中国「情報セキュリティ等級保護」制度と認証取得対応事例の紹介

「情報セキュリティ等級保護」制度の概要

(1)制度の概念

中国政府が推進する情報セキュリティ等級保護制度(以降、「等級保護」)は、国家秘密情報、国民・法人・その他組織に関連する固有情報や公開情報、これらの情報を保管・伝送・処理する情報システムについて等級分類を行い、その程度に応じて企業等にセキュリティ対応を促すものです。企業は、自社が該当する等級をふまえたセキュリティ管理を徹底し、情報セキュリティインシデント（情報セキュリティに関する事故・事件）にも適切に対応できるよう各種の準備を行うことが求められます。

(2)導入までの背景

等級保護に関する重要政策の推移は図表1のとおりです。2016年にサイバーセキュリティ法が発布されて以降、等級保護に関する政府部門の検査・監督は大幅に強化されています。

(3)等級分類の考え方

企業が有する各種情報・システムの等級は、万が一システムがハッカーに改ざんされるなどした場合の「損害対象（誰が損害を受けるか）」「損害程度（どの程度損害を受けるか）」の2つの要素より決定されます。等級分類の判断指標は、図表2のとおりです。

なお、等級分類を行う際の「損害程度」については、定量的な要件は定められておらず、正確に自社の等級を把握することが難しいといえます。自社の等級を判断する場合は、図表3が参考になります。金融やインフラ系の業種を除けば、一般的な企業は2級（3級）に該当するケースがほとんどです。

（注２）
「小型私営」：中小企業やベンチャー企業に相当する事業者
「郷鎮」　　：市町村に相当する行政区分
「県級」　　：都道府県に相当する行政区分
「地市級」　：「県級」の上位に位置する行政区分
「地方市級」：県レベルの大都市に相当する行政区分

(4)対応フロー

国家標準（GB）（注３）では、実施主体・対象に基づき、等級保護（認証取得）の対応フロー（5ステップ）が定められています。各ステップにおける対応は図表4のとおりです。
（注３）中国政府が定めた製品やサービスの基準（Guo Biao）、日本では「JIS」に相当

(5)セキュリティ要求

セキュリティ要求は、主に技術面と管理面に区分されます。等級が上がるにつれて、要求項目が増え、要求レベルが高くなります。1～3級の情報システムに求められる要求は図表5のとおりです。

(6)処罰事例

サイバーセキュリティ法の施行以降、各地の公安機関による定期的な取り締まりも強化されており、図表6のような処罰事例も発生しています。

インターリスク上海における認証取得体験レポート（等級保護2級）

以下は、インターリスク上海が等級保護への対応が必要であることを認識してから、2級の認証を取得するまでの体験レポートです。全体を4つのステップに分け、各ステップでどういう対応を実施したか、外部業者のサポートを要したか、どの程度の費用が発生したかについても併せて説明します。

＜ステップ２＞評価機関による審査

＜ステップ３＞ 不備の是正

＜ステップ４＞再審査～認証取得

当事者の視点からみた等級保護対応のポイント

本章では、インターリスク上海における等級保護2級の認証取得体験を通じ、企業が等級保護対応を進める際に注意すべきと感じたポイントを整理します。

(1) 実施目的を明確にする

等級保護対応と同時に「ネットワークセキュリティレベルの向上を図りたい」「既存システムを統合したい」と考える企業も少なくないと思われます。しかし、等級保護対応を実施する際に、複数の目的を同時に達成しようとすると、対応すべき事柄が複雑になり、認証取得のハードルが過度に高くなるおそれがあります。したがって、「等級保護の認証取得」にフォーカスして取り組む必要があると感じました。

(2) すべての情報・システムを評価の対象とする

企業が取り扱う情報・システムの等級に応じ、個別評価を行うことが国家標準で求められています。等級保護対応の最初のステップとして、自社が有する情報・システムをすべて洗い出し、等級分類の自社判断を進める必要があるといえます。万が一、対象とする情報・システムに抜け漏れがあると、せっかく等級保護対応を進めているにもかかわらず、認証取得に向けた各種対応が無効となるおそれもあるため、注意が必要です。

(3) コンサル業者を活用する

インターリスク上海は当初、自社で等級保護対応を進めていましたが「不適合項目をどう改善すればいいか（どの程度まで対策すれば合格できるか）分からない」といった課題に直面しました。やみくもに対応を進めると、時間や費用が積み重なり、必要以上のリソースを消費してしまう可能性も考えられます。したがって、初めて等級保護対応を行う際は、早い段階より豊富な知見を有するコンサル業者を活用することが望ましいです。なお、起用するコンサル業者により、対応に要する費用（改善対策として購入する製品等も含む）も異なるため、複数社の提案内容を事前に確認する必要があります。

(4) 自社にて対応可能な範囲を広げる

等級保護対応は一度認証を取得すれば、それ以降の対応が不要となるというものではありません。2級の情報・システムであれば、2年に1回評価を実施することが国家標準で求められています（要求事項は初回評価時と同様）。今後の対応まですべてコンサル業者に委託すると、外注コストが中長期的に発生することとなります。そこで、このような状況を回避するため、自社の担当者を等級保護対応に関与させて、社内に等級保護対応のノウハウを蓄積することにより、2回目以降の対応を想定し、自分たちで対応可能な範囲を広げることが重要であると感じました。これにより、外注に係る費用を最小限に抑えることが可能となります。

＜参考資料＞

·《信息安全等级保护管理办法》 https://www.gov.cn/gzdt/2007-07/24/content_694380.htm
·国家标准清单：
GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南
GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南
GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求
GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南
GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求
GB/T 36959-2018 信息安全技术 网络安全等级保护测评机构能力要求和评估规范
GB/T 36627-2018 信息安全技术 网络安全等级保护测试评估技术指南
GB 17859-1999 计算机信息系统 安全保护等级划分准则
·测评公司目录：网络安全等级保护网 https://www.djbh.net/agency?q=agencyIn&tab=2
·处罚案例：广州市人民政府公共服务、腾讯网北京市昌平区委宣传部官方账号
https://www.gz.gov.cn/zwfw/zxfw/ggfw/content/post_9129540.html
https://new.qq.com/rain/a/20230913A05GBX00

MS&ADインターリスク総研株式会社発行の中国風険消息＜中国関連リスクニュース＞2024 No.4を基に作成したものです。