セキュリティサービスプロバイダーを取り巻くグローバル規制動向―アジアにおける状況

セキュリティサービスプロバイダーに関する規制動向

近年、セキュリティ脅威やそれに関連したコンプライアンスリスクが増大する中で、セキュリティ管理をアウトソースする企業が増加しています。このような状況下において、多数のクライアント企業のシステムやデータにアクセスする可能性があるマネージドセキュリティサービスプロバイダー（MSSP）が、サイバー攻撃者からのターゲットとなる危険性が高まっています。

こうした脅威動向を踏まえ、各国はサプライチェーンリスク管理の一環としてセキュリティサービスプロバイダーに対するセキュリティ上の規制制定に取り組んでいます。本稿では、日本企業にとって関心が高いアジアの事例を紹介します。

東南アジアの事例―ライセンス制度

シンガポールにおけるライセンス制度の導入

アジア圏では、セキュリティサービスプロバイダーに対するライセンス制度を導入することで、その品質を保証しようとする取り組みが見られます。代表的な例として、シンガポールではサイバーセキュリティ法¹とそれに基づくサイバーセキュリティ規制（サイバーセキュリティサービスプロバイダー）²によってライセンス制度が設けられています。

同制度の下ではライセンスを取得した企業が公開されており、一定の水準を満たすセキュリティサービスプロバイダーが消費者によって選択されることを促進しています³。ライセンスを取得する上では、主に事業者の身分を証明する資料や事業概要、サービスを提供する上での適切な経験や資格が要件として要求されます。現時点では市場の発展の制約にならないように品質要件までは定められていませんが、今後セキュリティ専門家に対する認定制度が導入される可能性があります。

特に、ライセンス取得が義務付けられるマネージドセキュリティオペレーションセンター（MSOC）とペネトレーションテストのプロバイダーが無免許でサービス提供を行った場合、50,000シンガポールドル以下の罰金あるいは役員などに対する2年以下の懲役、またはその両方が科せられる可能性があるため注意が必要です。

図表1：シンガポールのライセンス制度

No.	項目	概要
1	背景と法的根拠	消費者と事業者の情報非対称性解消と役務水準向上を目的とし、Cybersecurity ActとCybersecurity Regulationsに基づいて運用
2	取得が義務付けられたサービス	マネージドセキュリティオペレーションセンター（MSOC）によるモニタリングサービスペネトレーションテストサービス
3	申請時の要求	事業の主要な役員と管理職の身分証明、事業概要とそれを行う上での適切な経験あるいは資格、不法行為などに関与したことがない証明（Fit and Proper Criteria）
4	費用と審査期間	企業ライセンス申請時に、1,000シンガポールドル審査期間の目安は1カ月程度
5	有効期限	取得から2年間有効で、失効の60日前までに更新が必要責任者など、ライセンス取得時の情報から変更があった場合、14日以内の当局への報告が必要
6	ライセンス所持者義務	プロフェッショナルとしての行動、記録の保持、当局の調査への協力、事業変更の通知など
7	外国企業の取得	取得可能であるが、事前に主要な役員と管理職等が自国において不法行為などに関与していないことを示す公的な証明を取得することが必要
8	罰則	2022年10月11日以降、無免許でサイバーセキュリティサービスを提供し、有罪判決を受けた場合、50,000シンガポールドル以下の罰金または2年以下の懲役、またはその両方が適用

マレーシアにおけるライセンス制度の導入

マレーシアにおいても、ライセンス制度の導入に向けた動きが進んでおり、2024年6月にはサイバーセキュリティ法2024⁴が官報に掲載されました。同法ではサイバーセキュリティサービスプロバイダーにライセンス取得を義務付ける旨が定められています。現時点では具体的な対象の指定や運用の詳細は確定しておらず、同法の施行後に国家サイバーセキュリティ局（NACSA）が規則を整備する見込みです。シンガポールと同様に、ライセンス取得が求められるプロバイダーが無免許でサービス提供した場合には、懲役や罰金が科される可能性があるため、セキュリティ関連のサービスを提供する企業は注意が必要です。

