技術的視点からの等級保護2.0データセキュリティ要件

中国国内で運用されるシステムは中国サイバーセキュリティ法に定められた等級保護2.0というセキュリティとガバナンスの基準に沿っているか、第三者機関から認証を受ける必要があります。
この等級保護については、コンサルティングファームが法律的な観点から等級保護に関連したペーパーを出しているのはよく見かけるのですが、技術的な視点から何をすべきなのか、という情報がかなり限られているのが現状です。

等級保護は罰則規定があって、既に日系企業も含めて罰則が適用されている。では、どうするんだ、という情報があまりにも少なく、コンサルティング会社や弁護士事務所に聞いても、あとは現地のシステム会社に相談してください、となってしまいます。

ここでは、中国のサイバーセキュリティコミュニティ界隈で語られている技術的な観点からの等級保護について、関連する国家標準(JISみたいなもの)との対照しながら、具体的に何をすべきなのか、まとめていきたいと思います。

ちなみに、具体的にどんなプロダクトで対応すればいいのか、ということにブレークダウンした情報をご希望の方は、アリババクラウドの等級保護ホワイトペーパーが非常に良くできていますので、ご参考ください。(英語版のみ・無料)

Download Free Whitepapers and Bring Success to Your Business - Alibaba Cloud

はじめに

2017年に施行された中国の「サイバーセキュリティ法」では、「国家はサイバーセキュリティレベルの保護システムを実施しなければならない」（第21条）と明記されており、以下のようになっています。
"国は、破損、機能喪失、データ漏洩が発生した場合に国家安全保障、国民生活、公共の利益を著しく損なう可能性のある重要情報基盤に対して、サイバーセキュリティレベルの保護システムに基づいて、保護を実施する"（第31条）としています。

先日発表された中国データセキュリティ法の第2次草案では、第1次草案のハイライトの1つだった等級保護制度の明示が追加されています。 階層化された等級保護2.0には多数の規格が含まれており、一方でデータセキュリティや個人情報保護に関しても規制要件が含まれています。 

本稿では、等級保護2.0の3つの規格、すなわち「情報セキュリティ技術ネットワークセキュリティレベル保護分類ガイド」（GB/T 22240-2020）、「情報セキュリティ技術ネットワークセキュリティレベル保護測定要求」（GB/T 28448-2019）、「情報セキュリティ技術ネットワークセキュリティレベル保護セキュリティ設計技術要求」（GB/T25070-2019）を取り上げ、データセキュリティと個人情報保護関連の要求事項に関する抜粋、および技術的側面に関する解釈を参考にしています。

GBT28448-2019信息安全技术网络安全等级保护测评要求.pdf

2691252 Bytes

ファイルダウンロードについて

ダウンロード

GBT22240-2020信息安全技术网络安全等级保护定级指南.pdf

4334385 Bytes

ファイルダウンロードについて

ダウンロード

GB∕T 25070-2019 信息安全技术网络安全等级保护安全设计技术要求.pdf

6080646 Bytes

ファイルダウンロードについて

ダウンロード

等級の定義について

「情報セキュリティ技術ネットワークセキュリティレベル保護分類ガイド」（GB/T 22240-2020）では、保護対象システムの被害の程度に応じて5段階に分けており、その影響の度合いを反映した段階に応じたセキュリティ対策を講じることが、等級保護制度となります。（第4.1　セキュリティ保護レベルより）

レベル1：階層的な保護対象の破壊により、関係する市民、法人、その他の組織の合法的な権利や利益に一般的な損害を与えるが、国家の安全、社会秩序、公共の利益を危険にさらすことはない。

レベル2：階層的保護対象の破壊により、関係する国民、法人その他の団体の正当な権利・利益に重大な損害を与えるか、特に重大な損害を与えるか、社会秩序や公共の利益に害を与えるが、国家の安全には影響しない。

