各国サイバーセキュリティ法令・政策動向シリーズ（3）シンガポール

はじめに

各国サイバーセキュリティ法令・政策動向シリーズでは中国・台湾、インド、シンガポール、メキシコ、ブラジル、米国の近年（主に2023年から2024年にかけて）におけるデジタル・サイバーセキュリティの動向および将来の見通しについて解説します。本シリーズは、グローバル展開している国内企業のIT、サイバーセキュリティ、法務部門の責任者、デジタル政策・規制動向に関心を持つ責任者を対象としています。主要国・地域で進むデジタル政府化の取り組み、セキュリティ法規制、あるいはAI規制のような最新動向を早期に把握し、対応に優先順位を付けたい、向こう数年で発生しうるリスクを理解したいという方への一助になることを目指しています。

第3回目はシンガポールについての最新情報を解説します。

1. 政府のデジタル戦略と組織体制について

（1）政府のデジタル戦略の歴史

シンガポールでは、リー・シェンロン首相（当時）が、2014年に「スマート国家（ネーション）」構想^*1を公表し、2018年11月には、それを具体化するための「スマートネーション」戦略^*2が、公開されています。このスマート国家戦略は、2024年に「スマートネーション2.0 新たなビジョン」（Smart Nation 2.0: A Refreshed Vision）^*3としてアップデートされています。スマートネーション2.0では、私たちの未来を変革し、ともに国を形成するために、テクノロジーをより効果的に活用することに焦点を絞っています。そこでは、「成長」「コミュニティ」「信頼（トラスト）」が3つの主要目標とされています。これらの柱のもと、世界的善のための手段として技術の向上があげられています。

スマートネーションのもとでのイニシアチブとしては、人工知能（AI）、ビジネス・経済、ケアおよびサポート、移動および旅行、教育、政府サービス、健康、安全保障、スマートシティ、取引、新型コロナ技術対策ごとにあげられています。

また、このスマートネーション2.0では、デジタルインフラ法の創設が想定されています（後述）。

（2）デジタル政府の組織体制

シンガポールのデジタル政府構想と公共部門のデジタル変革は、シンガポール政府テクノロジー庁（GovTech）が主導しています。GovTechは、シンガポール政府の内部エンジニアリングおよびデジタル能力の構築と強化に重点を置いて2016年に設立されています^*4。この経緯のなかで、シンガポールは公共部門のエンジニアリング専門知識を強化し、新興技術における政府の能力を構築するために5つの能力センターを設立し、エンジニアリング人材の採用と能力構築にも注力してきました。また、アプリケーションを構築するためのより良く、よりスマートで、より迅速な方法を提供する国家戦略プロジェクト（SNP）としてシンガポール政府技術スタック（Singapore Government Tech Stack，SGTS）^*5が開発されています。SGTSは、開発プロセスを合理化・簡素化し、政府全体でコードの再利用を可能にするプラットフォーム・ツールのセットです（図表1）。

図表1：シンガポール政府技術スタック（SGTS）

2. シンガポールにおけるサイバーセキュリティに関する政策等の経緯

（1）サイバーセキュリティ戦略

シンガポールは、2016年にサイバーセキュリティ戦略^*6を初めて公表しました。しかしながら、破壊的な技術が登場する可能性があること、また、攻撃者はより巧妙になり、ますますユビキタスな接続性を利用してサイバー攻撃を仕掛けていること^*7から、シンガポール・サイバーセキュリティ戦略2021^*8へと新たに見直しがなされました。同戦略は、3つの戦略的柱（レジリエントなインフラの構築、より安全なサイバー空間の実現、サイバー国際協力の強化）と2つの基盤となるイネーブラー（活力あるサイバーセキュリティ・エコシステムの構築、強力なサイバー人材パイプラインの育成）で構成されています。その後、サイバーセキュリティ庁は、「サイバーセキュリティの風景（SINGAPORE CYBER LANDSCAPE 2023）」^*9という報告書を公表しています（2023年）。同報告書では戦略的柱と基礎的イネーブラーが示されており、そのうえで、レジリエンスの構築、セキュリティ課題への挑戦が記載されています。

