Comments
Description
Transcript
平成24年度アジア域内の知識経済化のためのIT活用等
経済産業省 商務情報政策局 情報セキュリティ政策室 「平成 24 年度アジア域内の知識経済化のための IT 活用等支援事業」 (ASEAN スキームを活用した東南アジア情報セキュリティ機関 構築プロジェクトに向けた事前調査) 調査報告書 平成 25 年 3 月 29 日 有限責任監査法人トーマツ 目次 1. 2. はじめに .......................................................................................................................... 1 1.1. 調査の背景及び目的................................................................................................. 1 1.2. 日 ASEAN 関係と本調査の意義 .............................................................................. 1 1.3. 調査によって得られた所見...................................................................................... 2 調査概要 .......................................................................................................................... 4 2.1. 調査全体像 ............................................................................................................... 4 2.2. 調査手法の概要 ........................................................................................................ 5 2.3. 各調査・検討の概要................................................................................................. 6 2.3.1. 情報セキュリティに係る既存の国際機関に関する調査................................... 6 2.3.2. 東南アジアにおける情報セキュリティに関する動向調査 ............................... 6 2.3.3. 東南アジアにおける情報セキュリティに係る国際機関に対するニーズや位置 づけに関する検討............................................................................................................ 6 2.4. 2.4.1. ラウンドテーブルの設置と構成員 ................................................................... 7 2.4.2. ラウンドテーブルの活動 .................................................................................. 7 2.5. 3. ラウンドテーブル .................................................................................................... 7 調査スケジュール .................................................................................................... 8 2.5.1. 調査スケジュール全体...................................................................................... 8 2.5.2. 海外現地調査スケジュール及び訪問先 ............................................................ 9 2.5.3. 国内ニーズ調査スケジュール及び訪問先 ...................................................... 10 情報セキュリティに係る既存の国際機関に関する調査 ................................................ 11 3.1. 調査対象 .................................................................................................................. 11 3.2. 調査項目 ................................................................................................................. 12 3.3. 調査手法 ................................................................................................................. 12 3.4. 調査結果 ................................................................................................................. 13 3.5. ASEAN ICT Master Plan2015(AIM2015) ...................................................... 15 3.5.1. 東南アジアにおける情報セキュリティ政策の基礎 ........................................ 15 3.5.2. マスタープラン策定の背景 ............................................................................ 15 3.5.3. ASEAN ICT Masterplan 2015 (AIM 2015)の概要 ....................................... 15 3.5.4. ASEAN CERT Incident Drill........................................................................ 18 3.6. 情報セキュリティに係る既存の国際連携機関 ...................................................... 19 3.6.1. ENISA ............................................................................................................ 19 3.6.2. ANSAC ........................................................................................................... 24 3.6.3. APCERT ......................................................................................................... 27 3.6.4. APEC-TEL SPSG .......................................................................................... 36 4. 3.6.5. ARF ................................................................................................................ 42 3.6.6. ASEAN CERT................................................................................................ 52 3.6.7. IWWN ............................................................................................................ 55 3.6.8. Meridian Process ........................................................................................... 58 3.6.9. IMPACT ......................................................................................................... 60 3.6.10. FIRST ......................................................................................................... 66 3.6.11. IGF .............................................................................................................. 75 東南アジアにおける情報セキュリティに関する動向調査 ........................................... 82 4.1. 調査対象 ................................................................................................................. 82 4.2. 調査項目 ................................................................................................................. 82 4.3. 調査手法 ................................................................................................................. 83 4.4. 調査結果 ................................................................................................................. 84 4.5. 各国の情報セキュリティ関連の動向 ..................................................................... 86 4.5.1. インドネシア .................................................................................................. 86 4.5.2. カンボジア ...................................................................................................... 92 4.5.3. シンガポール .................................................................................................. 99 4.5.4. タイ ................................................................................................................ 114 4.5.5. フィリピン .................................................................................................... 123 4.5.6. ブルネイ........................................................................................................ 130 4.5.7. ベトナム........................................................................................................ 144 4.5.8. マレーシア .................................................................................................... 149 4.5.9. ミャンマー .................................................................................................... 157 4.5.10. 5. ラオス ....................................................................................................... 164 東南アジアにおける情報セキュリティに係る国際機関に対するニーズや位置づけに関 する検討 ............................................................................................................................. 169 5.1. 海外現地調査........................................................................................................ 169 5.1.1. 調査目的及び調査項目.................................................................................. 169 5.1.2. 調査対象........................................................................................................ 170 5.1.3. 調査結果........................................................................................................ 171 5.2. 国内ニーズ調査 .................................................................................................... 172 5.2.1. 調査目的........................................................................................................ 172 5.2.2. 調査対象........................................................................................................ 172 5.2.3. 調査項目........................................................................................................ 172 5.2.4. 調査結果........................................................................................................ 173 5.3. 5.3.1. 国際連携機関に関する提言.................................................................................. 174 東南アジア情報セキュリティ機関設置に向けた課題 ...................................... 