FutureChina Blog
等級保護2.0
(更新:)
執筆者李
執筆者李
会社/職務株式会社フューチャースピリッツ
「等級保護」は、特に中国で事業をしていない方には、なじみの薄い言葉かもしれません。
中国政府は、より安全なサイト及び健全なインターネット環境を国内に築くことを目的として、「等級保護2.0」を2019年から実施しています。企業・事業機関等を対象に、より厳しい要求をしています。
中国政府は、より安全なサイト及び健全なインターネット環境を国内に築くことを目的として、「等級保護2.0」を2019年から実施しています。企業・事業機関等を対象に、より厳しい要求をしています。
等級保護2.0とは?
セキュリティ等級保護制度は、中国のサイバーセキュリティ法第21条に規定されています。2017年6月より国家サイバーセキュリティにおける基本制度に位置付けられています。
セキュリティ等級保護制度において、中国に拠点を持つ企業などは、
- 基幹情報ネットワーク
- 工業制御システム
- クラウドコンピューティングプラットフォーム
- ビッグデータ
- IoT事業 等
といったWebサイトを含むインターネットをベースとしている情報システムに対して、インシデントなどの発⽣により損害を被る対象と、その損害の程度に基づき等級を設定し、設定された等級に応じたセキュリティ対策を実装する必要があります。
現在実施されている等級保護基準は2.0版で、通称「等保2.0」。2019年5月10日より発表され、同年度の12月1日から実施されました。
なぜ等級保護サービスが必要か?
「中国サイバーセキュリティ法」第21条ではサイト運営者に等級保護の実施を求めています。
同法第59条では、実施しない対象に対する警告を定めています。警告された対象が対応を拒否し、Webサイトのセキュリティ問題が発生し、社会に危害が及んだ場合、1万元以上10万元以下の罰金が科されます。Webサイトの責任者にも5千元以上5万元以の罰金が科されます。
また、「刑法」第286条では、サイバーセキュリティ義務を実行せずに違法情報の大量伝播や顧客情報漏洩といった深刻な事故を起こした場合、3年以下の刑事責任、拘束、または罰金が追及されます。
要するに、規定に違反し、違法行為を行った場合当局より処罰が与えられます。また場合によっては、刑事責任が問われます。
等級保護を実施する際に、専門コンピューティング会社による検査の等級認定により、自社サイトやシステム等に潜んでいる危険性を検知することができます。改正に伴い、自社情報システムの安全性を向上させ、外部からの悪意のある攻撃をを阻止できます。また企業は、安全かつ合法に自社を運用管理していることをアピールできるため、企業のイメージアップにもつながります。
等級の認定方法
「等級保護」制度は、損害の程度により、5つの等級に分類されます。一般企業のホームページやシステムは、原則として2級が適用されます。
|
対象 |
損害の程度 |
||
|
一般損害 |
重大損害 |
特大損害 |
|
|
公民、法人、その他団体組織合法的な権益 |
1級 |
2級 |
3級 |
|
社会秩序、公共利益 |
2級 |
3級 |
4級 |
|
国家安全 |
3級 |
4級 |
5級 |
また、「等級保護」の等級は評価リストに基づいて評価を行い、ポイント制になります。評価項目の達成状況に対して、採点を実施します。
- 2級から最高5級まであります
- 例え合格点数になっても、必須項目が満たされないと、等級が認定できません。
- *必須項目は認定される等級によって内容が異なります。
- *各書類は中国の文章になります。
等級保護2.0と1.0の違い
|
項目 |
等級保護1.0 |
等級保護2.0 |
|
保障システム |
主にファイアウォール(FW)、侵入防止システム(IPS)、アンチウィルス |
WAF、サイト改ざん検出、ログ監査、データベース監査、登録身分認証など |
|
評価対象 |
情報システム |
基幹情報ネットワーク、工業制御システム、クラウドコンピューティング、ビッグデーター等多数システム |
|
認定フロー |
自習認定 |
方法 1:現地法人より準備した認定資料をサイバーセキュリティ局に提出、(専門測定機関にて)等級を策定してもらいます。 方法 2:等級策定のコンサルティング会社を通して、認定資料の作成を協力してもらい、測定機関による審査を行って、安全保護等級を査定してもらいます。 |
|
認定期間 |
三級認定年1回、四級認定年2回 |
二級2年ごとに一回(黙認) 三級及びそれ以上は年1回 (発行日が書かれています) |
|
合格点数 |
60点以上 |
75点以上 |
等級保護サービスに対応しなかった場合
