は情報システムの運営者・使用者が単独で負うことにな っているが、クラウドサービスについてはサーバー提供側とサーバー利用者側のそれぞ れが責任を負う範囲が明確に示されている。

また、等級認定の対象がこれまでは情報システムと関連するインフラネットワークだ けだったのに対し、クラウドプラットフォームとクラウド上で運用するシステムを別々 に等級認定することとされた。プラットフォームの等級が、運用するシステムの等級より低くてはならないことから、システムの移行を検討する場合は先にシステムの等級を確認したのち、同じかそれ以上の等級のプラットフォームを探して移行することになる。

さらにクラウドサービスではセキュリティ保護の対象が増えている。例えばネットワークおよび通信について、現行規定の対象は「ネットワーク設備、セキュリティ設備、 ネットワークトポロジー、総合ネットワーク管理システム」であるが、これに仮想トポ ロジー、仮想ネットワーク、仮想化ベースセキュリティ、VMM、クラウド管理プラット フォームが追加される。

この“セキュリティ等級保護 2.0”は、2016 年 10 月に開かれた全国情報セキュリテ ィ等級保護技術大会において、公安部の担当者が近いうちに正式発表すると発言してい た。間もなく 1 年が経とうとしているが、先日施行されたサイバーセキュリティ法など との調整で発表が遅れている可能性もある。いずれにせよ、当局が認定取得を呼び掛け ており、どのサービスが何級をとったというニュースが数多く流れるようになったこと から、年内にも発表される可能性は高そうだ。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

中国ビジネスをワンストップでご支援しています。クララは20年以上にわたり日本と中国の間のビジネスを牽引している会社で、日中両国の実務経験と中国弁護士資格を有するコンサルタントの視点・知見・ネットワーク・実行力を生かして、お客様の課題解決と企業成長を強力に支援しています。

Webサイトはこちら
>>日本企業の「中国事業支援」で実績20年以上 | クララ

目次