174 5.3.2. 東南アジア情報セキュリティ機関設置に対するニーズ .................................. 175 5.3.3. ASEAN 地域における情報セキュリティに関する支援のあり方(提言)...... 176 付録 A. 海外現地調査 .................................................................................................... 179 A.1. 調査結果 ............................................................................................................... 179 A.1.1. 検討① ........................................................................................................... 179 A.1.2. 検討② ........................................................................................................... 179 A.1.3. 検討③ ........................................................................................................... 180 A.1.4. 検討④ ........................................................................................................... 180 A.1.5. 検討⑤ ........................................................................................................... 181 付録 B. B.1. 国内ニーズ調査 ................................................................................................ 182 調査結果 ............................................................................................................... 182 1. はじめに 1.1. 調査の背景及び目的 昨今、我が国にとってASEAN 地域の安全・安心なサイバーセキュリティ環境の整備が 成長地域である同地域への日本企業の進出を促進する上で、機密情報の保護等を確実に図 っていく観点においても、また、同地域の管理されていないサーバ等を経由した我が国へ のサイバー攻撃を防止、抑止していく観点においても、ますます重要になっている。 我が国としては、サイバーセキュリティ分野においても、ASEAN 地域にプレゼンスを 確保し、友好関係を深めつつ、現地の環境整備を進めていくことが必要であり、そのため、 日本政府主導でASEAN 共同体のための情報セキュリティ戦略を構築し、情報セキュリテ ィ政策を策定実施する国際専門機関(東南アジア情報セキュリティ機関)の設置を行って いくことが、上述の重要性に鑑みて必要であると考えられる。 そこで、本調査では上記背景を踏まえ、以下を目的とした調査・検討を実施する。 情報セキュリティに係る既存の国際機関に関する調査をすること 東南アジアにおける情報セキュリティ関連の国際連携の動向を調査すること 東南アジアにおける情報セキュリティに係る国際機関に対するニーズや位置づけに 関して検討すること 1.2. 日 ASEAN 関係と本調査の意義 1973年に日ASEAN間の交流が始まってから、2013年は40周年の記念の年に当たる。 ASEAN諸国との関係においては、40周年の節目の年ということもあり、日本の外交活動に 対する注目が政権交代後さらに高まっている。 また、日本とASEANの間の貿易総額が2010年の2066億ドルから2011年には32.3パーセ ント増加し2733億ドルと上昇しており、日本は同年、ASEANの輸出先として1位となって いる。直接投資では、日本からASEANへ、2010年の110億ドルから39パーセント増加し2011 年には153億ドルとなっている。これは、日本は2011年のASEANへの総投資額の17.1パー セントのシェアを占める重要な外国直接投資源であることを示しており、日本は同年、 ASEANの第2位の外国直接投資の資金源となった。 また、情報セキュリティ分野においては、2009年より、日ASEAN情報セキュリティ政策 会議がこれまでに5回開催されており、同分野での協力関係も進展している。 本調査において実施した現地調査の最中においても、The Straits Times12013年3月6日 22面においては、日ASEAN関係の重要性について詳細な論評記事が掲載されていた。 当該記事においては、日本とASEAN諸国との関係における現在の外交状況や取り組みに ついての分析がなされていた。現政権の外交活動に関しては、まず、日本の政権幹部が、 ASEAN諸国を来訪した日数について言及がなされ、2013年1月2日から1月18日の17日間に、 多くの日本の閣僚がASEAN諸国を来訪したことが示されている。具体的な訪問者としては、 1 http://www.straitstimes.com 1 麻生太郎財務大臣がミャンマーを訪問しテイン・セイン大統領と1月3日に面会、岸田文雄 外務大臣が1月9日にフィリピンから訪問を開始し、シンガポール、ブルネイ、オーストラ リアを訪問したとしている。最後に、安倍総理は、1月16日から18日の日程でベトナム、タ イおよびインドネシアを訪問したことが紹介されている。 また、 「開かれた、海の恵み ―日本外交の新たな5原則―」と題する安倍総理の演説2の 中で、5つの原則として、(1) 思想,表現,言論の自由といった人類が獲得した普遍的価値 の繁栄、(2)法とルールによる海洋の支配、(3) 自由、オープンで互いに結び合った経済の希 求、(4)文化的な絆の強化、(5) 未来をになう世代の交流の促進、が挙げられていることにつ いても取り上げている. これらは、現地においては安倍ドクトリンと呼ばれており、1977年に示された福田ドク トリンにおいて表明された内容の延長線にあるとの分析がなされている。 情報セキュリティ関連政策は、それら5原則の多くの部分に直接的・間接的に関係し、我 が国の国益を確保しつつASEAN諸国との関係を継続的に発展させる上で重要な政策であ り、また、前述の貿易・投資関係の相互依存関係の深化に鑑みても、ASEAN地域での情報 セキュリティレベルの強化は日ASEAN双方にとって重要な課題と言えよう。 1.3. 調査によって得られた所見 ASEAN諸国における情報セキュリティ関連組織及び関係情報は、残念ながらインターネ ット上の資料は十分に公開されている状況とはいえない。また、公開資料も外形的な事実 情報にとどまるがゆえに、公開資料から政策分析を行うことも容易ではない。 そのため、本調査においてはインターネット等を活用した文献調査に加え、ASEAN事務 局等政府機関に対するメール、電話等での問合せ、及びインドネシア、マレーシア、シン ガポールへの現地調査を実施した。それら調査結果に基づき、前項で述べた主要目的であ る「東南アジア情報セキュリティ機関の設置」の実現性に関して、検討を行った結果、以 下の課題とニーズを把握する事ができた。 【東南アジア情報セキュリティ機関設置に向けた課題】 (3.4、4.4にて詳述) ① 情報セキュリティに関する既存の枠組の存在 ② ASEAN域内を規制する執行機関が未整備 ③ 各国における情報通信技術(IT)基盤の格差 【東南アジア情報セキュリティ機関設置に対するニーズ】(5.1.3、5.2.4にて詳述) ① 域内におけるミニマムスタンダード策定の動向 この演説は 2013 年 1 月 18 日にジャカルタで行われる予定であったが、安倍総理がアル ジェリアでの邦人拘束事案について直接指揮をとるため、予定を早めて帰国することとな ったことにより行われなかった。但し、会見内容は現地において公表されている。 2 2 ② ISMS普及・促進に対する意欲 ③ 域内の情報セキュリティ政策を推進する実体機関 上記課題とニーズを踏まえ、ASEAN地域における情報セキュリティに関する支援のあり 方として、以下三つの提言を行う。各提言の詳細については、「5.3. る提言」において詳述する。 提言①: 共通的なミニマムスタンダードの作成支援 提言②: ISMS普及・促進のための支援 提言③: ANSACを母体とした国際連携機関設置の検討 3 国際連携機関に関す 2. 調査概要 2.1. 調査全体像 本調査の全体像は図 2-1 に示すとおりである。 本調査では、 「(1)情報セキュリティに係る既存の国際機関に関する調査」及び「(2)東南ア ジアにおける情報セキュリティに関する動向調査」に加え、 「(3)-1 海外現地調査」及び「(3)-2 国内企業ニーズ調査」の結果を踏まえ、有識者によるラウンドテーブルを通して、東南ア ジア地域における情報セキュリティに係る国際機関のあり方について、有効かつ現実的な 提言を行う。 (1)情報セキュリティに係る 既存の国際機関に関する調査 (2)東南アジアにおける 情報セキュリティに関する動向調査 情報セキュリティに係る既存の国際機 関(ENISA を含む)に関して、以下の点 について調査を行う(主に文献調査及 び弊法人が所持する情報に基づく)。 東南アジア地域における情報セキュリ ティ関連の国際連携の動向について、 以下の点について調査を行う(主に文 献調査及び弊法人が所持する情報に 基づく)。 【調査項目】 ・概要 ・予算 ・設置法、根拠となる法令・条約等 ・組織及び人員構成 ・業務内容 ・他組織との関係 【調査項目】 ・概要 ・分野 ・根拠となる法令・条約等の有無 ・ステークホルダー (3)東南アジアにおける情報セキュリテ ィに係る国際機関に対するニーズや位 置づけに関する検討 東南アジア地域における情報セキュリ ティに係る国際機関に対するニーズや 位置づけについて検討を行い、以下の 内容を含む提言として取りまとめる。 なお、検討に当たっては、東南アジア1 ヵ国程度に現地調査を実施する。 【検討項目】 ・所掌業務 ・組織の位置づけ(既存の国際機 関、国際的枠組との関係を含む) ・METIとしての関与の在り方 ・組織構成及び予算規模等 ・設立に向けたワークアイテム ・設立に向けた課題 (3)-1 海外現地調査 (3)-2 国内ニーズ調査 ラウンドテーブル 図 2-1 本調査全体像 4 2.2. 調査手法の概要 本調査における調査手法は、 ① 関係機関のウェブ上の公開情報による文献調査 ② データベースによる文献調査 ③ 関係機関担当者へのメール・ベースでの問い合わせ ④ 海外研究者への問い合わせ等 によって行った。 文献調査については、主としてインターネットにおいて公開されている文献調査を中心に、関 連情報の調査を行った。しかし、本調査の対象国に関する情報については、インターネット上で 公開されている情報が限定的なものであり、調査対象文献と思料される情報が公開されている場 合であっても、対象国の言語のみでの公開がなされていることが多いため、文献調査によって網 羅的な調査を実施することができなかった部分がある。そのような部分については、現地調査に おけるヒアリングや、関係者への問い合わせ等により情報収集及び確認を行った。 なお、本調査における事実関係に係る記述については、独立行政法人国際協力機構の調査とし て実施された、株式会社三菱総合研究所「ASEAN 諸国における情報セキュリティ情報収集・確認 調査」(2012 年 10 月)の記述を参照、引用した。 5 2.3. 各調査・検討の概要 2.3.1. 情報セキュリティに係る既存の国際機関に関する調査 情報セキュリティに係る既存の国際機関に関する調査においては、既存の ASEAN 地域 における既存の国際機関を把握するとともに、ASEAN 地域における情報セキュリティに係 る国際専門機関のあり方を検討するための先行事例として ENISA を調査対象として調査 を実施した。 具体的な調査対象、調査項目、調査手法については第 3 章にて記載する。 2.3.2. 東南アジアにおける情報セキュリティに関する動向調査 東南アジアにおける情報セキュリティに関する動向調査においては、現状の東南アジア 地域における各国の CSIRT の設立・運用状況について取りまとめる等、情報セキュリティ に関する動向の調査を実施した。 具体的な調査対象、調査項目、調査手法については第 4 章にて記載する。 2.3.3. 東南アジアにおける情報セキュリティに係る国際機関に対するニーズや位置づけに 関する検討 東南アジアにおける情報セキュリティに係る国際連携機関に対するニーズや位置づけを 検討するために、上記 2 つの調査結果に加え、東南アジア地域に進出している日系企業に 対する国内ニーズ調査、東南アジアにおける情報セキュリティに係る既存の国際機関及び 日系企業に対する海外現地調査を実施した。 具体的な現地調査対象、調査項目、調査手法及び検討結果については第 5 章に記載する。 6 2.4. ラウンドテーブル 2.4.1. ラウンドテーブルの設置と構成員 前項に示した調査及び検討を進めるにあたり有識者によるラウンドテーブルを設置した。 ラウンドテーブルの構成員は表 2-1 に示すとおりである。 表 2-1 ラウンドテーブル構成員(五十音順、敬称略) 所属 役職 氏名 慶應義塾大学 准教授 新保 史生 株式会社サイバーディフェンス研究所 情報分析部部長 名和 利男 上級分析官 JPCERT/CC 専務理事 早貸 淳子 デロイトトーマツリスクサービス株式会社 取締役 丸山 満彦 奈良先端科学技術大学院大学 教授 山口 英 2.4.2. ラウンドテーブルの活動 ラウンドテーブルは表 2-2 に示す議題にて 3 回開催した。 表 2-2 回 第一回 ラウンドテーブル実施結果 開催日 議題 平成 25 年 1 月 23 日(水) (1)調査状況の報告 (2)調査課題の検討 (3)現地調査対象の検討 第二回 平成 25 年 2 月 8 日(金) (1)ANSAC 追加情報の共有 (2)国内ニーズ調査 (3)海外現地調査 第三回 平成 25 年 3 月 22 日(金) (1)海外調査結果の報告 (2)国内ニーズ調査の報告 (3)報告書案の確認 7 2.5. 調査スケジュール 2.5.1. 調査スケジュール全体 本調査における調査スケジュール全体は図 2-2 に示すとおりである。 1月 2月 3月 後半 前半 後半 前半 後半 (1)情報セキュリティに係る既存の国際機関に関する調査 ①調査計画 111 調査計画の作成(調査対象の決定) 112 調査項目の作成 ②調査・報告 121 調査実施 122 報告書作成 123 中間報告 ▲(1/21) 124 報告 ▲(3/21) (2)東南アジアにおける情報セキュリティに関する動向調査 ①調査計画 211 調査計画の作成(調査対象の決定) 212 調査項目の作成 ②調査・報告 221 調査実施 222 報告書作成 223 中間報告 ▲(1/21) 224 報告 ▲(3/21) (3)東南アジアにおおける情報セキュリティに係る国際機関に対するニーズや位置づけに関する検討 ①海外現地調査計画 311 調査計画の作成(調査対象の決定) 312 調査項目の作成 ②海外現地調査 321 海外現地調査訪問調整 322 調査実施 323 報告書作成 324 報告 (3/15)▲ ③国内ニーズ調査 331 国内ニーズ調査訪問先調整 332 調査実施 333 報告書作成 334 報告 (3/15)▲ ④東南アジア情報セキュリティ国際連携機関の提言 331 提言(素案)作成 332 報告 ▲(3/21) (4)取りまとめと報告 ①取り纏めと報告書作成 411 報告書作成 412 中間報告 ▲(3/21) 413 納品 (3/29)▲ (5)ラウンドテーブル ①ラウンドテーブルの開催・運営 511 ラウンドテーブル開催(合計3回) ▲(1/23) ▲(2/8) ▲(3/22) TASK 図 2-2 調査スケジュール全体 8 2.5.2. 海外現地調査スケジュール及び訪問先 本調査における海外現地調査のスケジュール及び訪問先は表 2-3 に示すとおりである。 表 2-3 日付 海外現地調査スケジュール及び訪問先 国 インドネシア ASEAN Secretariat 海外現地法人① 4日(月) 平成 Ministry of Communication and Information Technology University of Indonesia 25 5日(火) 海外現地法人② 年 月 3 訪問先 6日(水) 7日(木) 8日(金) マレーシア University of Malaya Ministry of Information, Communications and Culture シンガポール 海外現地法人③ Singapore Infocomm Technology Security Authority 海外現地法人④ 9 2.5.3. 国内ニーズ調査スケジュール及び訪問先 本調査における ASEAN 地域に進出している国内企業に対するニーズ調査のスケジュー ル及び訪問先は表 2-4 に示すとおりである。なお、国内ニーズの意見を集約するにあたり、 業種については主たる業務から、規模については資本金(1,000 億円を基準)、従業員数等 から弊法人独自の判断に基づき表 2-4 に示すとおりの分類とした。 