レベル3：階層的な保護対象の損傷により、社会秩序や公共の利益、あるいは国家の安全に重大な損害を与える。

レベル4：階層的な保護対象の損傷により、社会秩序や公共の利益に特に重大な損害を与えるか、または国益に重大な損害を与える。

レベル5：当該保護レベルの対象物の損傷により、国家安全保障に特に重大な損害を与えるもの。

この等級は中国の全ての組織・法人が対象となっており、街角のラーメン屋などはレベル１となりますが、多くの取引先を抱える企業(日本から進出しているメーカーや商社、貿易会社など)の大半はレベル2となることが多いです。
また、取引先に国家機関や行政機関、電力などのインフラの顧客がいる様な場合はレベル3以上を求められるケースがあります。
最終的にレベル判定は等級保護認定機関の助言に従うことになりますので、等級保護の申請を行う前に等級保護認定機関とのコミュニケーションをお勧めします。

等級保護における個人情報保護とデータセキュリティ領域における技術的な対応

GB/T 22240-2020「情報セキュリティ技術ネットワークセキュリティレベル保護分類ガイド
GB/T 22240-2020 《信息安全技术 网络安全等级保护定级指南》

第3節 用語と定義
3.2 階層的な保護の対象
定義：サイバーセキュリティ等級保護の対象
ポイント：主に情報システム、通信ネットワーク設備、データリソースが対象。

<データセキュリティ要件/ベンチマーク技術>
等級保護1.0で「情報および情報システム」から「情報システム、通信ネットワーク設備およびデータリソース」に変更。

第5節 分類対象
5.1 情報システム
5.1.1 分類オブジェクトの基本特性
等級の対象となる情報システムは、以下の基本的な特性を有していなければならない。

a) 定義された主要なセキュリティ責任主体を持つこと。
b) 相対的に独立したビジネスアプリケーションの遂行
c) 相互に関連する複数のリソースを含んでいること。

注：主なセキュリティ責任対象者には、企業、機関、施設などの法人や、法人格を持たない社会集団などのその他の組織が含まれますが、これらに限定されません。

<データセキュリティ要件/ベンチマーク技術>
等級保護 1.0と比較すると、説明文がほぼ完全に更新されています。
等級保護2.0は、ネットワークインフラ、重要な情報システム、大規模なインターネットサイト、大規模なデータセンター、クラウドコンピューティングプラットフォーム、モノのインターネットシステム、産業用制御システム、公共サービスプラットフォームなど、すべてを等級保護の対象として、保護対象が拡大しています。

第5節 評定対象の決定
5.3 データリソース

データリソースは独立して等級認定することができます。
セキュリティ責任対象が同一の場合、ビッグデータとビッグデータプラットフォーム/システムを全体の対象として分類することが適切であり、セキュリティ責任対象が異なる場合、ビッグデータは独立して分類されるべきである。

<データセキュリティ要件/ベンチマーク技術>
データ・セキュリティの重要性は、データ・リソースを独立して分類するかどうかの判断が、責任を負うべき主体が同じかどうかに基づいて行われることがあるという事実に示されています。

第7節 セキュリティ保護レベルの決定
データ資源については、その規模や価値、国家安全保障、社会秩序、公共の利益、およびそれらが損なわれた場合の市民、法人、その他の組織の正当な権利や利益への侵害の度合いなどを考慮して、セキュリティ保護レベルが決定される。 大量の市民の個人情報を含み、市民に公共サービスを提供するビッグデータプラットフォーム/システムのセキュリティ保護レベルは、原則として第3レベルより低くしてはならない。

<データセキュリティ要件/ベンチマーク技術>
データ資源およびデータ資源に基づくビッグデータプラットフォーム/システムについては、大量の市民の個人情報が関与する場合、等級保護の第三級が要件であることが明記されています。

GB/T 28448-2019 「情報セキュリティ技術ネットワークセキュリティレベル保護測定要件
GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》

7 ：等級保護第2級
7.1 セキュリティ測定に関する一般的な要求事項
7.1.4 安全なコンピューティング環境
7.1.4.7 データ完全性
7.1.4.8 データバックアップリカバリー
7.1.4.10 個人情報の保護
7.1.4.10.1 測定モジュール（L2-CES1-22
認定基準：業務上必要なユーザーの個人情報のみを収集・保管する。
7.1.4.10.2 測定ユニット（L2-CES1-23
認定指標：ユーザーの個人情報への不正アクセスや不正使用を禁止する。

