等級保護2.0

FutureChina Blog

等級保護2.0

2022年03月07日（更新：2022年08月26日）

執筆者株式会社フューチャースピリッツ

会社／職務株式会社フューチャースピリッツ

「等級保護」は、特に中国で事業をしていない方には、なじみの薄い言葉かもしれません。

中国政府は、より安全なサイト及び健全なインターネット環境を国内に築くことを目的として、「等級保護2.0」を2019年から実施しています。企業・事業機関等を対象に、より厳しい要求を求めています。

等級保護2.0とは？

セキュリティー等級保護制度は、中国のサイバーセキュリティ法第21条に規定されています。2017年6月より国家サイバーセキュリティにおける基本制度に位置付けられます。

セキュリティー等級保護制度において、中国本土に拠点を持つ企業などは、

基幹情報ネットワーク
工業制御システム
クラウドコンピューティングプラットフォーム
ビッグデータ
IOT事業　等

といったwebサイトを含むインターネットベースとしている情報システムに対して、インシデントなどの発⽣により損害を被る客体（対象）と、その損害の程度に基づき等級を設定し、設定された等級に応じたセキュリティー対策を実装する必要があります。

現在実施されている等級保護基準は2.0版で、通称「等保2.0」。2019年5月10日より発表され、同年度の12月1日から実施されました。

なぜ等級保護サービスが必要か？

「中国サイバーセキュリティ法」第21条ではサイト運営者に等級保護の実施を求めています。

同法第59条では、実施しない対象に対する警告を定めています。警告された対象が対応を拒否し、ウェブサイトのセキュリティー問題が発生し、社会に危害が及んだ場合、１万元以上10万元以下の罰金が科されます。ウェブサイトの責任者にも5千元以上5万元以下罰金します。

また、「刑法」第286条では、サイバーセキュリティ義務を実行せずに違法情報の大量伝播や顧客情報漏洩といった深刻な事故を起こした場合、3年以下の刑事責任、拘束、または罰金が追及されます。

要するに、規定に違反し、違法行為を構成するため当局より処罰が与えられます。社会を損害し犯罪を構成する場合、刑事責任が問われます。

等級保護を実施する際に、専門コンピューティング会社の検査の等級認定により、自社サイトやシステム等の潜んでいる危険性が検知する事ができます。改正に伴い、自社情報システムの安全性を向上し、外部からの悪意攻撃を阻止できます。またそうした企業も自社安全かつ合法で運用管理していることをアピールできるため、良好な企業イメージの構築にもポジティブな影響があります。

「等級保護」の等級はどのように認定されますか？

「等級保護」制度は、情報システムが破壊された場合の危害程度により、5つの等級に分類されます。一般企業のホームページやシステムは、原則として2級が適用されます。

損害を被る客体	客体が受ける損害程度
損害を被る客体	一般損害	重大損害	特大損害
公民、法人、その他団体組織合法的な権益	1級	2級	3級
社会秩序、公共利益	2級	3級	4級
国家安全	3級	4級	5級

また、「等級保護」の等級は評価リストに基づいて評価を行い、ポイント制になります。評価項目の達成状況に対して、採点を実施します。

2級から最高5級まで認定します。
例え合格点数になっても、必須項目が満たされないと、等級が認定できません。
＊必須項目は認定される等級によって内容が異なります。
＊各書類は中国語の文書しか認めません。

等級保護2.0と1.0と比べ、変わった内容は？

項目	等級保護1.0	New！等級保護2.0
保障システム	主にファイアウォール（FW）、侵入防止システム（IPS）、アンチウィルス	1.0以外、全面防止が求められます。WAF、サイト改ざん検出、ログ監査、データベース監査、登録身分認証等
評価対象	情報システム	基幹情報ネットワーク、工業制御システム、クラウドコンピューティング、ビッグデーター等多数システム
認定フロー	自習認定	方法一：現地法人様より準備した認定資料をサイバーセキュリティ局に提出、（専門測定機関にて）等級を策定してもらいます。方法二：等級策定のコンサルティング会社を通して、認定資料の作成を協力してもらい、測定機関による審査を行って、安全保護等級を確定します。
認定期間	三級認定年1回、四級認定年2回	二級2年ごとに一回（黙認）三級及びそれ以上は年1回（発行日が書かれています）
合格点数	60点以上	75点以上