表 2-4 国内ニーズ調査スケジュール及び訪問先 調査期間 平成 25 年 2 月 12 日(火)∼平成 25 年 3 月 8 日(金) 調査実施企業数 15 社(4 社は海外現地法人) 業種内訳 製造業 5社 銀行業 1社 システムインテグレータ 2社 金融業 2社 ソフトウェア開発 1社 保険業 1社 インターネット情報サービス 1社 通信キャリア 1社 商社 1社 規模内訳 大規模 8社 中規模 7社 10 3. 情報セキュリティに係る既存の国際機関に関する調査 3.1. 調査対象 本調査の目的である ASEAN 共同体のための情報セキュリティ戦略を構築し、情報セキ ュリティ政策を策定実施する国際専門機関設置の検討を行うにあたり、既存の国際機関に 関する調査を実施した。 調査対象は国際専門機関設置の検討を行うに当たっての観点に従い、表 3-1 に示す機関 を選定した。 【調査対象選定の観点=国際専門機関設置の検討を行う際の観点】 ① EU をモデルとした組織の検討 ASEAN 共同体における情報セキュリティ政策に関わる国際専門機関を検討するに辺 り、同種の地域機構である欧州連合(EU)をモデルとすることが有効であると考えら れる。 ② ASEAN における既存国際機関との比較 上記①をモデルとして検討した場合、ASEAN 地域及び加盟各国間において、同種の機 能を持つ既存の国際機関が存在するかを確認する。 表 3-1 調査対象機関 No. 機関名 1 ENISA (European Network and Information Security Agency) 2 ANSAC (ASEAN Network Security Action Council) 3 APCERT (Asia Pacific Computer Emergency Response Team) 4 APEC-TEL SPSG (Security and Prosperity Steering Group) 5 ARF (ASEAN REGIONAL FORUM) 6 ASEAN CERT 7 IWWN (International Watch and Warning Network) 8 Meridian Process 9 IMPACT (International Multilateral Partnership Against Cyber Threats) 10 FIRST (Forum of Incident Response and Security Teams) 11 IGF (Internet Governance Forum) 11 3.2. 調査項目 情報セキュリティに係る既存の国際機関に関する調査については以下の調査項目を定め て調査を実施した。 表 3-2 調査項目 1.概要 組織名 設立年 設置法、根拠となる法令・条約等 予算 議長国、主導者 機関(事務局)が設置されている国、都市 URL 2.背景 3.ミッション(活動内容) 4.組織及び人員構成 5.具体的な取組み (1)定期的なカンファレンス等の開催頻度 (2)アジア地域における国際連携(日中韓) (3)ASEAN 地域内の関係機関との情報共有 (4)加盟全機関との年次会合 (5)CSIRT への支援 (6)研究開発(データ分析、リスク評価・コントロール) (7)サイバー演習の実施状況 (8)サイバーセキュリティの意識啓発活動 3.3. 調査手法 インターネットにおいて公開されている文献調査を中心に、関連情報の調査を行った。 しかし、インターネット上で公開されている情報は限定的なものであり、調査対象文献と 思料される情報が公開されている場合であっても、対象国の言語のみでの公開がなされて いる場合もあり、文献調査によって網羅的な調査を実施することができなかった部分があ る。そのような部分については、現地調査におけるヒアリングや、関係者への問い合わせ 等により情報収集及び確認を行った。 12 3.4. 調査結果 情報セキュリティに係る既存の国際機関に関する調査は本調査の目的である ASEAN 共 同体のための情報セキュリティ戦略を構築し、情報セキュリティ政策を策定実施する国際 専門機関設置の検討を行う事を目的として実施、最終的に、ASEAN と同じく地域機構であ る EU において既に設置されている、情報セキュリティ政策を促進実施する機関である ENISA をモデルとすることとし、ENISA の機能と ASEAN の既存機関の機能の比較・分 析を行った。 分析結果について、以下の図に示す。 機能(ENISA) 調査結果 ASEAN地域 立法・規制機能 なし 既に同様の機能を持つ組織が存在 テクニカルリサーチ 研 究 開 発 ATRC 研究リコメンデーション 制度研究 普及・啓発 【ENISAとの比較】 会議体であり、実行力が弱い ANSAC 人材育成 脅威情報の共有・訓練 APCERT (ASEAN CERT) 図 3-1 ENISA 機能と ASEAN 地域の既存機関との比較 ENISA は、EU 域内における情報セキュリティに関わる立法・規制に関する助言、研究 開発、普及・啓発、人材育成、脅威情報の共有、訓練といった、欧州の情報セキュリティ 政策を統括する組織として機能している3 ① ASEAN における既存国際機関との比較結果 上記①の ENISA が持つ機能に対して、ASEAN の既存国際機関が持つ機能との比較を行 った。 ENISA が有する機能の内、「立法・規制機能」以外の機能を既存機関が何らかの形で担 っていることが分かった。 「立法・規制機能」がないのは ASEAN 自体に強制力のある法律 や 規 制 を 執 行 す る 機 関 が 存 在 し な い た め で あ る 。 EU に お い て は EC ( European Commition:欧州委員会)が執行機関として存在している一方で、ASEAN には同種の組織 が存在していない。 「政策立案」、 「研究開発」 、 「普及・啓発」、 「人材育成」の機能は ANSAC、及びその上部 組織に当たる ATRC(ASEAN Telecommunication Regulators' Council)が担っている。 3 ENISA Activities http://www.enisa.europa.eu/about-enisa/activities 13 しかしながら、ENISA が拠点と約 50 名の専任スタッフ、850 万ユーロの予算を有してい る一方で、ANSAC、ATRC ともに会議体(Council)であり、専任の人員や拠点を持って おらず、予算も 12 万ドル程度に留まっている。これらの状況から、ASEAN における既存 国際機関は、「立法・規制機能」以外では ENISA と同様の機能を持つものの、政策等の実 行力が ENISA に比べ弱いことが看取できる。 一方で、「脅威情報の共有・演習」の実施については、ASEAN 地域では APCERT が中 心となり、積極的な活動を実施している。また、APCERT の議長や運営委員会メンバー、 事務局を JPCERT/CC が務めていることから、本機能において日本は友好関係を深めつつ 地域の環境整備に貢献している。 14 3.5. ASEAN ICT Master Plan2015(AIM2015)4 3.5.1. 東南アジアにおける情報セキュリティ政策の基礎 本調査が調査の対象とする ASEAN 諸国における情報セキュリティ関係組織については、 その設置根拠や具体的方針の基礎が、ASEAN ICT マスタープラン 2015 に基づくものであ ることが多いことから、はじめに、当該マスタープランについて解説する。 3.5.2. マスタープラン策定の背景 ASEAN の電気通信および情報技術に関する閣僚会議(ASEAN TELMIN)が開催され、 情報通信技術のより一層の強化のための様々なプログラムが採択されている。さらに、 ASEAN における経済的、政治的、社会的な発展に向けた取り組みを行うこととなっている。 経済的な観点からは、ASEAN 地域の域内における取引コストを減少させることによって ASEAN 加盟国における国際取引および投資を促進し、人々により関係する発展及び成長の ためのアプローチを促進し、社会的にデジタル・デバイドの解消を図ることで、能力開発、 投資、及び起業(アントレプレナーシップ)において機会の公平を確保し発展を促進すること を目指している。 このビジョンは、2010 年に公表された ASEAN 連結性マスタープラン(2010 Masterplan on ASEAN Connectivity: One Vision, One Identity, One Community(MPAC))において 包括的に定められている。情報セキュリティ分野に関しては、MPAC の 6 つ目の戦略であ る、 「各 ASEAN 加盟国における ICT インフラ及びサービスの発展の加速化」の鍵となる取 組の一つとして、2015 年までに、ASEAN における準備レベル及びネットワークの統合を 確保するため、適切な共通の枠組み及びミニマムスタンダードの策定により、ネットワー クの統合、情報セキュリティ、データ保護、コンピュータ緊急対応チーム協力の促進を図 る、としている。 MPAC は、アジア開発銀行(Asian Development Bank) 、東アジア・ASEAN 経済研究 センター(Economic Research Institute for ASEAN and East Asia(ERIA))、東アジア経 済研究所、アジア太平洋経済社会委員会(UN Economic and Social Commission for Asia and the Pacific (UNESCAP))及び世界銀行(World Bank)がコンサルテーションを行 ってきた。 ASEAN+3 との関係においては、グローバルマーケットの展開のためには東アジアにお ける協力体制を整備することが不可欠であるとしている。その上で、中国、日本、韓国と の協力体制の構築は、国際的な取引および投資を ASEAN に集中させるという最終的な目 標を達成する上で重要な鍵となることが指摘されている。 3.5.3. ASEAN ICT Masterplan 2015 (AIM 2015)の概要 AIM 2015 が最初に登場したのは、MPAC における ICT コンポーネントの計画の一つと 4 IIC Asia Forum, Briefing Paper, ASEAN ICT Masterplan 2015, 3rd April 2012. 15 して、実行計画のタイムラインも含めて計画が提示されたときである。AIM2015 において は、①経済改革(economic transformation) 、②人々のエンパワーメント及び関与(people empowerment and engagement) 、③イノベーション(innovation)という 3 つの柱及び、 ④ イ ン フ ラ 開 発 ( infrastructure development )、 ⑤ 人 的 資 源 開 発 ( human capital development)、⑥デジタル・デバイドの克服(bridging the digital divide)という 3 つの 基盤から成る 6 つの戦略的目的(Strategic Thrusts)が定められており、上述の ANSAC の設置やミニマムスタンダードの策定については、4 つ目のインフラ開発の中で具体的取組 として記載されている他、ANSAC において CERT 間協力の促進や専門知識(expertise) の共有を行うことが記されている。 AIM2015 の実行へ向けた取り組みが TELSOM(電気通信・情報産業高級実務者会合) のワーキンググループにおいて検討が行われた。その検討の結果は、2009 年 10 月にタイ おいて開催された第 15 回 ASEAN サミットの成果を生み出す原動力となった。 ASEAN TELMIN 会合においては、 ASEAN の情報通信技術(IT)分部門におけるレベ ルをより一層高め、ASEAN 諸国における情報通信技術(IT)の役割を重視するとしており、 2011 年 1 月にクアラルンプールで開催された第 10 回 ASEAN TELMIN 会合においては、 AIM2015 の公式な公表がなされるとともに具体的な履行計画が示されている。 AIM2015 の実施体制は以下の図に示すとおり、ASEAN 事務局を中心とした 6 つのエン ティティから構成されている。 TELMIN (ASEAN電気通信及びIT担当大臣会合) ASEAN・ICTビジョン及びゴールを実現するためのマンデートを有する ASEAN各国大臣により構成。 TELSOM ATRC (ASEAN電気通信及びIT高級実務者会合) (ASEANテレコム規制委員会) ASEAN各国の電気通信及びIT高級実務者により構成。 TELMINからのマンデートを受け、TELSOMが履行のための取組を実施。 TELMINに助言を行う。 ASEAN各国のテレコム規制庁の最高責任者、長官により構成。 ASEAN事務局 ASEANのICT重点分野(focus)及び事業計画の履行の支援・監督。 また、KPIsの監督・処理を担当。 TELSOM-JWG/WGs ATRC-WGs TELSOMの下に設置されたグループ。 地域におけるICT発展のための政策及びプロジェクトを実施。 ATRCの下に設置されたグループ。 地域におけるICT発展のための規制及び技術プロジェクトを履行。 ASEAN ICTセンター TELSOMプログラムの調整及び監督。 図 3-2 AIM2015 実施体制 16 TELSOM と ATRC は TELMIN 配下にあり、且つ対等な関係である。ATRC と TELSOM は同 じ予算を共同利用するため、TELMIN への予算申請は年度末の合同会議で共同で行っており、 この予算は ASEAN ICT Fund を利用している。 表 3-3 AIM2015 実施体制における各組織の概要 名称 概要 (1)設立年:2000 年 5 月 (2)設立目的: ASEAN のテレコム協同団体内で強力な 地域的結束を構築する為 (3)業務:全 ASEAN 加盟国の民間部門の代表者から構成 TELMIN される e-ASEAN Business Council を通して ASEAN (テレコム&IT 大臣会合) のテレコム&IT 産業に従事 (4)構成人数:10 人∼(加盟各国より 1 名以上) (5)年間予算:US$400,000∼US$500,000 ※ASEAN ICT Fund の年間予算規模実績平均より (6)会合回数:年 1 回以上 (1)設立年: 2000 年 5 月 (2)設立目的:TELMIN により設定された方針と優先事 項に従って、ASEAN のテレコム&IT 連携におけるポ リシー、プログラム、活動を監督、コーディネート、 施行する為 TELSOM (テレコム&IT 高官会合) (3)業務:域内のテレコム&IT 要件に合致した連携プログ ラム・活動を確認・実行・モニタリング、情報交換の 為のフォーラム提供、TELMIN への報告など (4)構成人数:10 人∼(加盟各国より 1 名以上) (5)年間予算:US$100,000∼US$125,000 ※各年度実績平均より。 (6)会合回数:年 1 回以上 個別のプロジェクトとして、TELSOM-WGs を持つ (1)設立年:2001 年 7 月 (2)設立目的:域内でテレコムの監督機関を提供し、効果 的に通信産業の発展・成長を促進すること ATRC (テレコム規制委員会) (3)業務:通信分野における、域内のポリシー・戦略・規 制問題の調整、専門技術をもった人材開発、セミナ ー・トレーニングによる情報共有など。TELMIN 及 び TELSOM のアドバイザーとして支援も行う。 (4)構成人数:10∼40 人(加盟各国より 1 名以上) 17 (5)年間予算:US$100,000∼US$125,000 ※各年度実績平均より。 (TELSOM 予算を共有) (6)会合回数:年 1 回以上 個別のプロジェクトとして、ATRC-WGs を持つ (1)設立年:2007 年 3 月 (2)設立目的:TELMIN のプロジェクトを実施すること (3)業務:情報通信技術(IT)プロジェクトにおける予算 提出、プロジェクトの報告、資金支出プロセスの手続 きやフォームを策定する。TELSOM に関わるプロジ ェクトだけではなく、ATRC のプロジェクトも実施す る。 ASEAN ICT センター (4)構成人数:職員 3 人 ※ミャンマー:Mr. Htun Aung (長官)、 フィリピン:Mr. Philip Varilla(副官)、 マレーシア:Ms. Nur Sulyna Abdullah (アドバイザー) (5)年間予算:US$10,000 ※2013 年実績 (6)会合回数:他の ASEAN における情報通信技術(IT) 関連会合時に併催 3.5.4. ASEAN CERT Incident Drill ASEAN 地域における CSIRT の国際連携の取り組みとして、SingCERT が主導して ASEAN 加盟国および近隣の地域の CSIRT 間の連携の強化を図ることを目的に ASEAN インシデント演習(ASEAN CERT Incident Drill(ACID))を毎年実施している。 18 3.6. 情報セキュリティに係る既存の国際連携機関 3.6.1. ENISA 3.6.1.1. 概要 ENISA は、2004 年に設立された、欧州連合の情報セキュリティ戦略の策定支援から CSIRT の指導・支援までを行う専門機関である。 常設機関として欧州連合内の公共機関・企業・市民の情報セキュリティを向上させるた めに研究結果の公開、啓発普及活動、CSIRT の活動支援、セキュリティ評価ツールの作成・ 公開などを行っている。 表 3-4 ENISA の基本情報 組織名 ENISA 設立年 2004 年 設置法・根拠となる条約 Regulation (EC) No 460/2004 以下の 2 回の欧州議会及び理事会規則に基づき、ENISA の設 置根拠が変更され運営が継続されている。 Regulation (EC) No 1007/2008(2008 年 9 月 24 日) Regulation(EC) 580/2011(2011 年 6 月 8 日) 予算 2012 年度の予算は約 850 万ユーロ 議長国、主導者 欧州連合の情報セキュリティを支援することを目的とした、 加盟国からは独立した機関である。 