また、2024年8月には、「シンガポールOTサイバーセキュリティマスタープラン」（Singapore’s Operational Technology (OT) Cybersecurity Masterplan）^*10が公表されています。同マスタープランは、OTシステムおよび技術を運用する部門のサイバーセキュリティ強化に向けた継続的な取り組みの一環として、人材、プロセス、テクノロジーの分野における最新情報を概説しています。

安全保障の局面においては、統合安全保障の6番目の柱としてデジタル防衛があげられています^*11。デジタル防衛は、「安全な」（セキュリティの習慣の良きプラクティス）、「注意を怠らない」（フェイクニュースや偽情報からの防護）、「責任ある」（コミュニティにおける行動のインパクトを考えよう）行動から成り立っています。

（2）政府機関およびサイバーセキュリティのための組織とポリシーの実施

シンガポールのサイバーセキュリティの中心的な政府機関は、シンガポール・サイバーセキュリティ庁（CSA）^*12になります。首相府の一部であり、通信情報省が管理しています。CSAはサイバー脅威のためにサイバー空間を継続的に監視し、シンガポールの住民に必要不可欠なサービスを継続的に提供できるよう、重要情報インフラ（CII）を保護・防御しています。また、CSAにはインシデント対応チームがあり、CIIに対する深刻なサイバー攻撃を調査し、封じ込め、修復する態勢を整えています。また、サイバーセキュリティ演習を定期的に実施し、攻撃があった場合に重要な部門が迅速かつ効果的に対応できるようにしています。さらに、CSAは、企業や個人のエンドユーザーにとってより安全なサイバースペースを構築する責任も担っています。

GovTechはシンガポール政府におけるサイバーセキュリティの部門リーダーであり、シンガポール政府の最高情報セキュリティ責任者はGovTechに置かれています。政府のデジタル構造の安全性とセキュリティを確保するため、GovTechのガバナンスグループは政府機関全体（WOG）のICTポリシーとガイドラインを設定しています。

サイバー・セキュリティ・グループ（CSG）^*13は、シンガポール政府のICT&SS（情報通信技術＆スマート・システム）を保護し、シンガポールに信頼されるデジタル政府を構築することを使命とする政府部門のサイバーセキュリティ主導機関です。

シンガポールの政府におけるサイバーセキュリティ体制を図示すると、以下の図表2のようになります。

図表2：シンガポール政府のサイバーセキュリティ体制

^{MDDI：Ministry of Digital Development and Information

MCCY：The Ministry of Culture, Community and Youth

MTI：The Ministry of Trade and Industry}

これは、CSAが独立した国家機関として政府のサイバーセキュリティの監視と規制を行っていること、また、各省庁等のリーダーとCSAとが緊密に連携していること、各機関の所有者は、サイバーセキュリティリスクを管理する責任があり、最前線における防御者および対応者であることを示しています。

（3）政府におけるセキュリティの実施

公的部門におけるセキュリティについては、情報通信省は、サイバーセキュリティ準備の確実化、オペレーション対応、コミュニティとの協力を柱として政策を推進しています。また、情報通信技術およびスマート・システム（ICT&SS）管理に関する政府指導マニュアル（IM）のうち、各省庁によるデータ・セキュリティの管理方法を規定する主要な方針を定めるものが、「政府セキュリティポリシー（Government Security policies）」^*14です。ポリシーは、セキュリティ上の脅威からデータを保護するための技術的・プロセス的措置を含むデータ・セキュリティ要件を規定しています。政府の情報システムは、サイバーセキュリティ法における重要情報インフラに該当します。また、重要情報インフラについては、行動規範（Code of Practice）^*15が定められています。

重要情報インフラについては、サイバーセキュリティ法においてセキュリティ監査およびリスク評価規定の定めが明示されています（15条）。少なくとも2年に1回（または、特定の場合には長官が指示するどちらか高い頻度）、長官が承認または任命した監査人により、重要情報インフラストラクチャが、同法に準拠していること、適用される行動規範および性能基準に準拠していることについての監査が実施されなくてはならず、また、年に1回、所定の書式および方法により、重要情報インフラのサイバーセキュリティリスク評価を実施する等とされています。また、政府は指導マニュアルに基づく監査の一環として政府システムに対する侵入テストを定期的に実施し、悪用される前に対処すべき脆弱性を特定しています。