等級保護サービス対応しないとどうなりますか？

「中国サイバーセキュリティ法」の規定により、企業団体は「等級保護」を実施すべきです。仮に実施しない場合、サイバー管理局や工信局より警告され、また企業に対して、10万元以下罰金し、責任者に5千～5万元罰金します。犯罪を構成した場合、3年以下の刑事責任が追及されます。

今まで罰金された企業はありますか？

2019年～2020年の一部ケースを公表します。

ケース１

四川のある技術会社のウェブサイトはセキュリティー上の問題で、外部リンクが埋め込まれ、違法情報をネット上発信しました。その結果、中国「サイバーセキュリティ法」により、行政警告されました。

ケース２

某機関の監視システムがハッキングされた時、以前当局に指摘されたセキュリティーが改善されていなかったことが判明しました。そのため、該当機関に6万元罰金、関連責任者に2万元罰金がそれぞれ科されました。また事業全体を一時閉鎖し、セキュリティー問題の解決、等級保護の認定を完了してから事業再開することが命じられました。

案件３

四川省のある事業団体は、改ざん検知のサービスを適用していなかったところ、会社の社内システム及び財務システムがランサムウェアの攻撃を受けてダウンしました。該当企業はサイバー管理局に5万元を罰金され、責任者も5千元の罰金を科されました。

案件４

淮安エリアに、ある個人事業主はネット上でVPNをダウンロードし、コード等を改修の上複数VPNソフトをネットで提供・販売しました。公安局は該当事業主に2日間を行政拘留、この間の違法所得を全部没収しました。

等級保護2.0お申し込みの手順

等級保護認定の申請から運用・保守までの流れを紹介します。

１．等級策定に関するコンサルティング

＊無料でご相談可能です。

２．等級保護申請提出所要各報告書類のサポート

（企業情報システムの構築、運用及び管理等の情報整理）

３．現地公安機関に提出

（進捗管理、届出番号の取得）

４．等級保護の評価機関が来訪、初回評価を受ける

（初評所要審査資料の準備と提出に協力します。また初回評価の結果報告書により、各項目を分析し、企業さん等級保護においての整備、改善策を提示します）

５．改善案を実施する

（改善策を基づいて、等級保護基準に満たすためセキュリティー対尾措置を実施します。）

６．等級保護の再評価を受ける

（初回評価が発見された問題点に対して、再度評価を機関にて行い評価完了まで、各資料や情報の提供にサポートします。）

＊再評価は1回限りではありません。もし不合格になりましたら、前のstepに戻り再度評価完了するまで繰り返しします。

７．認定後の運用・保守

（認定期限後の次年度再度審査において、期間中規則の変更による通知・調整・対策提案等ご提示し、等級保護基準所定のように持続的に運用保守します。）

弊社が出来る事

中国（上海）現地等級保護認定機関と連携し、認定プロセスをフルサポートする
認定結果により、セキュリティー対策を提示・実施可能
webアプリケーションセキュリティーホールを修復する
弊社スタッフは日中言語により対応できる

費用

等級保護の費用は大きく下記２つで構成されます。

１．コンサルティング及び評価実施費用

最初のコンサルティングにおいては無料で提供させて頂きます。等級保護申請の資料準備から費用が発生します。

弊社は中国国内の等級保護評価認定会社と協力して実施します。中国国内の市場価格は通常日本円に換算すると320万円以上となりますが、弊社は日中両言語対応サービス（文書翻訳を含まない）のもとに、お客様webサイトの種類及び規模によって比較的に安価のお値段でご提供します。

等級保護2.0に対して、ご質問やお悩みがある方はお気軽にお申し付けください。

２．セキュリティー改善実施費用

等級保護初回評価受けた後、webサイトに対してセキュリティー要求未満の項目に対して、改善措置を実施する必要があります。

仮にお客様が初回評価の結果において改善措置を拒否する場合、下記費用は発生致しません。

a.ネットワークと基本システム層の改善

ファイアウォール、システムログ監査、ウェブサイトの改ざん防止などの高評価項目が含まれています。

費用は、ウェブサイト評価認定後のセキュリティー対策によって異なります。

b.アプリケーション層の改善

一般的なクロスサイト攻撃、SQLインジェクションなどのセキュリティホールを除き以外、サイトバックエンドに操作ログの監査機能を実装、及びサイト登録時の身分認証機能を追加する必要があります。

こちらもwebサイトの構成及び規模により費用が異なります。

ご関心ある方はおぜひお問い合わせください。

申請代行関連

導入事例