歴代長官は初代がイタリア人、2 代目がドイツ人。 機関(事務局)の置かれ ギリシア、イラクリオン ている国、都市 組織及び人員構成 エグゼクティブ・ディレクター、運営理事会、常設ステーク ホルダグループ(Permanent Stakeholders’Group)から構成。 専任スタッフ 47 名(2013 年度予算) 業務内容 (1) 欧州連合加盟国の官公庁及び民間団体に対する、情報セキ ュリティに係る支援や助言 (2) 情報セキュリティに関する高いレベルの専門性の育成と、 その専門性の活用による、官民を超えた連携 (3) 欧州連合内における情報セキュリティ分野の法改正や立 法に際しての、専門性を活用した支援 他組織との関係 CERT-EU、APCERT、FIRST などと連携。 URL http://www.enisa.europa.eu/ 19 3.6.1.2. 背景 欧州連合内における情報・ネットワークのセキュリティの向上・改善を目的として設立 された。 欧州連合加盟国の市民、企業、公共機関などに対する情報・ネットワーク文化の発展に 寄与し、より円滑な市場を構築することを最終的に目指している。 3.6.1.3. 組織及び人員構成 原則的にはエグゼクティブ・ディレクター、運営理事会、常設ステークホルダーグルー プ(Permanent Stakeholders’Group)から構成されている。 3.6.1.4. ミッション(活動内容) ENISA は欧州連合の情報セキュリティを支援することを目的として活動する独立機関で あり、その活動内容は「立法・規制機能」、「研究開発」、「普及啓発」、「人材育成」、「脅威 情報の共有・連携」の 5 つの機能に大別することができる。 (1) 「立法・規制機能」 EC(欧州委員会)が制定する情報セキュリティに関する法制度や規制に対して専門的 見地から、助言や提言を行っている。 (2) 研究開発 クラウドコンピューティングのリスク評価やバイオメトリクスなどに関する研究開発 を行い、その結果をレポートとして公開している。 (3) 普及・啓発 「セキュリティ月間」というキャンペーンを実施したり、国際的なカンファレンス等 でのプレゼンテーションを行ったりし、情報セキュリティの普及啓発に努めている。 (4) 人材育成 情報セキュリティの専門家を育成するために、リスクマネジメントやリスクアセスメ ント手法に関するワークショップ等を行っている。 (5) 脅威情報の共有・連携 EU 加盟国の CSIRT に対して、インシデント対応の促進と指揮を行うための、定期的な 報告書・研究レポートの公開を行っている。 また、官と民のような異なるセクターの組織を横断して情報セキュリティ対策を行うた めに、パートナーシップを構築することが重要と考えており、その考えに基づいて、大学 や欧州連合内外の研究機関との連携も行っている。CSIRT を指導・サポートする立場にあ ることから、CSIRT と連携して調査研究を行うことも多い。 20 上記の他にも、欧州連合内の各組織の、情報通信技術(IT)分野のセキュリティ問題へ の対応力を強化するため、種々の活動を行っている。 3.6.1.5. 具体的な取組 (1) 定期的なカンファレンス等の開催頻度 ENISA は常設の専門機関であり、特に常設ステークホルダグループは常時、活動してい る。ENISA はこれまで定期的なカンファレンスを開催していなかったが、2012 年に第 1 回「International Conferences on Cooperation and Exercises」5を開催した。第二回は 2013 年 9 月にギリシャで開催される予定である。 (2) アジア地域における国際連携(日中韓) ENISA は原則的に EU 内の連携を主な業務としており、日中韓と直接の連携は行ってい ない。一方で、CSIRT 連携という点では APCERT、JPCERT/CC 等を通じて、アジアと連 携している。 (3) ASEAN 地域内の関係機関との情報共有 (2)と同様に ASEAN 地域内の関係機関と直接連携することはない。 (4) 加盟全機関との年次会合 ENISA は欧州連合内の常設組織であり、機関・団体等が加盟する構造ではない。 (5) CSIRT への支援 主要業務として行っている。 欧州連合内の CSIRT を中心に、CSIRT を取りまとめる機関である CERT-EU や、 APCERT、FIRST などと連携している。 具体的には CSIRT の設立支援、運営支援、情報公開、ツールの提供などを行っている。 (6) 研究開発(データ分析、リスク評価・コントロール) 定期的に調査研究レポートを公開している。 クラウドコンピューティングのリスク評価やバイオメトリクスなど多岐に渡っている。以 下の表に公開されている調査研究レポートの一部をまとめる。 5 http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation/conf erence 21 表 3-5 調査研究レポート 文献名 概要 Cloud Computing Befits, risks, and 柔軟性と規模の経済が働くクラウドコ recommendations for Information Security6 ンピューティングの可能性とユーザに 向けてのセキュリティガイダンス Cloud Computing Information Assurance クラウドコンピューティングに関する Framework7 リスク評価のフレームワーク Behavioural Biometrics8 行動生体認証に関する有識者の意見を まとめた報告書 TECHN0LOGY-INDUCED CHALLENGES プライバシーおよびデータ保護の総論 IN PR1VACY & DATA PR0TECTION IN と個別の取り組みの紹介 EUR0PE9 The right to be forgotten – between 「忘れてもらう権利」の定義、及びとそ expectations and practice10 れを実現するための方策に関する報告 書 Supply Chain Integrity An overview of the サ プ ラ イ チ ェ ー ン の 完 全 性 ( Supply ICT supply chain risks and challenges, and chain integrity :SCI) に関する報告書 vision for the way forward11 Privacy considerations of online behavioural 行動追跡の技術的観点に関して包括的 tracking12 な分析を行った報告書 Study on monetising privacy An economic 「プライバシーの貨幣化」という概念に model for pricing personal information13 関して経済学的モデルを用いて分析し た報告書 6 http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assess ment 7 http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-informatio n-assurance-framework 8 http://www.enisa.europa.eu/activities/risk-management/files/deliverables/behavioural-biometrics 9 http://www.enisa.europa.eu/activities/risk-management/files/deliverables/technology-induced-challeng es-in-privacy-data-protection-in-europe 10 http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/the-right-to-be-forgotten 11 http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/sci 12 http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/privacy-considerations-ofonline-behavioural-tracking 13 http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/monetising-privacy 22 文献名 概要 Study on data collection and storage in the 個人情報データの保護とその事例分析 EU14 に関する報告書 Study on the use of cryptographic 暗号理論と運用されている暗号技術を techniques in Europe15 分析した報告書 (7) サイバー演習 サイバー演習のためのプログラムとツールを提供しており、公式ページからダウンロー ド で き る よ う に 公 開 さ れ て い る 16 。 ま た 、 前 述 の 「 International Conferences on Cooperation and Exercises」においても、サイバー演習が行われている。 (8) サイバーセキュリティの意識啓発活動 文書の公開や各種イベント・外部カンファレンスでのプレゼンテーションを行っている 他、CSIRT と連携して、サイバーセキュリティ分野に関する専門性の育成や、普及啓発活 動を積極的に行っている。 14 http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/data-collection 15 http://www.enisa.europa.eu/activities/identity-and-trust/library/the-use-of-cryptographic-techniques-i n-europe 16 http://www.enisa.europa.eu/activities/cert/support/exercise 23 3.6.2. ANSAC 3.6.2.1. 概要 ANSAC は AIM2015 に基づき、ASEAN における情報セキュリティ関連の情報共有を行 うために設置された組織である。ANSAC は拠点や専任の人員を有する実体組織ではなく、 会議体(Council)であり、バーチャルな組織である。 ANSAC は 2013 年 3 月時点において、ASEAN 域内におけるネットワークセキュリティ に関する基準の策定を行っている。同基準は ISO/IEC 27001 を基にしており、各国が最低 限守るべき努力目標という位置づけから、ミニマムスタンダードと呼ばれている。 以下に ANSAC に関する基本情報を示す。 表 3-6 ANSAC の基本情報 組織名 ASEAN Network Security Action Council (ANSAC) :アンザック 設立年 第 1 回目の会合が 2012 年に実施されている 議長国、主導者 2013 年 3 月現在、議長国はマレーシア、副議長はミャンマー 2 年任期で、副議長が次期議長となる 設置根拠 ASEAN ICT Masterplan 2015 で設置が提起された 予算 ANSAC の活動予算は ASEAN ICT Fund を財源としている。 ASEAN ICT Fund の年間予算規模は US$400,000∼US$500,000 で あり、その中からは US$10,000∼US$20,000 が ANSAC の年間予算 として割り当てられている。年間予算はその年の ASEAN のプロジ ェクト数や活動によって変動する。 機関(事務局)の置 会議体であるため、特定の国、都市に設置されていない。 かれている国、都市 事務局は議長国が担当している。 URL ウェブサイトは公開されていない 3.6.2.2. 背景 ANSAC は AIM2015 において、情報通信インフラ整備の一環として情報セキュリティレ ベルの向上が必要である事から、その設置が提起された。 2012 年、ブルネイで開催された ASEAN の会議に併せて ANSAC の第1回会合が開催さ れている。 3.6.2.3. 組織及び人員構成 ANSAC は実体組織(Physical Entity)ではなく、会議体(Council)である。 メンバーは ASEAN 加盟全 10 か国各国の情報通信担当省であり、2013 年 3 月現在の議 長はマレーシア、副議長はミャンマーが務めている。議長・副議長の任期は 2 年間となっ 24 ており、任期終了後は副議長国が次の議長国となる。 ANSAC は ATRC の配下にあり、ANSAC における討議内容については ATRC へのレポ ート義務がある。ASEAN における ANSAC の組織的な位置づけを以下の図に示す。 TELMIN TELSOM ASEAN ICTセンター ATRC ANSAC 図 3-3 ASEAN における ANSAC の組織的な位置づけ 3.6.2.4. ミッション(活動内容) ANSAC における主な活動内容は以下の表に示すとおりであり、ASEAN におけるネット ワークセキュリティレベルの向上を担っている。また、情報セキュリティに関する情報共 有もその主要なミッションとされているが、ASEAN 地域外の国との連携は行われていない (2013 年 3 月時点)。 表 3-7 ANSAC の活動内容 1. ASEAN 地域でのセキュリティフレームワークを構築 2. ISO/IEC 27001 を基にした、セキュリティスタンダードの構築 3. ネットワークセキュリティのヘルス スクリーニングプログラム 3.6.2.5. 具体的な取組 (1) 定期的なカンファレンス等の開催頻度 年に 1 回の定期的な会合が開催されている。 2012 年にブルネイにおいて、第1回会合が開催された。 (2) アジア地域における国際連携(日中韓) 前述の通り、2013 年 3 月時点において、ASEAN 地域外の国との連携は行われていない。 (3) ASEAN 地域内の関係機関との情報共有 ANSAC は会議体であるため、緊急対応(Emergency Response)に対しての直接的な対 応、日々のセキュリティオペレーションを行う体制ではない。、ATRC へのレポートが ANSAC の役割となっており、ASEAN 各国の関係機関とこれらの情報を共有している。 25 (4) 加盟全機関との年次会合 第 1 回会合がブルネイで開催されている。ブルネイにおける会合では以下の内容に関す る議論が行われている。 表 3-8 1. ブルネイ会合における討議内容 ISO/IEC 27000 シリーズまたは情報セキュリティマネジメントシステム(ISMS)にお ける ASEAN 加盟国間でのネットワークセキュリティのための最低基準として使用す る基準を考慮 2. ビジネス継続性(BCP)と災害復興のためのベストプラクティスモデルの検証 3. TEL(ATRC、TELSOM 及び TELMIN)において決定された以前の決定と勧告の新 たな見直し 4. IT セキュリティ成熟度モデル(ITSMM)ワークショップ参加報告 5. 情報セキュリティのための共通のフレームワークの開発 (5) CSIRT への支援 CSIRT への支援は直接行っておらず、情報共有にとどまっている。 (6) 研究開発(データ分析、リスク評価・コントロール) ANSAC は ISMS をベースとしたネットワークセキュリティのミニマムスタンダードの 制定を行っており、制度研究という面において研究開発を行っている。 一方で、テクニカルリサーチ、及び研究リコメンデーションは ANSAC の上部組織に当 たる ATRC が行っている。テクニカルリサーチは ATRC が各国の民間企業等に委託してお り、委託先の選定を各プロジェクト実施の際に実施している。 (7) サイバー演習 ANSAC はサイバー演習を実施していない。 一方で、ANSAC の上部組織である ATRC は、ASEAN CERT Incident Drill(ACID) の実施を承認する役割を担っている。 ACID は SingCERT が主体となって実施されている。 (8) サイバーセキュリティの意識啓発活動 ANSAC では実施しておらず、その上部組織である ATRC が担当している。また、 TELSOM が Security Wellness のトレーニング、セキュリティマネジメント/セキュリティ ポリシーのワークショップ等を実施している。 26 3.6.3. APCERT 3.6.3.1. 概要 APCERT は、アジア太平洋地域の CSIRT(Computer Security Incident Response Team:コンピュータセキュリティインシデント緊急対応チーム)及び CERT(Computer Emergency Response Team:コンピュータ緊急対応チーム)の連携を促進・サポートする 目的で発足した組織である。アジア・太平洋地域における CERT・CSIRT 間の連携及び情 報共有を目的として 2003 年に設立された、CERT フォーラムが設置のきっかけとなってい る。2013 年 3 月現在のメンバーは、アジア・オセアニア地域から 30 チームが参加してい る(表 3-10)。 表 3-9 APCERT の基本情報 組織名 APCERT(Asia Pacific Computer Emergency Response Team) 設立年 2003 年 2 月 1 日 議長国、主導者 議長 :日本(JPCERT/CC) 副議長:韓国(KrCERT/CC) 設置法・根拠となる 2003 年 2 月に開催された APSIRC 会合において APCERT に関する 条約等 合意文書が提出・承認され設立された 予算 年会費は徴収しておらず、活動は各加盟チームによるボランタリー な貢献によって支えられている。 