Upgrade to Pro — share decks privately, control downloads, hide ads and more …

中国におけるサイバーセキュリティ法および最新のセキュリティコンプライアンスにおける動向

 中国におけるサイバーセキュリティ法および最新のセキュリティコンプライアンスにおける動向

本セミナーの動画は以下のサイトからご覧いただけます。
https://www.alibabacloud.com/ja/campaign/asiagateway2021

AlibabaCloud_JP

May 07, 2021
Tweet

More Decks by AlibabaCloud_JP

Other Decks in Business

Transcript

  1. セキュリティコンプライアンスの概要 国際的な動向と主要な観点 サイバーアタックは新たな戦場にな りつつある 規制違反に対する厳しい罰則の ため世界市場においてコンプライア ンスへの投資は最も有益なものと なっている データプライバシーは世界 的に注目の話題となってい

    る 新たなテクノロジーの普及で保 護の対象が多様化 データ駆動型企業は データセキュリティの重要 性を強調 重要情報インフラは急速に 変化するサイバーセキュリティ の脅威に直面している
  2. 中国におけるセキュリティコンプライアンス サイバーセキュリティに関連する法律および基準 サイバーセキュリティ データ保護 プライバシー 高度な技術的対策 2008 年 6 月

    2017 年 6 月 1994 年 2 月 コンピューターインフォメー ションシステムの セキュリティ保護 中国サイバーセ キュリティ法 (CSL) インフォメーションセキュリ ティ等級保護 (MLPS) 2019 年 1 月 個人情報 セキュリティ規 範 (草案) 2019 年5 月 データセキュリ ティ管理対策 (草案) 2019 年 12 月 2020 年 1 月 中国 暗号法 サイバーセキュリ ティ等級保護 (MLPS 2.0) 2020 年 7 月 データセキュリ ティ法 (草案)
  3. 中国サイバーセキュリティ法 (CSL) 中国の CSL が 2017 年 6 月 1

    日より発効 第 1 章 概要 第 2 章 ネットワークセキュリティへのサポートおよびプロモーション 第 3 章 ネットワークオペレーションセキュリティ 第 4 章 ネットワークインフォメーションセキュリティ 第 5 章 モニタリング、早期警告および緊急時対応 第 6 章 法的責任および罰則 第 7 章 付録 等級保護 技術的対策 ガバナンス セキュリティ モニタリング ログおよび記録の保 持 ウイルスおよび脆弱性管理 インシデント管理 危機管理 セキュリティオペレーション データセキュリティ データ分類 データバックアップ データ暗号化 ネットワーク製品およびサービスの調達 実名登録 重要情報インフラ (Critical Information Infrastructure:CII) セキュリティ 専門セキュリティ部門および CSO データローカライゼーション 緊急事態を想定した定期訓練 年次サイバーリスク評価 個人情報保護 苦情管理 データ漏洩インシデントへの 対応および報告 インターネットコンテンツ ガバナンス セキュリティインシデントモニタリングおよび対応 早期警告および情報報告 緊急時計画および訓練
  4. 国家サイバーセキュリティ戦略概要 マクロな視点からセキュリティおよび安定性を維持するための規則 公益 社会的安定 公益 ネットワーク事業者 •ネットワーク所有者、管 理者、サービスプロバイ ダーを指す •ネットワークの構築、運

