等級保護2.0認証
ソリューションとは?
世界中で多くのサイバー犯罪が発生しており、サイバーセキュリティのリスクが⾼まっています。
中国でも、サイバーセキュリティが国家戦略レベルに引き上げられて、中国でビジネスを行う企業には保有する情報システムのセキュリティ保護が義務付けられています。
等級保護制度(略称「等保」)は、国家的な施策としてすでに実施されており、中国に進出した日本企業にも適用されています。
弊社は、上海現地のパートナーや上海認定機関と連携し、初期コンサルティングから、等保を満たすセキュリティ措置の総合施策、セキュリティ関連の不備の修復や強化開発までのプロセスをワンストップで提供いたします。
無料相談
中国語・日本語
二言語対応
上海現地の評価認定
機関との連携で
全プロセスをフルサポート
豊富なメニューで
費用を抑えた形で対応
等級保護とは?
中国におけるインターネットをベースとしている サイトを含む情報システムに対して実施されている安全等級保護(略称「等保」)は、「中華人民共和国サイバーセキュリティ法」に基づいて制定されたサイバーセキュリティ制度であり、完全かつよく整備されているネットワークセキュリティ管理体制に対する公的評価制度でもあります。
対象範囲
ネットワークインフラ、重要な情報システム、大規模なインターネットサイト、大規模なデータセンター、クラウドコンピューティングプラットフォーム、モノのインターネットシステム(IOT) 、産業用制御システム、公共サービスプラットフォームなどが、等級保護の対象となります。
| 対象となるシステム例 |
|
|---|---|
| 重要情報 |
|
対応しないといけないか?
中国サイバーセキュリティ法はインターネットの安全保障を目的とした基本法で、中国で事業を行うほとんどの企業が適応対象です。違反した場合、日系企業であっても罰則が適用されます。
等級保護(法条)一部抜粋
「サイバーセキュリティ法」第二十一条:国家は網絡安全等級保護制度を施行する。ネットワーク運営者は、ネットワークセキュリティ等級保護制度の要求に従って、ネットワークセキュリティ等級保護制度の要求に従って、ネットワークを妨害、破壊または許可されていないアクセスから保護し、ネットワークデータの漏洩または盗難、改ざんを防止する。
「サイバーセキュリティ法」第五十九条:本法第二十一条、第二十五条に規定されたサイバーセキュリティ保護義務を履行しない場合は、改正を命じる上、警告処罰を与える。改正を拒否したり、ネットワークの安全を害するなどの結果をもたらした場合は、一万元以上十万元以下の罰金を科し、直接責任を負う責任者に五千元以上五万元以下の罰金を科す。
等級規定
等級保護制度は、情報システムが破壊された場合の危害の程度などから、5つの等級に分けられています。一般企業のホームページやシステムには、原則として第二級が適用されています。
| 損害を被る危険性がある客体 | 各客体が被る損害の程度(評価機関が指定) | ||
|---|---|---|---|
| 一般的な損害 | 重大な損害 | 特に著しい損害 | |
| 公民、法人、その他組織の権益 | 第一級 | 第二級 | 第三級 |
| 社会秩序、公共の利益 | 第二級 | 第三級 | 第四級 |
| 国家の安全 | 第三級 | 第四級 | 第五級 |
注意等保等級認定結果には有効期間があり、原則的に以下の周期で再認定を実施する必要があります。
- 等級保護三級
- 毎年認定
- 等級保護二級
- 二年毎認定
評価項目及び対策
等級保護では、評価リストに基づいて評価を行います。ポイント制を採用し、評価項目の達成状況に対して毎回採点を行い、規定の点数に到達すると等級が認定されます。
| 等保評価項目 | 重要性/等級 | 一般的な対応措置 |
|---|---|---|
| ファイアウォール(FW) | 必須/二级 | 生産許可証があるハードウェアFWを使用 |