機関(事務局)の置 事務局:JPCERT/CC、日本(東京) かれている国、都市 URL http://www.apcert.org/ 27 表 3-10 会員資格17 地 参加メンバー(2013 年 3 月時点) 国・地域 名称 日本 JPCERT / CC (Japan Computer Emergency Response 域 Member 東アジア Full Team / Coordination Center) 韓国 KrCERT/CC (Korea Internet Security Center) 中国 CCERT (CERNET Computer Emergency Response Team) CNCERT/CC (National Computer network Emergency Response technical Team / Coordination Center of China) 香港 HKCERT (Hong Kong Computer Emergency Response Team Coordination Centre) マカオ MOCERT (Macau Computer Emergency Response Team Coordination Centre) 台湾 TWCERT/CC (Taiwan Computer Emergency Response Team / Coordination Center) TWNCERT (Taiwan National Computer Emergency Response Team) 東 インドネ ID-CERT (Indonesia Computer Emergency Response 南 シア Team) ア ID-SIRTII (Indonesia Security Incident Response Team on ジ Internet Infrastructure Coordination) Center ア シンガポ SingCERT (Singapore Computer Emergency Response ール Team) タイ ThaiCERT (Thai Computer Emergency Response Team) ブルネイ BruCERT (Brunei Computer Emergency Response Team) フィリピ PHCERT (Philippine Computer Emergency Response ン Team) ベトナム BKIS (Bach Khoa Internetwork Security Center) マレーシ VNCERT (Vietnam Computer Emergency Response Team) ア MyCERT (Malaysian Computer Emergency Response Team) 南 インド CERT-In (Indian Computer Emergency Response Team) インシデント対応実績があるアジア太平洋地域の CERT・CSIRT が既存メンバーからの 推薦、及び審査を経て General Member となる。General Member は加盟から 12 ヶ月以 降に Full Member への昇格を申請できる。Full Member は議決権や運営委員会への参加が 許される 17 28 会員資格17 地 国・地域 名称 ア スリラン Sri Lanka CERT/CC (Sri Lanka Computer Emergency ジ カ Readiness Team Coordination Centre) 域 TechCERT ア オ オースト AusCERT (Australian Computer Emergency Response セ ラリア Team) CERT Australia ア ニ ア General 東 Member ア 台湾 EC-CERT (Taiwan E-Commerce Computer Emergency Response Team モンゴル MonCIRT (Mongolian Cyber Incident Response Team) 東 シンガポ BP DSIRT (BP Digital Security Incident Response Team) 南 ール NUSCERT (National University of Singapore Computer ジ ア Emergency Response Team) ア ジ フィリピ GCSIRT (Government Computer Security and Incident ア ン Response Team) ミャンマ mmCERT (Myanmar Computer Emergency Response ー Team) 南 バングラ BDCERT (Bangladesh Computer Emergency Response ア ディッシ Team) ジ ュ ア オ ニュージ セ ーランド NCSC (New Zealand National Cyber Security Centre) ア ニ ア 3.6.3.2. 背景 世界レベルでの CSIRT の国際協力の枠組として FIRST (Forum of Incident Response and Security Teams) が存在しているが、アジア太平洋地域からはオーストラリア、韓国、 シンガポール、台湾、そして日本などが参加しているものの、他のアジア地域からは参加 していなかった。また、インシデントに対する対応に関して、アジア太平洋地域における 29 CSIRT 間での情報共有体制の不備が存在するなどの問題が存在するとの懸念があった。そ のため、早急にアジア太平洋地域における CSIRT 間の協力体制の枠組作りが必要であり、 また、CSIRT の存在していないアジア地域の参加を促し、当該枠組みへの参加体制の整備 を促して行くためにも、政府レベルでの協力、支援が求められてきた18。 そこで、アジア太平洋地域の CSIRT および セキュリティ組織間の情報交流を目的として、 2002 年 3 月に日本の一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC) の主導により、東京でアジア太平洋セキュリティインシデント対応会議(APSIRC: Asia-Pacific Security Incident Response Coordination)が開催された。同会議において、 CSIRT 間の連携及び情報共有を目的として、APCERT の設立が合意された。その後、 APCERT 設立に向けたワーキンググループが合意文書の作成を行い、2003 年 2 月に台湾 で開催された APSIRC 会合において、APCERT に関する合意文書が提出・承認され、 APCERT が正式に発足した19。 3.6.3.3. 組織及び人員構成 APCERT の組織体制は、総会(GM:General Meeting)、運営委員会(SC:Steering Committee)、ワーキンググループから構成される。総会では、全体的な方向性の決定、運 営委員の選任、運営委員会からのレポートの受理・承認など行い、原則として年に 1 回開 かれる。運営委員会は、APCERT の総括的な管理に関するポリシー、手順、ガイドライン、 その他の関連する事項を統括する。ポリシーや手順、ガイドラインなどは、ワーキンググ ループで具体的に検討が行われ、運営委員会において承認される。運営委員会の活動は、 年次総会において行われるとともに、各メンバー同士の直接的な会談や電話による会議な どによっても行われている。 経済産業省,APSIRC 2002 開催要項,< http://www.meti.go.jp/policy/netsecurity/APSIRC2002.htm >,2002 年 19 APCER,APCERT Annual Report 2003,< http://www.apcert.org/documents/pdf/annualreport2003.pdf >,2004 18 30 図 3-4 APCERT の組織体制 運営委員会のメンバーは、総会において選任され、最大で 7 名のメンバーが選ばれる。 議長、副議長、及び事務局は、運営委員会において選任される。なお、運営委員会のメン バー、議長、副議長、及び事務局は、それぞれ任期が定められている。任期及び現在の構 成は、以下の表のとおりである。 表 3-11 総会 総会・運営員会のメンバー構成及び任期 任期 構成 メンバー全体 運営委員会(SC) 任期は 2 年間で、1 年毎 議長 MOCERT,CERTAustralia,CNCERT/CC,I に委員の半分が入れ替わ D-SIRTII/CC,JPCERT/CC,KrCERT/CC, る MyCERT 任期は 1 年間で、最大で JPCERT/CC 4 年まで延長可能 副議長 任期は 1 年間で、最大で KrCERT/CC 4 年まで延長可能 事務局 任期は 2 年間 JPCERT/CC 31 3.6.3.4. ミッション(活動内容) APCERT は、アジア太平洋地域における CERT・CSIRT の意識及びインシデント対応能 力を向上させるために以下の活動を行うことを任務としている。 表 3-12 APCERT のミッション 1. アジア太平洋地域の情報セキュリティにおける国際協力を強化する 2. 大規模な、もしくは特定地域のネットワークで発生するセキュリティインシデントへの 対応策を合同で策定する 3. メンバー間における、情報セキュリティ、コンピュータウィルス、悪意のあるコードを 含む情報共有・技術交換を促進する 4. メンバーが関心を持つテーマに関して調査・研究を共同で実施することを促進する 5. 地域内における他の CERT・CSIRT が効率的かつ効果的にコンピュータ緊急対応を行 うよう支援する 6. 情報セキュリティや緊急対応に関する法的課題への対応を支援するため、情報提供及び 提言を行う 3.6.3.5. 具体的な取組 (1) 定期的なカンファレンス等の開催頻度 2002 年 か ら 2005 年 ま で は 、 ア ジ ア 太 平 洋 セ キ ュ リ テ ィ イ ン シ デ ン ト 対 応 会 議 (Asia-Pacific Security Incident Response Coordination :APSIRC)が毎年開催されてい た。2005 年以降は、年次カンファレンスと名称を変更し、開催されている。年次カンファ レンスは、ワーキンググループミーティング、全ての APCERT メンバーが参加する年次総 会、招待者やメンバーによるオープンカンファレンスから構成される。カンファレンスに おいては、APCERT の運営に関する事項の決定や、情報セキュリティに関する動向やベス トプラクティスの共有などが行われる。 表 3-13 カンファレンスの開催状況 カンファレンス名 場所 主催者 Annual Conference 2013 ブリスベン(オーストラリア) CERT Australia Annual Conference 2012 バリ(インドネシア) Id-SIRTII Annual Conference 2011 済州(韓国) KrCERT/CC Annual Conference 2010 プーケット(タイ) ThaiCERT Annual Conference 2009 台湾 TWCERT/CC Annual Conference 2008 香港(中国) HKCERT 32 カンファレンス名 場所 主催者 Annual Conference 2007 ランカウイ(マレーシア) MyCERT NISER Annual Conference 2006 北京(中国) CNCERT/CC APSIRC 2005 京都(日本) JPCERT/CC APSIRC 2004 クアラルンプール(マレーシア) MyCERT APSIRC 2003 台湾 TWCERT/CC TWSIRC APSIRC 2002 JPCERT/CC 東京 (2) アジア地域における国際連携(日中韓) 日本、中国、韓国は、運営員会や作業部会において中心的役割を果たしている。2013 年 3 月現在、日本は議長、事務局、及び運営委員会委員を務めている。 また、日本はインターネット脅威のモニタリング、情報共有、及び分析に関するアジア 太平洋地域における共通プラットフォームの構築などを目的とする TSUBAME 作業部会の 取りまとめ役を務めている。韓国は、副議長及び運営委員会委員であり、現行の会員資格 要件・分類を見直し、新しい資格要件・分類を含めるべきか、またそれがどう機能するか の判断を行うメンバーシップ作業部会の取りまとめ役を務めている。中国は、運営委員会 委員であり、またメンバーにとって有用と思われ、他のメンバーと共有可能な多様な種類 の情報を特定することを任務とする情報共有作業部会、及び現行の APCERT の運用枠組み について、修正すべき点を特定することを任務とする運用枠組み作業部会の取りまとめ役 を務めている。 (3) ASEAN 地域内の関係機関との情報共有 APCERT では、情報セキュリティに係る情報が多様な手段を通じて共有されている。 APCERT で共有される情報は、サイバー攻撃や脆弱性などの動向、加盟チームからのイン シデントに関する報告、技術開発に関する情報などが共有される。情報共有は、メーリン グリスト、年次総会、後述するインターネット定点観測システムなどによって行われる。 一方で、共有されるべき情報セキュリティに関する情報には、機密情報が含まれること があるため、メンバー間の信用と信頼を構築し、効率的かつ効果的な情報提供及び情報共 有を行うという観点から、情報分類ポリシーを策定する必要がある。APCERT では、多く の CSIRT で利用されている Traffic Light Protocol (TLP)を基にした情報分類ポリシーを採 用している。 Traffic Light Protocol (TLP)は、英国の NISCC20によって策定された情報共有のための 20 National Infrastructure Security Co-ordination Center(NISCC:国家重要インフラ安全調整局)は、 33 フレームワークで、情報共有に係るすべてのステークホルダーが理解し実施できるように するために、情報の公開範囲等に関する分類基準を4つの色で識別している。情報提供者 は、これらの分類基準に従い、色の名称を情報にラベル付けし、情報を共有する。APCERT においては、分類基準が 5 つの色で識別されている。 また、インシデントに関する報告を受付けるための連絡窓口(POC)を設置している。 (4) 加盟全機関との年次会合 コンピュータセキュリティインシデント対応、動向、情報共有への認識を向上させるた めの年次総会(AGM)を開催している。 (5) CSIRT への支援 JPCERT/CC が事務局となり、コンピュータ危機対応に必要な技術や知識を保有してい ない CSIRT に対する支援を行っている。2006 年にインド及びベトナムに対して National CSIRT の構築支援を実施した21。また、JPCERT/CC が 2009 年度から実施しているアフリ カにおける CSIRT 構築のための現地研修に関して、今後 APCERT の加盟チームと連携し ながら行うことが予定されている22。 (6) 研究開発(データ分析、リスク評価・コントロール) TSUBAME プロジェクトは、アジア・太平洋地域にインターネット定点観測システムを 設置し、その観測結果を可視化する活動で、JPCERT/CC を中心として進められている。 インターネット定点観測システムとは、インターネット上に分散配置されたセンサによっ て、ワームの感染活動や弱点探索のためのスキャンなどセキュリティ上の脅威となるトラ フィックの観測を行うためのシステムである。システムをプロジェクトの加盟チームのネ ットワーク上に設置することで、各国・地域におけるセキュリティ上の脅威に関する動向 を把握することが可能となる。インターネット定点観測システムによって把握された情報 はプロジェクト加盟チームと共有され、インシデント対応や注意喚起発行などを通じたネ ットワーク管理者への情報発信に活用されている。 (7) サイバー演習 APCERT では、インシデントハンドリング能力を向上させるため、毎年実践ベースのサ イバー演習を行っている。 サイバー演習では、大規模なインシデントが想定され、国境・タイムゾーンを超えて実 施される。これまでに、地下経済において盗用データの取引や不正なオンラインサービス 政府へのセキュリティ攻撃などを管轄している、省庁横断型の英国の政府機関である。 21 JPCERT/CC、海外のセキュリティ政策の動向 、 22 http://www.nic.ad.jp/ja/newsletter/No48/0650.html 34 を行うサイバー犯罪組織による大規模なサイバー攻撃、重要インフラなどに対する APT 攻 撃や DDoS 攻撃などのシナリオに基づいた演習が実施された。 参加資格のあるメンバーは、原則として APCERT に加盟している CSIRT である。2013 年のサイバー演習には、APCERT に加盟している 22 の CSIRT の参加に加えて、APCERT と協力関係にある OIC-CERT23に加盟している 4 つの CSIRT が参加した。 (8) サイバーセキュリティの意識啓発活動 各国・地域の CSIRT へのカンファレンス、WG、演習などを実施している。 また、2012 年 11 月に、ウェブ上でサイバーセキュリティに関する意識啓発活動などを行っている STOP. THINK. CONNECT. Messaging Convention24と了解覚書(MOU)を締結し、アジ ア太平洋地域における意識啓発活動を行っていくとした25。