<データセキュリティ要件/ベンチマーク技術>
個人情報の収集・保存には、必要最小限の原則が適用されます。
個人情報へのアクセスおよび利用は、許可を得た上で、法令の範囲内で行うものとします。

7：等級保護第二級
7.2 クラウドコンピューティングのセキュリティ測定拡張要件
7.2.4 安全なコンピューティング環境
7.2.4.3 データの整合性と機密性
7.2.4.3.1 測定モジュール(L2-CES2-05)
認定基準： クラウドサービスの顧客データ、ユーザーの個人情報などが中国国内に保管されていることを確認し、国外に持ち出す必要がある場合は、関連する国の規制に従うものとする。
7.2.4.3.2 測定モジュール(L2-CES2-06)
認定基準： クラウドサービスプロバイダーまたは第三者が、クラウドサービス顧客の承認の下でのみクラウドサービス顧客のデータを管理する権限を有することを保証するものとする。
7.2.4.3.3 測定単位（L2-CES2-07
認定基準：仮想マシンの移行時に重要なデータの整合性を確保し、整合性の違反が検出された場合には必要な回復措置を講じることとする。
7.2.4.4 データバックアップの回復

<データセキュリティ要件/ベンチマーク技術>
データ保存、データの越境移転への規制
クラウドコンピューティングにおける顧客データやユーザーの個人情報は、中国国内で保存されなければなりません。
データの越境は、国が定めるの規制に従うものとします。

7.2.4.3の技術的要求事項
認可・監督技術を用いて、クラウドサービスプロバイダー/サードパーティを認可し、ユーザーから認可を得てユーザーデータを管理する。
暗号化技術は、クラウドに保存されたデータを暗号化して保存するために使用されます。
ハッシュ化技術は、重要なデータの完全性を検証するために使用されます。 ミラーレプリケーション技術を用いて、重要なデータのバックアップとリカバリーを実現すること。

8：等級保護第３級
8.1 セキュリティ測定法に関する一般的な要求事項
8.1.4 安全なコンピューティング環境
8.1.4.2 アクセスコントロール
8.1.4.2.4 測定モジュール(L3-CES1-08)
評価基準：管理者ユーザーの特権分離を実現するために必要な最小限の特権を付与すること。
8.1.4.2.6 測定単位（L3-CES1-10)
評価基準：アクセス制御の粒度は、対象物についてはユーザーレベルまたはプロセスレベル、対象物についてはファイルおよびデータベースのテーブルレベルであること。
8.1.4.8 データの機密性
8.1.4.8.1 測定モジュール(L3-CES1-27)
評価基準：認証データ、重要な業務データ、重要な個人情報など、伝送中の重要データの機密性を確保するために、暗号技術を使用すること。
8.1.4.8.1 測定モジュール(L3-CES1-27)
評価基準： 識別データ、重要な業務データ、重要な個人情報など、保存中の重要なデータの機密性を確保するために、暗号技術を使用すること。
8.1.4.9 データバックアップの復元
8.1.4.11 個人情報の保護

<データセキュリティ要件/ベンチマーク技術>
8.1.4.2 アクセスコントロール測定モジュールにおける関連技術。
ユーザーに管理者権限を与えるための権限管理技術を使用すること。
アクセスコントロール技術を用いて、ユーザーのきめ細かなデータベースやファイルのアクセスコントロールを実現すること。

8.1.4.8 データ機密性の測定単位における関連技術。
暗号化技術を使用して、データ伝送の保存可能なプロセスのセキュリティを達成する。

8 ：等級保護第３級
8.2 クラウドコンピューティングのセキュリティ測定拡張要件
8.2.4 安全なコンピューティング環境
8.2.4.4 ミラーとスナップショットの保護
8.2.4.4.3 測定モジュール（L3-CES2-09)
認定基準： 仮想マシンイメージおよびスナップショット内の潜在的に機密性の高いリソースが不正にアクセスされることを防止するために、暗号化またはその他の技術的手段を使用すること。
8.2.4.5 データの整合性と機密性
8.2.4.5.4 測定モジュール(L3-CES2-13)
認定基準： クラウドサービス加入者が、データの暗号化および復号化プロセスを自ら実施することを保証するために、鍵管理ソリューションの導入をサポートすること。