| WEBアプリファイアウォール(WAF) | 必須/二级 | 生産許可証があるハードウェアWAFを使用 |
| 侵入防止システム(IPS) | 必須/二级 | FWの中でIPSモジュールを運用 |
| サイト改ざん検出システム | 必須/二级 | サーバーに商用の改ざん防止システムを導入 |
| ウイルスソフト(アプリレベル) | 必須/二级 | サーバーに実績のあるウイルス対策ソフトを導入 |
| データベース監査 | 任意/二级 必須/三级 |
データベースログをログ監査サーバーにインポート |
| 登録・ログイン身分認証 | 必須/二级 | アプリの登録・ログイン等の関連画面に画像認識、SMSによる認証コード発行、ログイン失敗処理仕組み等の機能を追加実装 |
評価プロセス
等級保護の申請評価全プロセスにおいて、申請企業、弊社フューチャースピリッツ、評価機関、公安機関それぞれが異なる役割を担います。評価プロセスの流れ、内容、役割分担は以下の通りです。
| フロー | 時間 | 申請企業 | フューチャースピリッツ(上海現地パートナー) | 評価機関 | 公安当局 |
|---|---|---|---|---|---|
| 現状評価 等級策定 |
2週 |
|
|
ー | ー |
| 申請·届出 | 4+週 | 現地の公安当局に準備書類を提出する |
|
ー |
|
| 等級保護評価 (初評) |
3+週 | 公安当局から届出番号の取得後、評価機関へ審査関連資料を提出する |
|
|
ー |
| 計画的に改善案の 実施 |
4週 | 等級基準に満たすセキュリティ対応措置の適用と関連管理体制の構築 |
|
ー | ー |
| 等級保護評価 (再評価) |
4+週 | 改善後の結果を再度評価機関に提出する |
資料や情報の提供に協力し、最終的な評価作業が順調に完了することをサポートする
審査基準に満たさない場合は、再度改善を行う
|
初評価の問題点に対して再度評価を行い、審査基準を満たした場合、評価レポートを発行する | 「情報システムセキュリティレベル保護記録証明書」の発行 |
|
認定後の持続的な 運営·保守 弊社にサーバーの運営・保守をご依頼いただいているお客様に限る
|
ー | 評価項目を基準以上に持続的に運営·保守する | 新たな政策や規制の調整に伴う、変更・調整事項の通知・提案・解決策を提供する | ー | ー |
注意全プロセスは、原則として中国現地法人同士にて中国語で行われます。
日本語による補足説明や月次報告等が必要な場合、別途弊社までご相談ください。
費用の内訳
主に2種類の費用が発生します。
お客様に対し、費用を抑えた形のコンサルティングサービスを中国語で提供させていただきます(ご要望に応じて日本語での補足説明や中間報告等も実施)。 サイトやシステムの性質や規模、中国現地法人の所在地によって、所要コストは変動します。
等級保護のセキュリティ評価を行った後、多くの場合、サイトやシステムに対してセキュリティの改善措置の必要性が指摘されます。所要費用は、主に2つの部分に分けられます。
(年間)
- ファイアウォール
- システムログ監査
- ウェブサイトの改ざん防止など
要求の高い評価項目への対応が求められます。サイトやシステムの既存セキュリティ対策の状況によって費用は異なります。
(年間/一次)
- 一般的なクロスサイト攻撃
- SQL注入などのセキュリティホール
- サイトのバックグラウンドの操作ログ監査機能
- サイト登録時の身分識別機能など
こちらの費用も、サイトやシステムの作り方、規模等によって異なります。
等級保護認定後の運用・保守費用は上記2の対策次第で、別途発生・請求します。
サイトやシステムを
等級保護認証取得する必要があるのか、
どの等級に属するのか、
お見積りの依頼など、
お気軽にご相談ください
※2022年4月時点の情報です。内容は変更となる場合があります。
お電話からのお問い合わせ
0120-44-0088
受付時間 9:30-17:30(土日祝日除く)