    用、保守、使用に 適用される •ネットワークとは、情報を 収集、保存、送信、交 換、および処理するため のシステム、情報端末、 および関連機器を指す CII セキュリティ •Cll セキュリティ保護規 則は 17 の業種に科さ れる (承認申請) •等級保護の一般要件 に加え、重要情報保護 基準に沿って主要な保 護を強化 罰金および罰則 •罰金は、ネットワーク事 業者に対しては最大 100,000 人民元、CII 事業者に対しては 1,000,000 人民元 •不法に取得したと 考えられる関連収入の 没収 •是正のための操業 停止 •事業許可の失効 •拘留 サイバーセキュ リティの等級保護 •等級保護スキームの実 施を強化 •保護の対象を特定し等 級を付ける •ポリシー、組織、管理、 技術的制御を含む 等級保護システムを策 定 サイバーディフェンス •ウイルス、脆弱性、サイ バーアタック、侵害に迅 速に対応するための緊 急時対応計画を策定 •インシデントに迅速に対 応し、また定期訓練を 実施するため、緊急時 対応計画及び対応基 準を確立 •必要なログを 6 ヶ月以 上保持 実名検証 •ID の信頼性戦略の 実施を強化 •安全で便利な電子的 ID 確認を確立 •これに違反した場合は、 500,000 人民元以下 の罰金が科される他、 是正のために操業が停 止される コンテンツセ キュリティ •ユーザーにより公開され た情報管理を強化し、 違法なコンテンツを防止 •法律や管理規則で禁 止されている情報を発 見後直ちにその情報が 公開、拡散、転送され るのを防止するため、技 術的対策を実装 データ保護 •個人情報や重要データ は正当な必要がない限 り国内に保管 •合法性、正当性、必要 性の原則に沿って個人 情報を収集し使用 •データを保護するための 技術的対策を実装
  5. ータセキュリティ データセキュリティおよびプライバシー データ保護の主要分野 中国サイバーセキュリティ法 個人情報保護 (草案) データセキュリティ法 (諮問書) 法的根拠 データ保護

    データセキュリティ プライバシー 越境データ転送 中国暗号法 セキュリティガバナンス 分類および保護 データセキュリティ法 (諮問書) 越境データセキュリティ データ共有とトレーディングガバナンス モニタリングおよび 早期警告 緊急時対応 リスク評価 技術的な保護対策 国内サービス 個人情報 機密個人情報 国内で対象となる人々 合法かつ最小限の収集原則 リスク評価 同意および権利 自動決定およびマーケティ ング 合法性 正確性および完全性 セキュリティ評価 範囲 リスクレベル 技術的なセキュリティ対策 受領者の法的環境 権限の承認 管理能力
  6. ータセキュリティ 越境データ転送 範囲および説明 ネットワーク事業者が、中華人民共和国における事業活動で収集および生成した個人情報や重要データを中国本土外の機関、組織、個人にネットワークやその 他の手段で提供することを指します。 注記: v 中国本土では登録されていないが、 中国本土で事業を行っている、または中 国国民に製品またはサービスを

    提供している事業者は、国内ネットワーク 事業者である。 v 重要データとして説明したデータの 種類は、説明上の例であり、すべてを網 羅するものではない。 v 国内全域に適用される越境データ転送 のための詳細なガイドおよび基準はまだ効 力を持たない。 • 個人情報 • 重要データ データの種類 • データは海外のシステムに保管される。 • データは中国のシステムから海外のシステムへ転送される。 • データは、中国本土に保管されているが、海外の機関、組織、 個人によりアクセスが可能であるか、中国で登録されていない、 または中国の司法管理下にない組織にサービスを提供するため に使用される。 転送のシナリオ 注記: v 中国本土で収集されたのではないデータで、中国経由での転送に際し、 修正および処理されていないデータの場合、越境データ転送とはみなさ れない。 v 中国本土で収集されたのではないデータで、修正および処理されてはい るが、収集や生成が中国内で行われたものではないデータの場合、越 境データ転送とはみなされない。 個人情報 機密個人情報 識別 関連性 特定の自然人を識別するのに使 用される 特定の自然人が作成した情報 個人の安全 または資産に 影響 漏洩、違法な提供、乱用が起こっ た場合、個人の評判が傷ついたり、 身体/精神的健康問題、差別的扱 いを招く ü 国家機密 ü 公益、国家の安全、社会的 安定に影響を及ぼす ü 企業機密 ü システミックリスクにつながる 可能性 ü カルチュラルセキュリティ ü 長期にわたり留まる自然、経済、 または社会的特性 ü CII のデザイン、保護、戦略
  7. ータセキュリティ 越境データ転送 原則および主要観点 データの範囲 量、範囲、種類、 機密性の観点から 評価 • 個人情報 •