図表2：マレーシアのライセンス制度

No.	項目	概要
1	背景と法的根拠	セキュリティサービスの品質担保を目的にCyber Security Bill 2024に基づいて運用
2	取得が義務付けられたサービス	サイバーセキュリティサービスプロバイダー（自社関連会社のみに向けたサービスは除く）具体的な業種は指定されておらず、今後国家サイバーセキュリティ局（NACSA）などが指定する見込み
3	申請時の要求	NACSAなどが指定する条件を満たした上で、NACSAに所定の証跡と文書を提出する必要詐欺行為などの不誠実な行為の履歴なし
4	費用と審査期間	NACSAなどが定める手数料審査期間は未定
5	有効期限	ライセンスの有効期間は個別のライセンスに記載されており、その失効の30日前までにNACSAにライセンスの更新申請を実施
6	ライセンス所持者義務	セキュリティサービスを提供した場合、日付と期間、提供者の氏名、サービスの種類を含むNACSAなどが指定した内容を記録し、6年以上保持
7	外国企業の取得	法文上で明確な規定はないものの、NACSAが指定する業種に該当するプロバイダーには適用される見通し
8	罰則	当局の指定するライセンス条件に違反があった場合、あるいは虚偽情報に基づいてライセンスを取得した場合は2年以下の懲役または10万リンギット以下の罰金、またはその両方が適用停止または取り消しライセンスを第三者に貸し出した場合、3年以下の懲役または20万リンギット以下の罰金、またはその両方が適用違反の場合2年以下の懲役または10万リンギット以下の罰金、またはその両方が適用無免許でサービスを提供した場合10年以下の懲役あるいは50万リンギット以下の罰金、またはその両方が適用

中国の事例―認証制度を巡る議論

ネットワークセキュリティサービス認証業務の実施に関する意見

中国においてもセキュリティサービスの品質やプロバイダーのセキュリティリスク管理が課題として捉えられており、認証制導入に関する議論が進行しています。例えば、2023年3月には中国サイバーセキュリティ法と認証認可条例に基づいて、市場監督総局などが中心となってネットワークセキュリティサービス認証制度の実施に関する意見を公開しました⁵。同制度の対象となるサービスは市場の需要や規模などを踏まえて指定される見込みで、現状ではテストとアセスメント、セキュリティ運用と保守、セキュリティコンサルティング、等級保護（リスクが顕在化した際の損害に基づくリスクベースのセキュリティ対策）支援などが例として挙げられています。テストの例としては、脆弱性テスト、システム構成検証、ソフトウェア／アプリケーションテスト、ネットワーク診断、ペネトレーションテストなどが挙げられます。

認証規則やラベリング、認証機関などの制度設計に関しては、市場総監督局が国家インターネット情報室（CAC）、工業情報化部、公安部などの関連当局と調整の上で策定し、公表する見込みです。規制対象となるネットワークセキュリティサービスプロバイダーの認証取得状況は公開され、認証を受けたプロバイダーが認証制度を含む関連法規制に違反していないか、継続的に監督を受ける可能性があります。不正な認証の取得や使用は処罰の対象となることが見込まれています。

サイバーセキュリティサービスの能力評価制度

中国においてセキュリティサービスを提供する上で必要な要件を検討する際には、2022年11月に公開された「サイバーセキュリティサービスの能力評価制度」が参考になります⁶。以下に、セキュリティサービス一般に求められる要件と、特定のサービスに求められる要件の概要を示します。ただし、2024年7月5日現在、同制度は成立しておらず、具体的な規則を含む認証制度や能力評価制度の内容については今後の動向を注視する必要があります。