STOP. THINK. CONNECT. Messaging は、インターネットの使用に係わるリスク及びインターネットを安全に活用す る意義の周知を目的として、2009 年に活動を開始した。主な活動として、ウェブサイトに おけるデジタルポスターの公開、公的サービスの広報などを行っている。今後 APCERT 加 盟国・地域におけるユーザの意識啓発、及び STOP. THINK. CONNECT. Messaging のサ ービスを活用していくとしている。 23 OIC-CERT(The Organisation of the Islamic Cooperation – Computer Emergency Response Team) は、イスラム圏の CSIRT フォーラムで、2005 年に設立された。2013 年 2 月現在 26 の CSIRT が参加し ている。 24 http://stopthinkconnect.org/ 25 APCERT, ASIA PACIFIC COMPUTER EMERGENCY RESPONSE TEAM AND STOP. THINK. CONNECT. MESSAGING CONVENTION SEAL PACT TO SPREAD A GLOBAL ONLINE SAFETY AWARENESS CAMPAIGN, <http://www.apcert.org/documents/pdf/Joint-media-release-STC-APCERT.pdf,>,2012 年 35 3.6.4. APEC-TEL SPSG 3.6.4.1. 概要 APEC-TEL SPSG(電気通信・情報作業部会セキュリティ・繁栄分科会)は、APEC におい て情報通信技術(IT)に関する事項を取り扱う APEC-TEL(電気通信・情報作業部会)に属 し、情報セキュリティに係る動向やベストプラクティスの共有を主な活動としている。 APCERT や OECD などの国際連携機関とも会合における発表等を通じて情報の共有を図 っている(APCERT は APEC-TEL のゲストステータスを与えられている。 )。情報セキュ リティに係る施策を実行するための機関は持たないが、各エコノミーが主体となってプロ ジェクトを行っている。 表 3-14 APEC-TEL SPSG の基本情報 組織名 APEC-TEL SPSG(Security and Prosperity Steering Group) 電気通信・情報作業部会セキュリティ・繁栄分科会 設立年 ・TEL(電気通信・情報作業部会):1990 年 ・SPSG(セキュリティ・繁栄分科会):2006 年 設置法・根拠となる 条約等 ・APEC における作業部会に関しては法的根拠を持たず、事務局に よる承認等によって設置される。セキュリティ・繁栄分科会 TEL33 によって設置が決定され、承認された。 予算 APEC 予算は,通常拠出と任意拠出の 2 種類の拠出金によって賄わ れている。APEC-TEL SPSG には、総額として予算が割り振られて いるわけでなく、各プロジェクト・ワークショップ単位で割り振ら れる。 議長国、主導者 ・APEC-TEL 議長:Kenji TANAKA(日本、総務省) 副議長:Nur Sulyna ABDULLAH(マレーシア、マレーシア通信・ マルチメディア委員会) ・APEC-TEL SPSG 不明 機関(事務局)の置 APEC 事務局:シンガポール かれている国、都市 URL http://www.apec.org/ 36 表 3-15 APEC 参加エコノミー エコノミー 参加年 オーストラリア 6-7 Nov 1989 ブルネイ 6-7 Nov 1989 カナダ 6-7 Nov 1989 11-12 Nov チリ 1994 12-14 Nov 中国 1991 12-14 Nov 香港 1991 インドネシア 6-7 Nov 1989 日本 6-7 Nov 1989 韓国 6-7 Nov 1989 マレーシア 6-7 Nov 1989 17-19 Nov メキシコ 1993 ニュージーランド 6-7 Nov 1989 17-19 Nov パプアニューギニア 1993 14-15 Nov ペルー 1998 フィリピン 6-7 Nov 1989 14-15 Nov ロシア 1998 シンガポール 6-7 Nov 1989 12-14 Nov 台湾 1991 タイ 6-7 Nov 1989 米国 6-7 Nov 1989 14-15 Nov ベトナム 1998 3.6.4.2. 背景 APEC-TEL SPSG は、APEC-TEL に属し、年 2 回開催される APEC-TEL 会合において 37 活動を行っている。APEC-TEL が 1990 年に第 1 回会合を開いて以降、情報セキュリティ に関しては、ビジネスファシリテーション作業分科会(BFG:Business Facilitation Steering Group)、開発協力作業分科会(DCSG:Development Co-operation Steering Group)などの各作業分科会で個別に扱われてきた。しかしながら、急速な技術進歩、規制 やセキュリティを取り巻く環境の変化などから、体制の再構築が必要となった。 そこで、TEL32 において体制の再構築に関して検討が進められ、TEL33 において自由分 科会(DSG)、ICT 開発分科会(DSG)、セキュリティ繁栄分科会(SPSG)に再編し、相 互承認(MRA)タスクフォースを自由分科会(DSG)の下に位置づけることが決定された。 その後、2006 年 10 月にニュージーランドで開催された TEL34 から APEC-TEL SPSG と して活動を開始した。 3.6.4.3. 組織及び人員構成 APEC-TEL SPSG は、APEC-TEL に属し、APEC エコノミーの情報通信及び情報産業に 係る省庁の閣僚で構成される APEC 電気通信・情報産業大臣会合からの指示を受けつつ、 提言などを行う。全体的な方針は、APEC 電気通信・情報産業大臣会合において決定され るとともに、首脳会議や閣僚会議においても決定される。プロジェクトやワークショップ の開催にかかる費用は、財政管理委員会の承認を得て、エコノミーからの拠出金などによ って賄われる。 38 図 3-5 APEC の情報セキュリティに関する体制 3.6.4.4. ミッション(活動内容) APEC-TEL SPSG は、安心で信頼のおける情報通信技術(IT)環境を実現するため、以 下の項目を活動範囲としている。 表 3-16 APEC-TEL SPSG の活動範囲 1. ネットワーク・インフラ・サービス・アプリケーション・E コマースの安全、信用、 及び信頼の促進 2. CERTs・CSIRTs 3. サイバー犯罪の予防 4. サイバー犯罪対策及び効果的にサイバーセキュリティに関する啓発活動を行うための 人的資源開発及び能力育成 5. 会合等のファシリテーション 3.6.4.5. 具体的な取組 (1) 定期的なカンファレンス等の開催頻度 APEC-TEL SPSG では、半年に一度行われる APEC-TEL 会合において、ワークショッ プを行っている。ワークショップでは、民間企業、政府、大学、他の国際機関などの情報 セキュリティに係わる関係者によって、報告やパネルディスカッション等が行われている。 (2) アジア地域における国際連携(日中韓) APEC-TEL SPSG では、日中韓の連携は頻繁には行われていないが、電気通信・情報産 業大臣会合レベルでは、緊密に連携をとっている。 (3) ASEAN 地域内の関係機関との情報共有 APEC-TEL SPSG では、インシデント発生時における情報や脆弱性に関する情報の共有 は行われておらず、各国の政策や CSIRT、他の国際連携機関の取組などに関するベストプ ラクティスの共有、技術動向などの情報が共有されている。情報の共有は、基本的に APEC-TEL の会合において行われ、会合におけるワークショップなどの目的に合わせて各 国から情報が提供される。 (4) 加盟全機関との年次会合 半年に一度行われる APEC-TEL 会合において APEC-TEL SPSG も会合を行っている。 39 APEC-TEL SPSG は、APEC-TEL 会合を活動の中心としている。 (5) CSIRT への支援 APEC-TEL SPSG では、CSIRT 支援のための実行機関を持たないため、各エコノミー中 心となって支援のためのプロジェクトを行っている。また、ワークショップによって各国 の CSIRT や国際連携機関のベストプラクティスの共有を通じて能力構築を図っている。 韓国情報保護振興院(KISA)が中心となって行った、APEC エコノミーのインシデント 対応能力を高めることを目的としたプロジェクト26では、2006 年に韓国でトレーニングコ ースを開催している。このトレーニングコースには、15 エコノミーから 36 人が参加し、フ ィリピンにおけるナショナル CSIRT 設立に向けたタスクフォースも参加している。参加者 は、APEC エコノミーだけではなく、ラオスやミャンマーといった東南アジア地域の発展 途上国も参加した。トレーニングコースは、5 日間にわたって行われ、参加エコノミーの情 報セキュリティに関する取組の報告、インシデント対応にあたるスタッフのトレーニング などが行われた。スタッフのトレーニングは、組織体制、運営、法律といった業務に係る ものから、脆弱性などの技術的なものまで包括的に行われている。 また、2012 年 4 月にベトナムで開催された APEC TEL45 では、CSIRT の能力構築と連 携に関するワークショップが開催され、JPCERT/CC が講師を務めた。ワークショップで は、主に APEC エコノミーや OECD などの国際機関などによる取組の報告によってベスト プラクティスの共有が行われている。 (6) 研究開発(データ分析、リスク評価・コントロール) 研究開発は行っていない。 (7) サイバー演習 APEC-TEL SPSG では、 実践ベースのサイバー演習は行われておらず、ワークショップ などにおいて、各国や他の国際連携組織とサイバー演習に関するベストプラクティスの共 有などを行っている。また、想定したシナリオに対する机上演習も実施されている。27 (8) サイバーセキュリティの意識啓発活動 APEC-TEL では、 「サイバーセキュリティ意識啓発の日」を制定し、イベントなどを実施 することで、APEC 域内における意識啓発を推進している。2010 年 10 月沖縄県名護市で 開催された APEC 電気通信・情報産業大臣会合では、APEC 加盟エコノミーにより採択さ 「Strengthening Effective Response Capabilities among APEC Economies」 http://mddb.apec.org/Documents/2006/TEL/TEL34-SPSG/06_tel34_spsg_022.pdf 27 CSIRT Workshop: Capacity Building and Cooperation Scenariohttp://mddb.apec.org/Documents/2012/TEL/TEL45-SPSG-WKSP1/12_tel45_spsg_wksp1_010. pdf 26 40 れた共通のロゴや、一般ユーザがインターネットを安心・安全に利用する上で推奨される 情報セキュリティ対策(サイバーセキュリティトップティップス)を公開した28。また、10 エコノミーから計 24 枚のサイバーセキュリティ意識啓発に係るポスターの展示を実施した。 現在ポスターは電子化され APEC のホームページ上で閲覧可能となっている29。 また、加盟国における情報通信技術(IT)の悪用を予防するための教育活動を支援する ことを目的とするプロジェクト「APEC Training Program for Preventive Education on ICT Misuse」が実施されている。このプロジェクトは、韓国を中心とした APEC-TEL と 人材養成作業部会30との共同プロジェクトとして、2009 年に活動を開始した。プログラム は、教育者の訓練(Training of Trainers: TOT)、エンドユーザーの訓練(End-users Training)、報告(debriefing)から構成される。現在までに、フィリピン、インドネシア、 タイ、マレーシアの 4 カ国においてプログラムが実施された。 NISC, 「APEC サイバーセキュリティ意識啓発の日」の制定について <http://www.nisc.go.jp/press/pdf/apec_csaday_press.pdf>,2010 29APEC, Cybersecurity Awareness Day, <http://www.apec.org/Groups/SOM-Steering-Committee-on-Economic-and-Technical-Cooperation/Wor king-Groups/Telecommunications-and-Information/Security-and-Prosperity-Steering-Group/Cybersec urity-Awareness.aspx> , 30 人材養成作業部会(HRDWG:Human Resources Development Working Group)は、1990 年,教育, 労働,能力構築に関する様々なプログラムを通しての人材資源の開発を目的として設立され,人材資源の 開発強化,持続的な経済成長促進のための知識,経験,技術を共有するという任務を負っている。経済・ 技術協力運営委員会(SCE)傘下の作業部会。 28 41 3.6.5. ARF 3.6.5.1. 概要 ARF の目標は 1994 年に開催された第 1 回 ARF 会合議長により以下のように定められて いる。 「共通の関心興味に対する政治やセキュリティ上の問題に関した建設的な対話および 協議を促進し、信頼構築およびアジア太平洋地域における予防外交に向けた取り組みに大 きく貢献をする」。第 27 回閣僚会合においては、ARF は地域における政治・安全保障協力 で開かれた対話の促進のための効果的なフォーラムとなる。ここで、ASEAN はアジア太平 洋地域の関係を予測可能かつ建設的なものとするために ARF 内のパートナーと協力が必要 になる。 表 3-17 ARF の基本情報 組織名 ARF(ASEAN REGIONAL FORUM)ASEAN 地域フォーラム 設立年 1994 年 議長国、主導者 26 カ国+EU ・ ASEAN 10 カ国(ブルネイ,インドネシア,マレーシア,タイ, フィリピン,シンガポール,ベトナム,ラオス,カンボジア, ミャンマー) ・ 非 ASEAN16 カ国(日本,韓国,中国,豪州,ニュージーラン ド,インド,米国,ロシア,カナダ,パプアニューギニア,モ ンゴル,北朝鮮,パキスタン,東ティモール,バングラデシュ, スリランカ) ・ EU(EU 外務、安全保障政策上級代表、欧州対外活動庁) 42 設置法・根拠とな ・ アジア太平洋地域の政治および安全保障を対象とした対話型の フォーラムとして、1993 年シンガポールで開催された ASEAN る条約等 拡大外相会議で新設案の基本合意 ・ 1994 年バンコクにて第 1 回会合の開催がなされ、1991 年 ASEAN 拡大外相会議(ASEAN・PMC)において、PMC の場 を活用し政治対話を開始する高級事務レベル会合(SOM)の設置 が提案された ・ これを受け 1992 年の第 4 回 ASEAN 公式首脳会議において ASEAN・PMC を活用した域外国との政治安保対話強化に合 意、また同年の ASEAN・PMC では初めての政治安保対話を正 式な議題として取り上げられた ・ 1993 年に上記の成果を受け、ASEAN 高級事務レベル会議 ASEAN・SOM において ASEAN・PMC 下に安全保障問題に 関する討議を行うための高級事務レベル会合の設置に合意 ・ 同年初めて開催された高級事務レベル会合(ASEAN・PMC・ SOM)においては ASEAN・PMC 参加国の次官級担当者が出席 し地域安保および、非参加の諸外国との対話のあり方について 議論がなされ、1993 年に開催された ASEAN・PMC において、 18 カ国および機関の閣僚レベルの ARF の開催が決定し現在に 至る 予算 2004 年度第 12 回 ARF 会合において、カナダの以下の提言「ARF 基金の創立に関する提案は、従来以上の有用なツールとして ARF の活動を支援するものである」を設置根拠とし ARF 基金の設立が 認められた。 2006 年 ASEAN 公 表 資 料 よ れ ば 、 こ の ARF 基 金 か ら US$133,375.00 の予算が利用されている。 機関(事務局)の マレーシア 置かれている国、 都市 URL http://aseanregionalforum.asean.org/ 3.6.5.2. 背景 ASEAN は外交政治、安全保障の問題に関する協力対話を通じることで、アジア太平洋地 域の安全保障環境を向上させることを目的として設立された。 1993 年 7 月 23 日から 25 日にかけてシンガポールで開催された第 26 回 ASEAN 外相会 議において、ASEAN 地域フォーラム(ARF)の設立が合意された。ARF 設立にあたって 43 の第 1 回総会は 1994 年 7 月 25 日にバンコクで開催された31。 3.6.5.3. 組織及び人員構成 毎年夏に開催される閣僚会議を主とする一連の会議の連続体として構成され、年1度の閣 僚会合、SOM(局長級)、および年2度のISG(課長級)が開催されている。また専門分野 別ISM(会期間会合)、そして随時災害救援等のセミナーも開催されている。 異なるトラックの会議を継続的に開催し ARF 会合との連携を実施している。 