（4）政府機関におけるインシデント対応

シンガポール・サイバーセキュリティ戦略においてインシデントレスポンスの重要性とそのための整備として悪意あるサイバー活動から保護・検出・対応・回復する機能を強化することがうたわれています。

シンガポール・サイバー緊急対応チーム（SingCERT）^*16は、組織的には、CSA内に存在しており、インターネット上のサイバーセキュリティ関連インシデントの検出、解決、防止を促進しています。また、各種類のインシデントに対しての対応するためのインシデントレスポンスプレイブック^*17、インシデントレスポンスチェックリスト、パスワードチェッカーを公表しています。

政府ITセキュリティ・インシデント・レスポンス（GITSIR）チーム^*18は、1997年に設立され、セキュリティの脆弱性や脅威に関するアラート、勧告、指示を積極的に公表し、最新かつ今後のサイバー脅威に対処するためのサイバーセキュリティのベストプラクティスを強調しています。GITSIRは、インシデント管理プロセスを用いて、インシデントの根本原因を特定し、各省庁に勧告を提供します。GITSIRは、各レポートをトリアージし、各ケースの重大性を確認し、関係者と調整し、影響を受ける機関に適切な行動をアドバイスします。また、フォレンジックおよびマルウェア分析を実施し、政府が将来の攻撃を防止するのを支援します。また、一度インシデントが発生した場合、すなわち、異常な活動やマルウェアの疑いを検出した省庁のユーザーまたはITチームは、その観察結果をGITSIRに報告しなければなりません。また、サイバーセキュリティ法には、インシデント対応に関するサイバーセキュリティコミッショナーの権限（例：改善措置の実施・感染コンピュータのネットワークからの切断・システム保有者への命令等の権限など）が、詳細に規定されています。

3. その他

（1）セキュリティにかかわる法律および規則とその動向

サイバーセキュリティ法

サイバーセキュリティ戦略を支える法的な枠組が、サイバーセキュリティ法^*19であり、2018年2月に制定されています。同法は、サイバーセキュリティコミッショナーの指定（同法4条）などの管理体制を定めた上で、サイバー攻撃に対する重要情報基盤（CII）の保護を強化する（7条ないし15条）、サイバーセキュリティの脅威やインシデントを防止し、対応するためのシンガポール・サイバーセキュリティ庁（CSA）の権限を付与する（19条ないし23条）、サイバーセキュリティ情報を共有するための枠組みを確立する、サイバーセキュリティサービスプロバイダーに対するライセンス枠組みを確立するという四つの柱を準備しています。

2024年5月に、シンガポールの国家サイバーセキュリティの維持、CIIの監視のための既存の法的枠組みを強化し、CSAの監督を拡大することを目指したサイバーセキュリティ法の改正^*20がなされました。改正事項として、コンピュータおよびコンピュータシステムの意味の拡張（仮想コンピュータシステムが含まれる）、CIIが依存する第三者が所有する不可欠なサービスプロバイダーに対する規制の導入、CII関連のより広範なサイバーセキュリティインシデントを報告するための規定の制定、3つの新規の規制対象システム／事業体（一時的なサイバーセキュリティ上の懸念（STCC）、特別サイバーセキュリティ利害関係者(ESCI)、主要基盤デジタルインフラサービスプロバイダー(FDIs）への規制の導入があります。

サイバーセキュリティのための国家的イニシアチブとしては、サイバーセーフ^*21、シンガポールコモンクライテリアスキーム^*22、サイバーセキュリティラベリングスキーム^*23などがあります。また、2024年の改正でCIIのためのサイバーセキュリティ監査（Cybersecurity Audit for CII）^*24、同リスク評価（Cybersecurity Risk Assessment for CII）^*25、医療機器のラベリング（Cybersecurity Labelling Scheme for Medical Devices, CLS(MD)）^*26が追加されています。

デジタルインフラ法の制定予定

シンガポールは、2025年に新たなデジタルインフラ法を導入する予定です^*27。これは既存のサイバーセキュリティ規制を補完するものであり、システム破壊の可能性を低減し、その影響を緩和するのに役立つのを目的としており、提案されている法律は、技術的な誤設定や、火災や冷却システムの故障といった物理的な危険など、デジタルインフラやサービスプロバイダーが直面する、より広範なセキュリティとレジリエンスに関する懸念に対処します。