図表3：セキュリティサービスに対する一般要件

No.	項目	概要
1	基本条件	中国域内での事業登録、組織やマネジメント層の犯罪・不正歴なし
2	情報セキュリティ管理	GB/T22080-2016情報セキュリティ管理システム要件の4-10章と附属A
3	サービス要員管理	GB/T BBBB-XXXXセキュリティ担当者の基本的な能力要件の5・6章に従い、適切な能力と経験が証明された要員を確保・訓練・管理
4	リソース配分	サービス利用者に提供するリソース（人員含む）を契約上で保証
5	サービス料	GB/T AAAA-XXXXセキュリティサービスコスト測定ガイドに従い、コストに応じたサービス料を設定
6	サービスプラン	サービスの範囲・目的・内容・サービスレベルなどを含むサービスプランについて利用者と合意
7	サービスの実装	サービスの進捗・変更に関する利用者との定期的コミュニケーション体制やインシデント時などの緊急対応体制を確立
8	リスク管理	サービスプロセスで発生するリスクを特定し、対応策を検討し、その有効性を確認
9	結果の提供	契約に基づいてサービスの結果提供やサービス終了後のデータ消去などを実施、サービス記録の一定期間保持
10	サプライチェーン管理	調達プロセスを確立し、不正履歴などがある不適格なサードパーティを利用しないためプロファイルを継続的に管理・監督
11	技術的スキル	セキュリティサービスの管理システムを確立し、関連する法令・ガイドライン・ベストプラクティスに則ったサービスを提供
12	サービスツール	サービスで利用するツールは主要な製品カタログに掲載され、認定ないしセキュリティテストを受けた当局の指示や法令に抵触しないもの
13	リモートサービス	リモートサービスは信頼できる物理・ネットワーク環境から提供され、ログインプロセスは暗号化技術などで適切に保護
14	法的保護	プロバイダーは専門の法務担当者による契約の検討を実施し、契約内容の適法性やプロバイダーと利用者の責任境界を確認
15	データ保護	サービスプロセス中に取得するデータを取得の目的と国内や関連する国外の法令などに従って適切に保護
16	サービス持続可能性	サービスの中断や切り替えによる利用者への影響を防止するために、継続計画や緊急対応計画を整備

図表4：特定のセキュリティサービスに対する要件

テストおよび評価サービス	サービス・ツールに関する研究開発能力ないし二次開発能力利用者へのサービスに伴うリスク通知、ニーズに応じた結果報告 GB/T 36959-2018 等級保護の評価機関の能力要件および評価仕様書の4章とGB/T 20984-2022 セキュリティリスク評価手法への準拠
セキュリティ運用保守サービス	サービス担当者のバックグラウンドチェックサービスの継続的提供と状況・効果の定期的な報告 GB/T 36626-2018 セキュリティ運用保守評価の7・8章への準拠
セキュリティコンサルティングサービス	サービス提供に際して必要な利用者側の情報・データとそれらが必要な理由を説明サービス過程でやり取り・使用された資料やデータをリストアップし記録
災害復旧サービス	GB/T 36957-2018 災害復旧サービス要件への準拠

まとめ

アジア圏でもセキュリティサービスプロバイダーに対する規制の整備が進行しています。クライアントのグローバルビジネス展開などに伴ってアジア圏にサービスを提供する可能性があるMSSPは、各国の関連規制に対応する必要があります。

本稿で紹介した認証やライセンス制度については、登録された企業名が当局によって公開される場合もあり、自社のブランディングに影響を与える可能性があるため、早期に対応することが望ましいです。また、特に認証やライセンスの取得が義務付けられているサービスを無免許で提供したり、規定への違反があったりした場合には、罰金や当該サービスプロバイダーの役員に対する懲役刑が科される可能性があります。この点からも、企業が危機感を持って対応検討すべきです。

¹ Cybersecurity Act、2024年7月5日閲覧、
https://sso.agc.gov.sg/Acts-Supp/9-2018/

² Cybersecurity (Cybersecurity Service Providers) Regulations、2024年7月5日閲覧、
https://sso.agc.gov.sg/SL/CA2018-S304-2022?DocDate=20220408&msclkid=b2b84d25b93b11eca9499bb51ff4b0c9

³ Licensed Service Providers、2024年7月5日閲覧、
https://www.csro.gov.sg/resources/licensed-service-providers/

⁴ Cyber Security Bill 2024、2024年7月5日閲覧、
https://www.nacsa.gov.my/act854.php

⁵ 关于开展网络安全服务认证工作的实施意见、2024年7月5日閲覧、
https://www.gov.cn/zhengce/zhengceku/2023-04/02/content_5749741.htm

⁶ 信息安全技术网络安全服务能力要求、2024年7月5日閲覧、
https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20221109183605&norm_id=20221101145108&recode_id=49391