<データセキュリティ要件/ベンチマーク技術>
クラウドサービスにおけるデータの機密性を確保するための暗号化技術の使用。
データベース暗号化技術を用いて、暗号文の管理権限とデータベースの権限を分離することで、クラウドサービスの顧客による自己管理の目的を実現しています。
鍵管理技術を用いて、鍵の分散管理を実現し、クラウドサービスの利用者がデータの暗号化・復号化サービスを自分で制御できるようにする。

付録B ビッグデータ領域で参考とすべきセキュリティ評価方法
B.2 等級保護第２級におけるセキュリティ評価方法
B.2.3 安全なコンピューティング環境
B.2.3.6 テストモジュール（BDS-L2-06)
評価基準：ビッグデータプラットフォームは、静的なプライバシー情報の除去および非識別化のためのツールまたはサービスコンポーネント技術を提供すること。
B.2.3.7 測定ユニット（BDS-L2-07)
評価基準：一般市民にサービスを提供するビッグデータプラットフォームは、プラットフォームまたは第三者が、ビッグデータアプリケーションの承認の下でのみ、ビッグデータアプリケーションのデータリソースにアクセスし、使用し、管理することができる。

<データセキュリティ要件/ベンチマーク技術>
安全なデータ配信のための静的なプライバシー情報除去と非識別化技術の採用。
認監督とアクセス制御技術を活用して、不正なデータ分析を防ぐ。

付録B ビッグデータ領域で参考とすべきセキュリティ評価方法
B.3 等級保護第３級のセキュリティ評価方法
B.3.3 安全なコンピューティング環境
B.3.3.8 測定モジュール（BDS-L3-08)
認定基準：ビッグデータプラットフォームは、ビッグデータアプリケーションがデータの異なるカテゴリレベルに対して異なるセキュリティ保護措置を取るために、データの分類と等級付けのセキュリティ管理機能を提供しなければならない。
B.3.3.11 評価モジュール（BDS-L3-11)
認定基準：重要なデータインタフェースおよび重要なサービスインタフェースを含む呼び出しは、データ処理、使用、分析、輸出、共有、交換およびその他の関連操作を含むがこれらに限定されない、アクセス制御を実装しなければならない。
B.3.3.13 測定モジュール（BDS-L3-13)
認定基準： データの収集、処理、分析、および採掘のプロセスは、トレーサビリティデータが対応するプロセスを再現できること、およびトレーサビリティデータがコンプライアンス監査の要件を満たしていることを保証するために、追跡および記録されなければならない。

<データセキュリティ要件/ベンチマーク技術>
データの分類と等級付けの技術を使用して、異なるレベルのデータの差分保護を実現すること。
重要なデータを使用する場合、認証およびアクセス制御技術を使用して、そのようなデータへの安全なアクセスが求められている。
データ処理記録のログ・トレーサビリティーについては、知識グラフ技術が活用可能と考えられる。
ブロックチェーン技術は、セキュリティ監査の要件に対応し、ログ記録の悪意ある改ざんを防ぐために使用することができます。

付録B ビッグデータ領域で参考とすべきセキュリティ評価方法
B.3.4 安全なデプロイメントと管理
B.3.4.3 測定モジュール(BDS-L3-03)
評価基準： データ交換および共有の受領者は、データ保護の責任を明確に拘束し、受領者が適切または同等のセキュリティ保護能力を有することを保証する。

<データセキュリティ要件/ベンチマーク技術>
データの共有と交換のシナリオでは、受信者は適切なセキュリティを持つことが要求されます。 それは、セキュリティの責任を転嫁することと同じです。難しいのは、データ受信者が十分なセキュリティ保護を受けていることをどのように確認し、評価するかということです。
フェデレーション・ラーニングやセキュア・マルチパーティ・コンピューティング技術を用いることで、データの機密性を保護しつつ、データの共有や利用を可能にすることができます。

付録B ビッグデータ参照可能なセキュリティ評価方法
B.3.5 セキュリティの運用・保守管理
B.3.5.2 測定モジュール(BDS-L3-02)
評価基準： データの分類および分類保護に関する方針を策定および実施し、データの異なるクラスレベルに対して異なるセキュリティ保護対策を策定する。
B.3.5.3 評価モジュール（BDS-L3-03)
評価基準：データの分類と等級付けに基づいて、重要なデジタル資産の範囲を分け、重要なデータの自動鈍感化または非識別化の利用シーンと業務処理プロセスを明確にすること。