「中国サイバーセキュリティ法」の規定により、企業団体は「等級保護」を実施する必要があります。仮に実施しなかった場合、サイバー管理局や工信局より警告され、また企業に対して、10万元以下の罰金、責任者に5千~5万元の罰金が科されます。また犯罪に該当する場合、3年以下の刑事責任が追及されます。
罰金をが科せられた事例
2019年~2020年の一部ケースをご紹介します。
ケース1
四川省のある技術会社のWebサイトは、セキュリティ上の問題で外部リンクが埋め込まれ、違法情報をネット上で発信していました。その結果、「中国サイバーセキュリティ法」により、行政から警告を受けました。
ケース2
某機関の監視システムがハッキングされた時、以前当局に指摘されたセキュリティが改善されていなかったことが判明しました。そのため、該当機関に6万元の罰金、関連責任者に2万元の罰金がそれぞれ科されました。また事業全体が一時閉鎖となり、セキュリティ問題の解決、等級保護の認定を完了してから事業を再開することが命じられました。
ケース3
四川省のある事業団体は、改ざん検知のサービスを適用しておらず、会社の社内システム及び財務システムがランサムウェアの攻撃を受けてダウンしました。該当企業はサイバー管理局に5万元の罰金を科され、責任者も5千元の罰金が科されました。
ケース4
淮安エリアのある個人事業主は、ネット上でVPNをダウンロードし、コード等を改修の上、複数のVPNソフトをネットで提供・販売しました。公安局は当該事業主を2日間行政拘留、この間の違法所得は全て没収されました。
等級保護2.0お申し込みの手順
等級保護認定の申請から運用・保守までの流れを紹介します。
1.等級策定に関するコンサルティング
*無料でご相談いただけます。
2.等級保護申請提出所要各報告書類のサポート
(企業情報システムの構築、運用及び管理等の情報整理)
3.現地公安機関に提出
(進捗管理、届出番号の取得)
4.等級保護の評価機関が来訪、初回評価を受ける
(初評所要審査資料の準備と提出を行います。また初回評価の結果報告書により、各項目を分析し、企業様に等級保護においての整備、改善策を提示します)
5.改善案を実施する
(改善策に基づいて、等級保護基準を満たすためセキュリティ対応措置を実施します。)
6.等級保護の再評価を受ける
(初回評価で発見された問題点に対して、再度評価を機関にて行い、評価完了まで、各資料や情報の提供にサポートします。)
*再評価は1回だけではありません。不合格になった場合、前のステップに戻り再度評価が完了するまで繰り返し行います。
7.認定後の運用・保守
(認定期限後の次年度再度審査において、期間中規則の変更による通知・調整・対策提案等ご提示し、等級保護基準所定の通りに持続的に運用保守します。)
弊社が対応可能な内容
- 中国(上海)現地等級保護認定機関と連携し、認定プロセスをフルサポートいたします
- 認定結果により、セキュリティ対策を提案しその対策を実施いたします。
- Webアプリケーションセキュリティホールの修復
- 日本語だけでなく中国語での対応も可能
費用
等級保護の費用は大きく下記2つに分かれています。
1.コンサルティング及び評価実施費用
最初のコンサルティングにおいては無料で提供させて頂きます。等級保護申請の資料準備から費用が発生します。
弊社は中国の等級保護評価認定会社と協力して実施いたします。中国の市場価格は通常日本円に換算すると320万円以上となりますが、弊社は日中両言語対応サービス(文書翻訳を含まない)のもとに、お客様のWebサイトの種類及び規模によって比較的安価なお値段でご提供します。
等級保護2.0に対して、ご質問やお悩みがある方はお気軽にご相談ください。
2.セキュリティー改善実施費用
等級保護初回評価受けた後、Webサイトに対してセキュリティ要求未満の項目がある場合、改善措置を実施する必要があります。
仮に、初回評価の結果でセキュリティ要求未満の項目がなく、改善措置を取る必要がない場合、下記費用は発生致しません。
a.ネットワークと基本システム層の改善
ファイアウォール、システムログ監査、Webサイトの改ざん防止などの高評価項目が含まれています。
費用は、Webサイト評価認定後のセキュリティ対策によって異なります。
b.アプリケーション層の改善
一般的なクロスサイト攻撃、SQLインジェクションなどのセキュリティホールを除き、サイトバックエンドに操作ログの監査機能を実装、及びサイト登録時の身分認証機能を追加する必要があります。
こちらもWebサイトの構成及び規模により費用が異なります。
気になる方はおぜひお問い合わせください。
関連記事
関連サービス
お電話からのお問い合わせ
0120-44-0088
受付時間 平日 9:30-17:30