    個人の機密情報 • 重要データ 譲渡者の セキュリティ能力 • 技術的能力 • 管理保証能力 • 過去のセキュリ ティ実績 受領者の セキュリティ能力 • 技術的能力 • 管理保証能力 • 過去のセキュリ ティ実績 受領者の 法的環境 • ポリシーおよび 規則 • 社会的安定性 • セキュリティ 基準 • 技術的成熟度 越境データ転送計画 Yes No 中程度または低い 高いまたは極めて 高い 目的および 必要性 合法性 対象となる個人の同意* Yes No リスクレベル *個人情報または個人 の機密情報が含まれて いる場合 No Yes 関連機関による審査および 承認 (必要に応じて) 禁止 承認 注記: v データセキュリティおよびプライバシー保護への最終的な責任はネットワーク事業者 (譲渡者) が負う。 v 個人情報、機密データ、重要データの転送に関するガバナンスおよびリスク評価は、異なる観点から行われる。個人情報の 転送は次の主要観点により個別に管理される: Ø 譲渡者と受領者の責任を契約の中で定義し、関連規則で要求される義務を含める。 Ø 転送記録を 5 年以上保持する。記録には、少なくとも転送データ、転送時期、受領者情報、転送されるデータの 種類、量、機密レベルを含めるものとする。 Ø リスク評価は、2 年おきまたは重要な変更があるたびに実施する。 Ø 受領者による第三者への情報再転送は制限され、個別評価の対象になるものとする。
  8. 中国暗号法 中国の CSL は 2020 年 1 月 1 日より発効

    目的 • 暗号理念の普及と発展 • 国家の安全と公益の維持 • 国民、法人、その他の組織の法的権利や権益の保護 暗号製品 暗号アプリケーション • 暗号とは、特定の変換方法を使用することによる情報の暗号化、または情報のセキュリティ証明に関連する技術、 製品、サービスを指す。 漏洩防止 改ざん防止 偽造防止 否認防止 機密性 完全性 信憑性 否認不可性
  9. 暗号コンプライアンス評価 評価の 4 つの主要観点 n 暗号アルゴリズムコンプライアンス評価 (ナショナルアルゴリズム:SM1、SM2、SM3、SM4、SM7、SM9、ZUC など) ① 情報システムに使用されている暗号アルゴリズムは、対応する法律、規則、暗号化に関連する国家基準、および業界基準に準拠しているものとする。

    n 暗号技法コンプライアンス評価 ① プロトコルやキー管理など、使用されている暗号技法は関連する基準に準拠している。 ② 使用されている暗号システムおよび製品は基準を満たす準拠物であるものとする。つまり、国家資格評価センターによって準拠していると評価された製 品やユニットだけが使用されている。 n 暗号製品コンプライアンス評価 ① 使用されている暗号システムおよび製品は、国家暗号管理局 (National Cryptography Administrative Department) により証書を与えられたもの であるか、または国家資格評価センター (National Qualified Assessment Center) から、承認された評価レポートによる評価を受けたもののみであ る。 n 暗号サービスコンプライアンス評価 ① 電子証書サービスなど、使用されている暗号サービスは、国家暗号局 (State Cryptography Administration) により発行された暗号サービス許可書 を付与されたもののみである。
  10. MNC からのよくある質問 セキュリティコンプライアンスにおける課題 サイバーセキュ リティの等級 保護 サイバーディ フェンス コンテンツセ キュリティ

    実名検証 データセキュ リティ 越境データ転送 国家の暗号 プライバシー VPN:MIIT – インターネット接続サービス市場の整理・規範化に関する通知 (2018 年 3 月 31 日発 効): 第 2 条 第 2.4 項:使用は、内部事業のみに限定される。電気通信事業を行うために海外のデータセン ターやプラットフォームを接続するために使用してはならない。 中国の法人は必ずサイバーセキュリティポリシー、基準、およびサイバーセキュリティ責任者をすべて揃えな ければならないのでしょうか?海外の HQ のポリシーを自動的に適用することは可能ですか? HQ ポリシーは適用可能ですが、CSL や MLPS へのマップ化など、特定のローカライズを行うことを推奨し ます。 従業員情報といった海外に保管されている内部データに対する扱いは異なりますか? どのようなデータも個人情報とみなされる可能性があります。重要データも同様に扱われます。 企業はどのようにデータセキュリティ保護に対するコンプライアンスを確立すればよいでしょうか? データアーキテクチャを設計する際、ラベリング技法を用いてセキュリティとプライバシーを意図的に保護してく ださい。
  11. あらゆる課題に対応するAlibaba Cloud ソリューション 中国へのデータ移行 中国でローカルにデータ を保存 データバックアップ 6 ヶ月間のログの保 持