（2）ガバメント・オン・コマーシャル・クラウド（GCC）^*28

シンガポール政府のクラウド利用に関して注目すべきは、ガバメント・オン・コマーシャル・クラウド・サービス（GCC）です。これは、商用のクラウド・コンピューティング・プラットフォームの最新の技術革新と能力を、機密性の低い政府システムに導入するものです。GCCは、クラウドサービスプロバイダーが提供する商用クラウドソリューションを採用するための一貫した手段を政府機関に提供する包括的なプラットフォームです^*29。現時点では、GCC1.0はGCC2.0として再設計されています。現在までに、600を超える政府のデジタル・サービスがGCCを利用しています。GCCを利用しているサービスの例としては、GoBusiness、GoBusiness Licensing Portal、Whole of Government Application Analytics (WOGAA)、SHIP-HATSなどがあります^*30。

（3）ゼロアーキテクチャへの取り組み^*31

サイバーセキュリティ戦略は、ゼロトラスト原則を政府に適合させる政府トラストベースのアーキテクチャー（GTbA）を実装しています。ガバメント・ゼロ・トラスト・アーキテクチャー（GovZTA）は、シンガポール政府がゼロトラストを導入するためのフレームワークを提供するもので、"never trust, always verify"という基本原則に基づいています。

GovZTAは、政府全体への採用に向けて評価中です。その一方で、政府製品チームや各省庁の最高情報セキュリティ責任者（MCISOおよびACISO）などの利害関係者との緊密な協力を通じて、ゼロ・トラスト・ポリシーの策定と機能構築が進行しています。

（4）スマートネーションとAI

シンガポールにおけるAIの採用・発展については、国家AI戦略（2019）、モデルAIガバナンス枠組（2019）^*32などをもとに発展していました。その後、2023年には、国家AI戦略2.0^*33が公表されています。この全体像を示したのが図表3であって、AIが必要品になっていること、世界的になっていること、システム化しているという認識のもと、優秀さとエンパワーメントという目標をあげ3つのドメインにおける発展目標を示しています。

図表3：国家AI戦略2.0の全体像

また、AIの安全な利用に関しては、従来から、AI verifyという仕組みを提唱し、運用してきました^*34。また、さらにセキュリティに関して、サイバーセキュリティ庁は、2024年10月に、「AIシステムの安全化（Securing AI Systems）」という文書と附属ガイド^*35を公表しています。これらは、AIの使用に関連する潜在的なセキュリティリスクを特定し、AIライフサイクルの各階でセキュリティリスクを軽減するためのガイドラインであり、また、ガイドラインを実装する際に考慮できる実用的なセキュリティ管理対策をまとめたものです。

生成AIへの対応という観点からは、生成AIについてのモデルガバナンスフレームワーク^*36が公表されています。

4. 日本企業への示唆

シンガポールのサイバーセキュリティやAIへの取り組みは、グローバルで先進的な取り組みを行う国と共通点も多く、近年では米国や欧州と同様に政府機関へのインシデント報告義務の整備などが進んでいます。

またシンガポールは医療産業に力を入れており、医療向け機器ラベリング制度などで先進的な試みを行っています。日本でも医療機器向けに類似のラベリング制度のような動きが出る可能性があるため、医療機器のサプライチェーンに関係する企業は注視が必要です。

^*1このような構想以前にも、シンガポールの情報通信をもとにした国家プランの歴史は、古くは、IT2000構想（1992）、infocomm 21（2000）、e政府アクションプラン1およびⅡ（2000-2006）、コネクテッドシンガポール（2003）、インテリジェント国家（2006）、iGov2010（2006）、eGov（2015）などのプロジェクトが存在しました。

^*2https://www.smartnation.gov.sg/files/publications/smart-nation-strategy-nov2018.pdf（2025年1月31日閲覧）

^*3https://www.smartnation.gov.sg/sn2/（2025年1月31日閲覧）

^*4https://www.developer.tech.gov.sg/（2025年1月31日閲覧）

^*5https://www.developer.tech.gov.sg/singapore-government-tech-stack/（2025年1月31日閲覧）