トラック 1.5 の ARF 専門家・著名人から成り立つ EEP(EXPERTS/EMINENTS PERSON)会合、そし てトラック 2 のアジア太平洋安全保障協力会議(CSCAP)が行われている 3.6.5.4. ミッション(活動内容) ARF 設立の大きな目的は、ASEAN 全体及び外相会議のミッションとも重なるが、アジ ア太平洋地域の共通の関心と懸念事項である政治、安全保障問題において、建設的な対話 と協議を促進させてゆくその入り口とさせると共に、アジア太平洋地域における予防外交 に向けた取り組みに大きく貢献し、その情報を密に共有し議論を深めてゆく事である。 ARF は①信頼醸成の促進、②予防外交の進展、③紛争へのアプローチの充実、という3 段階のアプローチを設定して漸進的な進展を目指している。 2004 年第 11 回のジャカルタで行われたか閣僚会合において、ARF を強化する方策とし て ARF UNIT が設立された。専門職員を3名配置し、事務作業等のサポートを行っている。 3.6.5.5. 具体的な取組 (1) 定期的なカンファレンス等の開催頻度 ARF は ASEAN の中で中核となる一連のフォーラム群(EAS や ADMM プラス等)の中 で最も基礎となる会合であり、重要なフォーラムの一つである。閣僚会合の開催回数も 19 回と多く参加している国々も最も多い。また北朝鮮が参加している事にも大きな意義があ る。 ARF で現在定期的に開催されている会合の中で最大の規模であり年次会合である ARF 閣僚会合は、毎年夏に ASEAN 外相会議と併せて開催されている。また細分化された多く の個別テーマのカンファレンスやワークショップ等も ARF 閣僚会合に日程を併せて開催さ れているものが多い。ARF が定期的に行う会合について以下にまとめる。 表 3-18 ARF における定期会合の詳細 ARF 閣僚会合 毎年夏に開催されている。各国から外務大臣等の閣 僚が参加する。外相会合の議長国が ARF の議長も 兼ねる形となり運営されている。 31 http://aseanregionalforum.asean.org/about.html 44 ARF・SOM(Senior Officials 局長級による会合。 Meeting: 高級事務レベル会 具体的な活動について協議する事務レベルの局長級 合) 会合。夏に行われる閣僚会合の事前準備を兼ねた会 合であるため、毎年春に開催されている。 ARF 閣僚会議に対し、具体的な各分野における加盟 国同士での協働体制などについての検討結果を報告 している ARF・ISG 課長級クラスによる会合で、年に 2 回開催されてい る ARF-ISM(Inter-Sessional 原則として年に 1 回開催されている。 Meeting: 会期間会合) 各分野での協力体制などを協議している。 ARF 専門家/賢人(EEP: トラック 1.5 官民合同 Experts/Eminent Persons)会合 アジア太平洋安全保障協力会議 トラック 2 民間部会による活動 (CSCAP) 図 3-6 ARF 組織図 現在のところ、情報セキュリティに特化した特別会合の定期開催は行われていないが、 上記の閣僚会合や局長級会合において情報セキュリティについての小会議が設定されるな ど、テーマとしてあがることは多い。また一年を通して ASEAN 諸国へ向けてのワークシ ョップやセミナー等を数多く開催している。 ARF は ASEAN 地域における対災害性についての情報発信を多く行っており、情報キュ 45 リティについてもこのくくりで扱われる事が多い。その内容は主にサイバーテロへの対策 やサイバー攻撃等のテーマが取り上げられる事が多い。 ARF の活動の中で情報セキュリティに特化した声明に『サイバー攻撃及びテロリストの サイバー空間悪用との闘いにおける協力に関する ARF 声明』がある。これは 2006 年の閣 僚会議にて『Asia-Pacific Hatches Cyber Attack Plan』として検討され、同年に策定され たサイバー攻撃及びテロリストのサイバースペースの悪用との闘いにおける ASEAN 諸国 間の協力に関する声明文である。その声明文では、あらゆる形態のサイバー攻撃やサイバ ー空間を狙ったテロリズムを、国際平和における深刻な脅威の大いなる要因だとしている。 具体的な取り組みとしては、参加国及び機関はサイバー犯罪及びサイバーセキュリティ についての法整備が遅れている国や地域について、その国の条件に従いながら、国際条約 及び国際的な提言を持ちかけることで、サイバー犯罪及びサイバーセキュリティに関する 法律案を検討し、実装を促すとしている。参加国及び機関は、サイバー空間における犯罪 に取り組むにあたり、協力及び協調のための国内の枠組みの重要性を認識する必要がある とし、国内のサイバーセキュリティユニットを設定運用し、国内機関の間の協力を促進す るよう宣言している。 この声明において具体的に提示された今後の活動指標について、以下にまとめる。 表 3-19 ARF における今後の活動指標 ① ARF の参加国及び機関においての制定が行われていない場合、それぞれの国内状況に 応じたサイバー犯罪及びサイバーセキュリティ法の整備に尽力し、攻撃の予防・検知・ 低減・緩和の為に関連した国際的な提言書/ガイドライン等を参照し、サイバー犯罪及 びサイバーセキュリティ法の実現に努める。これには第 55 回・第 63 回国連総会決議 において推奨されている、サイバー攻撃及びテロリストのサイバー空間悪用との闘い に関しての 10 項目も含まれる。 ② ARF の参加国及び機関は、サイバー犯罪を扱うにあたり国家的枠組みの重要性を認識 する。それにあたり、下記の施策を含んだ国家的枠組みが必要となる。 国内におけるサイバーセキュリティ対応部門を特定し、国家機関同士での連携を高 める 全国的な監視、警告、危機対応能力の開発を行う サイバー空間における犯罪及びテロリストによる悪用に対応する為に国際的機関及 び地域機関と連携・協働し、国際連携・協働・相互に有益なパートナーシップを築 く デジタルフォレンジックを主に、トレーニング・技術の移植と対策を実施する 損害の最小化、インフラ上の破壊活動を追跡するなどの重要なインフラを保護・回 復する能力を強化する 情報セキュリティの分野において、重要インフラの保護を含むサイバー犯罪への対 46 応を目指した政府と民間のパートナーシップを促進する 安全性、セキュリティ、ベストプラクティス、情報ネットワークを使用する上での 責任及びネットワークの誤用により引き起こされる影響に重点を置き、サイバーセ キュリティ及びサイバー上の倫理観に関する国民の意識を高める ARF 参加国・組織はサイバー空間悪用によるテロを含むサイバー犯罪への対応能力を ③ 以下の形式で向上させる 国内のサイバーセキュリティ機関を認定し、協働設立されたネットワークへの参加 に努める ARF 全体のネットワーク内へサイバー犯罪にリアルタイムに脅威及び脆弱性に関 した警告を発信する CSIRT の設立に努める CSIRT 間の既存の協力及び同様の懸念を持つ国際・地域機関との連携を活用する 必要な場合、法整備や法執行機関、法的な技術的事項に関したより高度なトレーニ ング、技術支援及び対応能力構築プログラムの提供、ハードウェア及びソフトウェ アの提供を行う 法執行機関、パートナー、及び地域機関、地域社会間での情報共有を適用される情 報保護規制の枠組みにおいて行う サイバーセキュリティの根付いた文化の構築の為、大衆向けの認識向上を図るトレ ーニングの強化に努める ④ 異なる国内の CSIRT 間の信頼構築と当時に国民への提唱・啓発プログラムを通じ、 テロによるサイバー空間悪用を含むサイバー犯罪に対応するため、ARF 参加国・機関 は相互に協力し取り組む ⑤ ARF 参加国・機関は国際法上の義務に基づき、自国の法がコンピュータネットワーク を通じたものを含むテロ活動を行えない様、適切な措置を取る ⑥ 以後行われる ARF 閣僚会合において、ARF 参加国・組織はサイバー空間悪用による テロへの取り組みに関し進捗状況を見直す またこの他に外務省の資料によると、2012 年 7 月にプノンペンで行われた第 19 回閣僚 会議において、サイバーセキュリティに関する ARF 閣僚声明を採択されたと記載がある。 (2) アジア地域における国際連携(日中韓) ARF の枠組みにおいては、日中韓三国での独自の情報セキュリティに関する国際連携は 行われていない。 (3) ASEAN 地域内の関係機関との情報共有 ARF が毎年発行しているセキュリティ関連についての加盟国の状況をまとめた年次報告 『ANNUAL SECURITY OUTLOOK』では日本を含む一部の参加国について、その国々が 47 取り組んでいる情報セキュリティ政策やプログラムについて言及されているが、その内容 はアウトライン的なものが多く、また国によっては情報セキュリティについての記載がな い国もある。掲載国は毎年異なるが、最新の 2011 年版にはカナダ、中国、朝鮮民主主義人 民共和国、EU、インドネシア、日本、マレーシア、ミャンマー、ニュージーランド、フィ リピン、韓国、ロシア、シンガポール、タイ、アメリカ合衆国が掲載されている。 (4) 加盟全機関との年次会合 毎年夏に行われている ASEAN 外相会議に併せて ARF が開催されている。ASEAN 外相 会議で議長国となった国が、ARF での議長も兼任する。 (5) CSIRT への支援 2006 年の ARF において採択された『サイバー攻撃及びテロリストのサイバー空間悪用 との闘いにおける協力に関する ARF 声明』では ARF 参加国へ向けた独自の CSIRT 設立に 言及しており、ARF 参加国及び機関は、サイバー犯罪(テロリストによるサイバースペー スの悪用を含む)への対応能力の向上を常に目指し、リアルタイムでその脅威と脆弱生を 分析、影響が及ぶ国への迅速な情報共有をアラートして応急処置を施す為のチームとして、 ARF・CSIRT の設立を目指すとしている(それぞれの地域に特化して稼働している CSIRT 間との情報共有を促進し、信頼性の向上につとめる。加えて国民の啓発の為のイベントや プログラムを通じ参加国間での協働を継続することを目指している。) 。 (6) 研究開発(データ分析、リスク評価・コントロール) 該当する研究開発は行っていない。 (7) サイバー演習 ARF では様々な分野におけるワークショップや演習を数多く主催しているが、そのなか で情報セキュリティに特化したワークショップについて以下にまとめる。 48 表 3-20 ARF における情報セキュリティに関するワークショップ 名称 ARF Workshop on 開催年 2012 開催国 概要 シンガポール 個々のリーガルフレームワークに関し Cyber Incident ての法の執行および CSIRT 構造の理解 Response を深めた ARF Virtual Meeting 2007 韓国 情報セキュリティ(主にサイバーテロに Expert (VME) for ついて)に対する反応と応答を高める為 Cyber Security and に、バーチャル環境での情報共有の場 Cyber Terrorism ARF Simulation and 2005 フィリピン サイバーテロへの対応をシミュレーシ ョン化したセミナー形式での ARF 主催 Workshop Events のイベント ARF Seminar on 2005 フィリピン ARF の地域的な枠組み作成の為の短期 Cyber Terrorism から長期までの企画提言が策定された ASEAN Regional セミナー Forum (ア)ARF Workshop on Cyber Incident Response このワークショップはオーストラリア政府の司法長官により提案され実施されたプログ ラムである。ワークショップはサイバーセキュリティインシデント発生時のロジカルステ ップを提示しながら、ディスカッション形式で進められた。このワークショップを開催す る主な目的としては、理解向上、トラブル発生時の情報通達・共有手段の理解、地域内で のベストな対応の検証、十分な構成が実現できていない参加国における対応の優先等が挙 げられている。ワークショップは参加者の①犯罪に対しての方執行機関の同等性手続きに ついて理解を深め②インシデントが発生した場合の迅速な情報の発信と共有について確認 し③各分野におけるベストプラクティスモデルを認識し④短期間の間での共有のテーマに 基づいた優先度の高いキャパシティ・ビルディング、フレームワークとメカニズムの習得 に貢献した。 (イ)ARF Virtual Meeting of Experts (VME) on Cyber Security and Cyber Terrorism Virtual Meeting of Experts(有識者による仮想会議)の主なタスクは、情報セキュリテ ィとサイバーテロの領域において、有事の際の ARF 参加国間での情報共有及び応答能力の 向上や意思決定を円滑に行う為に用いられるシステムである。 (ウ)ARF Seminar on Cyber Terrorism ASEAN Regional Forum 49 このセミナーでは、情報セキュリティ(主にサイバー犯罪とテロ)に関する国家政策上 の情報やアイデアを ARF 参加国同士が共有し議論し合う場所と提供する事が大きな目的と され、参加国が継続的に協力し、効果的に多様なサイバー関連の脅威やサイバーテロに対 処する上でお互いに協力する事を期待して開催された。 セミナーは①地域安全保障とサイバーテロの脅威②国家の重要インフラの保護③サイバ ーテロ事件における危機管理体制④地域の反応に影響を与える問題と懸念、課題点⑤サイ バーテロに対処する為の地域間協力に関するシミュレーション演習⑥まとめと今後の検討 課題の 6 部で構成され、三日間に渡り開催された。 このセミナー後にまとめられた成果として①ARF 閣僚声明の発表を行う(2006 年に実現) ②サイバーテロに対処する為の協力、連携の為の全組織的な枠組みの策定③ARF 閣僚の為 の地域的枠組みの策定(短期的、中期的、長期的)が結論づけられた。 以下②にあたる枠組みについてまとめる 表 3-21 サイバーテロの対処の協力及び連携の枠組み ① 適切な法的枠組みの設定と法整備 ② 参加国間の国際連携と機関との連携の増幅 ③ 国際及び地域機関とのコラボレーションと協力:資源の効果的な管理体制 ④ 市民/ユーザに対しての意識向上プログラムの実施と啓発活動 ⑤ デジタル科学捜査におけるトレーニングと技術移転の対策 ⑥ 重要なインフラを保護する為の強化機能 セミナーの報告書では、国家の枠組みは、政治的、法的、技術的など断片的な能力開発 の側面だけではなく、分野横断的に情報セキュリティとサイバーテロの脅威と戦っていく 課題に対処する為に、上記のソリューションを実現する事を推奨するとまとめられている。 次に、③の ARF 閣僚間の地域的枠組みについて、期間別に以下の表にまとめる。 50 表 3-22 ARF 閣僚間の地域的枠組み 短期的 ① 重要インフラの保護、法執行機関及び CSIRT 活動における、公共機関のフ ォーカルポイントの設立 ② 以下の目的を持った技術や専門家作業部会の会合の開催 1) 参加国間の相互運用性を促進する為の重要なインフラ、法執行機関と証 明書の保護を担当する公的期間の能力の向上を目的とした会合 2) サイバーテロに関する地域に法的枠組みの構築に向けて努力する会合 3) 近隣の参加国同士の協力を継続させる為に地域間の異なる CSIRT 組織 の信頼性向上を目的とした会合 4) アドボカシー:重要なインフラ、公共機関の活動、サイバーテロ対策に 関連する問題についての、一般市民への意識と能力向上を目的とした会 合 ③ 参加国独自のサイバー犯罪に関する国内法は、ARF 参加国間でその成果を 共有し法整備が待たれる国々への大きな手助けとする ④ 次回議長国となる中国とブルネイには次回の ARF ISM の議題のひとつとし て、この情報セキュリティとサイバーテロ対策について取り扱う事を検討す る 中期的 ① サイバーテロ対策を担当する法執行機関やその他の機関の能力向上を目的 としたキャパシティ·ビルディングと訓練を強化する ② サイバーテロ対策を担当する地域の法執行機関や他の機関の能力を強化す るための技術支援を行う ③ テロ対策に関する ASEAN 条約のサイバーテロを含めた条項を確立する 長期的 ① ARF 参加国の間で、証明書の運用上の要件を満たすために、契約に関する ベストプラクティスについてさらなる協議を重ねてゆく ② ARF 参加国は、サイバーテロに関連する国内法を立法し法整備を進めてゆ く、または時代に即した法律にアップデートすることを奨励する ③ サイバーテロと闘うための地域協力のためのメカニズムの確立 ④ 対サイバーテロに関する ARF 独自の施設の設立 (8) サイバーセキュリティの意識啓発活動 ARF の組織形態上、各国の持ち寄る議題をもとに議論を行うため、意識啓発活動などの 組織としての自発的な活動を行っていない。 51 3.6.6. ASEAN CERT 3.6.6.1. 概要 ASEAN CERT は、ASEAN 地域におけるサイバー演習である ASEAN CERTs インシデ ント演習(ACID)を実施するための組織である。ASEAN におけるガイドラインの作成に関 与しているものの、ASEAN-ATRC のサイバー演習に係る業務の実働組織であることから、 それ以外に主な活動は行っていない。シンガポールの SingCERT が、事務局としてサイバ ー 演 習 の 実 施 に 関 し て 中 心 的 な 役 割 を 担 っ て い る 。 日 本 か ら は 、 2007 年 以 降 毎 年 JPCERT/CC が参加している。 表 3-23 ASEAN CERT の基本情報 組織名 ASEAN CERT 設立年 2006 年(第 1 回 ACID 開催年) 設置法・根拠となる条約等 第 5 回 TELMIN において採択されたハノイアジェンダ 予算 非公開 議長国、主導者 SingCERT 機関(事務局)の置かれてい シンガポール る国、都市 URL ウェブサイトはを開設されていない。 3.6.6.2. 背景 ASEAN においても、情報インフラへの脅威の拡大を受けて、各国における CSIRT によ るインシデント対応及びメンバー間の連携の必要性が高まっていた。 