    越境データ転送および保管 モデレーション 一般にアクセス 可能なコンテンツ の管理 セキュリティモニタリング およびディフェンス リスクのモニターおよび評価 サイトの改ざん ログネットワークトラフィック データ保護 データの分類 および保護 規則に関する課題 Cloud Enterprise Network VPN Gateway Smart Access Gateway Express Cloud Connect ネットワーク ソリューション ストレージ ソリューション データ バックアップ ロギング サービス Content Moderation Security Center Managed Security Service Sensitive Data Discovery & Protection セキュリティソリューション 主要製品 Key Management Service 実名検証 検証 ID の確認および 認証
  12. Alibaba Cloud セキュリティ 40% 50% 60 億 100 万 576

    万 対応件数 66 件 中国国内のウェブサイトの 40% 以上を保護 1 日に 60 億以上の攻 撃を防御 クラウド上で修正さ れたハイリスク脆弱 性 脅威による緊急事態 に年間で 66 件タイムリ ーに対応 100 万社以上の企業に セキュリティ保護サービス を提供 グローバル CSP ネイティブセキュリティ機能比較 2020、ガート ナー Alibaba Cloud Alibaba Cloud は 7 つのセキュリティ分野における 24 の評価基準のうち、 11 の評価基準でハイレベルと評価されました。 • インフラセキュリティ • クラウドガバナンスおよびコンプライアンス • ネットワークセキュリティ • アプリケーションおよびコンテナセキュリティ • データセキュリティ • ロギングおよび警告 • ワークロードおよびアプリケーション保護 中国における高度な DDoS 攻撃の 50% 以上を防御
  13. Alibaba Cloud ネットワークソリューション Alibaba Cloud 専用回線 • Cloud Enterprise Network

    で信頼性の高い迅速なグローバルネットワークを構築 • Smart Access Gateway で中国のオフィスにシームレスな接続を提供 専用回線 ローカルデータセンター HQ データセンター CEN ホテル 店舗 支店 SAG SAG SAG VPC VPC VPC 中国 VPN ゲートウェイ 支店 C 支店 B 支店 A VPC VPC VPC 米国
  14. Alibaba Cloud キー管理サービス 暗号化された データキー プレインテキストにお けるデータキー プレインテキスト データ 暗号化された

    データキー 暗号化された データ 保存時の暗号化 暗号化 クラウド製品 ユーザー キーマテリアル プレインテキストデータ HSM* マスターキー KMS データキー – 伝送時の暗号化 BYOK – キーのアップロード データのアップロード CMK はユーザーリソースです。あらゆる操作またはアクセ スに常にユーザーからの許可が必要です。 • KMS の暗号モジュールと HSM ベースの暗号サービスは、国家暗号局より発行の許可書を付与さ れた、国家暗号基準を満たすサービスです。 • 資格を満たす暗号システムを使用することで、中国暗号法に準拠しています。
  15. Alibaba Cloud データセキュリティソリューション オペレーション異常検出 データセキュリティ監査 残留情報の検出 Sensitive Data Discovery &

    Protection (SDDP) 収集 1 伝送 2 保存 3 処理 4 シェア 5 処分 6 感度の低減およびシェア アクセス異常検出 機密データの分類 視覚化および統計 機密データの特定 変更の検出 異常フロー検出 • SDDP はライフサイクルを通じてデータセキュリティおよびプライバシーを保護
  16. Alibaba Cloud Log Service • LogHub および LogShipper を用いて複数のソースからログを収集 •

    サードパーティーのログサービス (ELK) と 100% 互換可能 • 手頃な価格で、拡張性のある長期に渡る保存を実現 Log Service / LogHub リアルタイムデータスト リーム 30 以上のデータ収集アプローチ IoT モバイル ログ ウェブ モバイルおよびウェブ テキストおよびログ サービスおよび言語 IoT およびデバイス カメラ OSS ハイブリッドストレー ジアレイ 大規模構造化、非構造化、 および半構造化データ SQL、 NoSQL Log Service / LogShipper ストリーム処理 SparkStreaming Function Compute Hadoop HIVE ビッグデータ分析 バッチ処理 Pig PAI MaxCompute EMR Impala インタラクティブ分析 DLA Log Service / 分析 視覚化 QuickBI DataV Log Service / ダッシュボード 1. 入力 2. 取り込みおよび保管 3.分析 4.出力