<データセキュリティ要件/ベンチマーク技術>
データの分類と等級付けの技術を使用して、異なるレベルにおけるデータの差別的な保護を実現すること。
静的なセンシティブデータの無効化と非識別化技術を用いた分類とグレーディングに基づく安全なデータ配信が必要になります。

GB/T 25070-2019 「情報セキュリティ技術 ネットワークセキュリティ等級保護のセキュリティ設計技術要件」
GB/T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》

付録C ビッグデータ設計のための技術的要件
C.3 等級保護第２級

C.3.1 ビッグデータシステムのための安全なコンピューティング環境の設計に関する技術的要件
a) トラステッドアクセスコントロール
ビッグデータへのアクセスに対する信頼される検証メカニズムが提供され、ビッグデータへのアクセス、処理、使用の動作に対してきめ細かな制御が提供され、対象物に対して信頼される検証が提供されること。
b) データの機密性の保護
機密データのセキュリティを確保するために、データの鈍感化や非識別化などのメカニズムを提供し、技術的な手段を用いて不正なデータ分析を防止することが必要です。
c) 残存情報の保護
ビッグデータアプリケーションのためのデータ破壊メカニズムを提供し、破壊方法と破壊要件を明確にする必要があります。

<データセキュリティ要件/ベンチマーク技術>
データ訪問者の認証を実現するために、認証技術を使用すること。
データ訪問者の認可された監督を実現するための認可監督メカニズムの使用。
アクセスコントロール技術を使用して、データ訪問者へのきめ細かな認可されたアクセスを実現することです。
データ鈍化および非識別化技術を用いて機密データの公開を確保すること
ディファレンシャル・プライバシー技術を用いて、機密データがディファレンシャル・クエリ攻撃に耐えられることを保証する可能性がある。
不正なデータ解析を防ぐために、アクセスコントロール＋権限規制の仕組みを活用する。
フェデレーション・ラーニングとセキュアなマルチパーティ技術を用いて、機密データのデータ分析も検討の価値があると思われます。
データセキュリティ消去技術を用いてデータを確実に破壊すること。

付録C ビッグデータ設計のための技術的要件
C.4 等級保護第3級

C.4.1 ビッグデータシステムのための安全なコンピューティング環境の設計に関する技術的要件
a) 信頼できるアクセスコントロール
C.3.1 に追加： 階層的な分類をビッグデータに適用し、データの収集、保管、処理、使用のライフサイク ル全体を通して、階層的な分類ポリシーの一貫性を確保する。
b) 残存情報の保護
ビッグデータ活用のために、データの階層的な分類に基づくデータ破壊メカニズムを提供し、破壊方法と破壊要件を明確にすること。
c) データのトレーサビリティー
技術的手段を用いて、機密情報、個人情報、その他の重要なデータのデータトレーサビリティを実現すること。
d) 個人情報保護について
業務上必要な個人情報のみを収集し、収集した情報は保護すること。

<データセキュリティ要件/ベンチマーク技術>
分類・評定技術を用いたビッグデータの分類が求められます。
データセキュリティ消去技術を用いて、データの分類とグレーディングに基づいてデータを確実に破壊すること。
ナレッジマッピング技術やトレーサビリティー解析技術を用いた、機密情報や個人情報のデータトレーサビリティーの実施。

付録C ビッグデータ設計のための技術的要件
C.5 等級保護第4級
C.5.1 ビッグデータシステムのための安全なコンピューティング環境の設計に関する技術的要件
b) データの機密性の保護
機密データの安全性を確保するために、データの鈍感化や非識別化などのメカニズムを提供すること、データ保存の安全性を確保するためにデータの暗号化保護メカニズムを提供すること、不正なデータ分析を防止するための技術的手段を使用すること。

<データセキュリティ要件/ベンチマーク技術>
データを安全に保存するための暗号化技術の使用。
暗号化キーの管理と配布を実現するために、キーマネジメント技術を提供する必要がある可能性がある。