^*6https://www.csa.gov.sg/Tips-Resource/publications/2016/Singapore-Cybersecurity-Strategy（2025年1月31日閲覧）

^*7このようなサイバー脅威の変動、標的となるシンガポールなどの観点から分析したのが、サイバー風景2020（Singapore Cyber Landscape 2020）です（https://www.csa.gov.sg/resources/publications/singapore-cyber-landscape-2020）（2025年4月3日閲覧）。

^*8https://www.csa.gov.sg/resources/publications/the-singapore-cybersecurity-strategy-2021（2025年1月31日閲覧）

^*9https://www.csa.gov.sg/resources/publications/singapore-cyber-landscape-2023（2025年1月31日閲覧）

^*10https://www.csa.gov.sg/Tips-Resource/publications/2024/operational-technology-cybersecurity-masterplan-2024（2025年1月31日閲覧）

^*11https://www.mindef.gov.sg/total-defence/about/the-pillars-of-total-defence#gsc.tab=0（2025年1月31日閲覧）

^*12https://www.csa.gov.sg/（2025年1月31日閲覧）

^*13https://www.tech.gov.sg/cyber-security-group（2025年1月31日閲覧）

^*14https://www.smartnation.gov.sg/files/publications/government-data-security-policies.pdf（2025年1月31日閲覧）

^*15https://www.csa.gov.sg/legislation/codes-of-practice（2025年1月31日閲覧）

^*16https://www.csa.gov.sg/Explore/who-we-are/our-identity/about-singcert（2025年1月31日閲覧）

^*17https://www.csa.gov.sg/Tips-Resource/Resources/singcert/incident-response-playbooks（2025年1月31日閲覧）

^*18https://www.tech.gov.sg/products-and-services/gitsir/（2025年1月31日閲覧）

^*19https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312（2025年1月31日閲覧）

^*20https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312

^*21サイバーセーフは、デジタル領域で自らを守り、サイバーセュリティを強化できるように支援する一連のプログラムです。上述のようにリスク管理の部門としてのサイバーセキュリティ、サイバーセキュリティヘルスプラン、競争的優位にするサイバーエッセンシャル、サイバートラストから成り立っています。

^*22コモンクライテリア（CC）などの国際基準に基づいて製品を評価・認証する製品保証のための制度であり、攻撃対象領域を減らすセキュリティ・バイ・デザイン・アプローチの一部です。https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/singapore-common-criteria-scheme（2025年1月31日閲覧）

^*23サイバーセキュリティ・ラベリング制度（CLS）は、スマート消費者製品のサイバーセキュリティの総合的な保護レベルを設定し、高めることによって、モノのインターネット（IoT）をより安全にすることを目的として、ETSI EN 303 645 – Cyber Security for Consumer Internet of Thingsを引用して対象商品を四つのティアに分類し、製品が達成したサイバーセキュリティの保証レベルを示しています。

^*24https://www.csa.gov.sg/faqs/cybersecurity-audit-cii（2025年1月31日閲覧）

^*25https://www.csa.gov.sg/faqs/cybersecurity-risk-assessment（2025年1月31日閲覧）

^*26https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cls-md/about（2025年1月31日閲覧）

^*27https://file.go.gov.sg/smartnation2-report.pdf（2025年1月31日閲覧）

^*28*https://www.smartnation.gov.sg/files/press-releases/2018/commercial-cloud-factsheet.pdf（2025年1月31日閲覧）

^*29https://www.tech.gov.sg/products-and-services/for-government-agencies/software-development/government-on-commercial-cloud/（2025年4月3日閲覧）

^*30https://www.developer.tech.gov.sg/products/categories/infrastructure-and-hosting/gcc/use-cases（2025年1月31日閲覧）

^*31https://www.developer.tech.gov.sg/guidelines/standards-and-best-practices/government-zero-trust-architecture.html（2025年1月31日閲覧）

^*32その後、2020年に第2版が公表されています。

^*33https://file.go.gov.sg/nais2023.pdf（2025年1月31日閲覧）

^*34https://aiverifyfoundation.sg/（2025年1月31日閲覧）

^*35https://www.csa.gov.sg/Tips-Resource/publications/2024/guidelines-on-securing-ai（2025年1月31日閲覧）