そのような中で、第 5 回 TELMIN において採択されたハノイアジェンダでは、 「ASEAN における CSIRT の能力をテストするための演習を実施するといった活動を通して、サイバ ーセキュリティに関する連携を強化すること」が実行分野として挙げられた。ハノイアジ ェンダ32を受けて、シンガポールの SingCERT を事務局として、2006 年に 7 か国 11 チー ム・プロジェクトが参加した33ASEAN CERTs インシデント演習(ACID)が初めて開催され た。 3.6.6.3. 組織及び人員構成 ASEAN においては、ATRC がサイバー演習を担当し、ASEAN CERT が実働組織として ASEAN, HA NOI AGENDA ON PROMOTING ONLINE SERVICES AND APPLICATIONS TO REALIZE E—ASEAN,<http://www.asean.org/images/archive/17759.pdf>,2005 32 ブルネイ、 マレーシア、 フィリピン、 シンガポール、 タイ、 ミャンマー、 ベトナムの 7 か国から、BruCERT、 MyCERT、PH-CERT、SingCERT、NusCERT、SAFECERT、ThaiCERT、mmCERT、VNCERT 及び フィリピンハニーポットプロジェクトからなる 11 チーム・プロジェクトが参加した。 33 52 実際に演習を行っている。シンガポールの SingCERT が事務局として、ASEAN CERT に おける中心的な役割を担っている。 図 3-7 ASEAN CERT の位置づけと組織構成 3.6.6.4. ミッション(活動内容) ASEAN 地域におけるサイバー演習である ASEAN CERTs インシデント演習(ACID)を 実施する事をその活動内容とした組織である。 3.6.6.5. 具体的な取組 (1) 定期的なカンファレンス等の開催頻度 ASEAN CERT では、カンファレンス等は開催していない。 (2) アジア地域における国際連携(日中韓) 2006 年に 7 か国 11 チーム・プロジェクトが参加して実施された ASEAN CERTs インシ デント演習(ACID)は、翌年には、日本・韓国・中国などの対話国(Dialogue Partner) を加え、ASEAN+3 との連携を促進している。 (3) ASEAN 地域内の関係機関との情報共有 インシデント情報やベストプラクティスの共有などに関する、ASEAN CERT 独自の取組 53 は行っていない。なお、事務局である SingCERT が中心となって、情報共有のためのガイ ドラインである"Guidelines on Information Sharing"が作成され、ASEAN 加盟国のための 参照文書として承認されている。 (4) 加盟全機関との年次会合 ASEAN CERT 自体は、年次会合を開催していない。ASEAN における情報セキュリティ に関する年次会合は、TELMIN がその役割を担い、サイバー演習に関する取組の報告や、 今後の指針などが示される。 (5) CSIRT への支援 CSIRT の構築支援や運営・技術に関する助言などに関する、ASEAN CERT 独自の取 組は行っていない。CSIRT への支援は、TELSOM を中心に行われている。なお、事務 局 で ある SingCERT が中 心 と なっ て、 CSIRT 構 築 の ため のガ イ ドライ ン で ある "Minimum Performance Guideline for Setting up of a National CERT”が作成され、 ASEAN 加盟国のための参照文書として承認されている。 (6) 研究開発(データ分析、リスク評価・コントロール) ASEAN CERT では、研究開発を行っていない。ASEAN における研究開発活動は、 ATRC が実施している。 (7) サイバー演習 ASEAN CERT は、サイバー演習実施のための機関として、ASEAN CERT インシデ ント演習(ACID)を 2006 年以降毎年実施している。ACID は、実践ベースのサイバー演習 で、参加チームの連絡窓口(POC)及びインシデントハンドリング手順の検証及び精度 の向上を目的としている。 (8) サイバーセキュリティの意識啓発活動 ASEAN CERT では、サイバーセキュリティに関する意識啓発活動は行っていない。 ASEAN における意識啓発活動は、ATRC 及び TELSOM が実施している。 54 3.6.7. IWWN 3.6.7.1. 概要 IWWN(International Watch and Warning Network)は、サイバー脅威、攻撃および 脆弱性に取り組むことについての国際的な協力活動を促進するために設立された組織であ る。また参加国がグローバルなサイバーセキュリティの現状認識および柔軟に様々な問題 に対応する仕組みを構築する情報を共有するためのフレームワークの提供を行うことを目 的としている。具体的な活動として多国間にまたがったサイバー演習や、参加国の適切な 情報共有のためのポータルサイトの運営などを行っている。 表 3-24 IWWN の基本情報 組織名 International Watch and Warning Network 設立年 2004 年 設置法・根拠となる条 “International Cyber Security Coordination: Watch, Warning, 約等 and Incident Response"会議(2004)におけるドイツ、米国及び参 加国で、サイバーセキュリティ脅威に対するグローバルなレスポン スフレームワークを構築するという合意のもと設置された 予算 非公開 議長国、主導者 ドイツ、アメリカ、オーストラリア、ニュージーランド 機関(事務局)の置か 情報共有のフレームワークのため拠点はない れている国、都市 URL ウェブサイトは公開されていない 3.6.7.2. 組織及び人員構成 以下の 15 カ国から、各国の政府機関、CSIRT 等が参加している。 表 3-25 IWWN の参加国34 Australia(オーストラリア) The Netherlands(オランダ) Canada(カナダ) New Zealand(ニュージーランド) Finland(フィンランド) Norway(ノルウェー) France(フランス) Sweden(スウェーデン) Germany(ドイツ) Switzerland(スイス) Hungary(ハンガリー) United Kingdom(イギリス) Italy(イタリア) United States(アメリカ) Japan(日本) 34Information Technology Sector-Specific Plan(An Annex to the National Infrastructure Protection Plan) 2010 < http://www.hsdl.org/?view&did=7899 > 55 3.6.7.3. 背景 サイバー空間の脅威、攻撃、脆弱性に対して国際協力を促進することを目的とし、サイ バー空間の現状認識やインシデント対応能力に関して情報共有するためのネットワーク上 の場として設立された。 3.6.7.4. ミッション(活動内容) IWWN 参加国間で、グローバルのサイバーセキュリティに対しての意識付けやインシデ ントに対しての対応能力向上のために情報交換する仕組みを提供している。 3.6.7.5. 具体的な取り組み IWWN 参加国間で、グローバルのサイバーセキュリティに対しての意識付けやインシデ ントに対しての対応能力向上のために情報交換の場を提供している。 (1) 定期的なカンファレンス等の開催頻度 原則として 1 年に 1 回会合を開くとしている。2012 年現在確認できた会合は計 3 回で ある。 (2) アジア地域における国際連携(日中韓) 日本はメンバーだが、中国、韓国はメンバー外。 (3) ASEAN 地域内の関係機関との情報共有 当該枠組みにおいて ASEAN 地域内の関係機関との情報共有は確認できていない。 (4) 加盟全機関との年次会合 (1)のとおり、原則として 1 年に 1 回会合を開くとしている。 (5) CSIRT への支援 IWWN 参加各国の政府機関、CSIRT メンバーに対して、インシデント対応の机上演習 や情報連絡演習を実施している。 (6) 研究開発(データ分析、リスク評価・コントロール) 研究開発は行われていない。 (7) サイバー演習 (5)のとおり、インシデント対応の机上演習や情報連絡演習を実施している。 56 (8) サイバーセキュリティの意識啓発活動 メンバー間におけるサイバーセキュリティ関係の情報交換と連携のためにポータ ルサイトを運営している。またここでの情報交換からサイバーセキュリティの訓 練計画を策定している。 57 3.6.8. Meridian Process 3.6.8.1. 概要 Meridian Process は、重要インフラに対する脅威の情報を共有し、各国が連携して対策 する方策を議論するためのカンファレンスを提供するプロジェクトである。 2005 年以来、毎年 1 回カンファレンスが行われ、各国の代表者による意見交換や有識者 による講演が行われている。 表 3-26 Meridian Process の基本情報 組織名 Meridian Process 設立年 2005 年 設置法・根拠となる 2005 年に英国で開催された、第一回のメリディアン会議にてメリ 条約 ディアンプロセスが採択された 予算 非公開 議長国、主導者 あらゆる国と経済圏が参加することが可能 機関(事務局)の置 情報共有のフレームワークであり、拠点は存在しない かれている国、都市 URL http://www.meridianprocess.org 3.6.8.2. 背景 重要インフラに対するサイバー攻撃等の脅威情報の共有や、各国の連携のために作られ た組織で、G8 を中心に欧州・アジアの重要インフラ担当者が参加している。日本を含む 25 カ国・地域の政府関係者、政府系の CSIRT 等から構成されている。 3.6.8.3. 組織及び人員構成 政府関係者及び政府系 CSIRT から構成されているが、詳細に関しては非公開である。 3.6.8.4. ミッション(活動内容) 主な活動内容は重要インフラ防護に関する知見の共有、各国の政策当局との直接対話、 グローバルな情報セキュリティの動向に関する情報収集等である。 3.6.8.5. 具体的な取組 (1) 定期的なカンファレンス等の開催頻度 年に一度、政府向けに意見交換や議論を促進するためにカンファレンスを実施している。 (2) アジア地域における国際連携(日中韓) 日本からは NISC が Meridian Annual Conference へ参加している。また、制御システ 58 ムのワーキンググループには JPCERT/CC も参加している。 一方、中国・韓国はメンバー外である。 (3) ASEAN 地域内の関係機関との情報共有 詳細は非公開である。 (4) 加盟全機関との年次会合 各国政府の意見交換、議論の場として、年次で Meridian Annual Conference を実施し ている。 2005 年以降毎年、年次会合が開催されており、2013 年もアルゼンチンで開催される予 定である。各年次会合の開催場所は以下のとおりである。各会合の詳細については外部 非公開である。 表 3-27 年次会合 年次 開催場所 2005 年 グリニッジ 2006 年 ブダペスト 2007 年 ストックホルム 2008 年 シンガポール 2009 年 ワシントン DC 2010 年 台北 2011 年 カタール 2012 年 ベルリン 2013 年 アルゼンチン (5) CSIRT への支援 具体的活動の詳細に関しては非公開であるが、ニュースレターの内容からは CSIRT との 連携がみられる。 (6) 研究開発(データ分析、リスク評価・コントロール) 研究開発そのものは行っていない。 (7) サイバー演習 Meridian Process は各国窓口との疎通訓練を実施している。 (8) サイバーセキュリティの意識啓発活動 59 大規模な啓発活動は行っていない。 3.6.9. IMPACT 3.6.9.1. 概要 IMPACT は、ITU の情報セキュリティ戦略である Global Cybersecurity Agenda (GCA) を実行に移すために設立された。IMPACT は ITU の 193 の加盟国と国連の他の組織に対し てサイバーセキュリティの支援とサポートを提供するために設立された民間機関である。 この機関は、全世界の多様なステークホルダーと連携しながら、主に情報共有や途上国な どの情報セキュリティに関する能力を備えていない国・機関に対して支援を行っている。 表 3-28 IMPACT の基本情報 組織名 IMPACT 設立年 2009 年 3 月 設置法・根拠となる ・2011 年 3 月に開かれた世界情報社会サミットにおける合意によっ 条約等 て、国連のサイバーセキュリティに関する実務組織となる ・組織体制や活動内容は、ITU の情報セキュリティ戦略である Global Cybersecurity Agenda (GCA)に基づいている 予算 非公開 議長国、主導者 議長 機関(事務局)の置 マレーシア、サイバージャヤ Mohd Noor Amin かれている国、都市 URL http://www.impact-alliance.org/ 3.6.9.2. 背景 IMPACT 設立の背景には、増大するサイバー空間における脅威に対し、その対応が断片 的かつ、散発的な物であった為にサイバーセキュリティに関する対応が遅れ、かつその効 果が限定的であった事から行政、民間、アカデミックの分野から包括的な対応をする必要 に迫られた事から設立された。 3.6.9.3. 組織及び人員構成 IMPACT は、GCA の実行機関として、戦略的・体系的な組織体制を構築している。 IMPACT の組織体制は、理事会を IMPACT の運営に関する最高意思決定機関として、4 つ のセンターと 2 つの局から構成される。理事の意思決定にあたっては、技術的なアドバイ ザーと法・予算・人的資源の管理などに関するアドバイザーがサポートを行う。 60 図 3-8 IMPACT 組織図 IMPACT 各センターは、GCA の 5 つの戦略目標を達成するための4つの支柱として、そ れぞれ戦略目標に対応した機能が与えられている。 表 3-29 GCA の業務化 GCA の戦略目標 IMPACT の4つの支柱 GCA の業務化 (ITU’s GCA Five (IMPACT’s Four Pillars) (IMPACT Operationalising the Strategic Thrust) 法的対応 ITU’s GCA) Centre for Policy and ・サイバー空間における法律及びサ InternationalCooperation イバー犯罪に対する規制に関するワ ークショップ及びセミナーの開催 ・政策に係る助言及びベストプラク 国際連携 ティスの共有 ・知識、技術、経験などを改善する ための官民連携の促進 61 技術的・手続的な施策 Global Response Centre 国家間のサイバーセキュリティに関 (Technical and する脅威を減少させるために、国家、 Procedural 規制当局、法執行者、及びナショナ Measure) ル CSIRT 間の連携を促進する 組織体制 ナショナル CSIRT の発展 Centre for Security Assurance and Research 能力構築 Centre for Training and 世界レベルの能力の付与、及び能力 Skills Development 構築プログラムの実施 3.6.9.4. ミッション(活動内容) IMPACT は世界初の行政、民間、学術部門を包括的に結び、マルチラテラルにサイバー 空間における脅威に対応する事を目的として設立されており、その任務は主に ITU と連携 し、サイバー関連の研究を行う研究者に情報と施設の貸与を行っており、現在 IMPACT は 193 人の研究者の活動をサポートしている。また、IMPACT は ITU における GCA(global security agenda)の本拠地としても活動している。 3.6.9.5. 具体的な取組 (1) 定期的なカンファレンス等の開催頻度 学会やインダストリーパートナーであるベンダーと合同でサイバーセキュリティに関す るトレーニング、ワークショップなどを 定期的に実施している。サイバーセキュリティサ ミットや、情報社会に関する世界会議(WSIS)のホストである。 表 3-30 過去のカンファレンス等開催状況 開催日 カンファレンス名 開催国 概要 2012 年 ITU-IMPACT ALERT Cyber ヨルダン アラブ諸国向けに開催され 7月 Drill (Arab Region), た、情報セキュリティに関す るワークショップ 2011 年 ITU-IMPACT ALERT" CYBER 12 月 DRILL 2011 for CLMV マー、ベトナムに対する情報 Countries 通信技術(IT)・情報セキュ ミャンマー カンボジア、ラオス、ミャン リティに関するワークショ ップ 2011 年 The 9th Annual Policing 2月 Cyberspace International マレーシア サイバー犯罪防止のための 国際的な連携強化のための 62 開催日 カンファレンス名 開催国 Summit 2011 概要 サミット 2010 年 ITU-IMPACT’s Partner Forum 12 月 2010 2010 年 SANS-IMPACT Community 7月 Night 2010 2010 年 SANS-IMPACT Security 6月 Essentials Bootcamp Style る短期集中型のサイバーセ Training キュリティトレーニング マレーシア ITU と IMPACT の連携に関 する協議 マレーシア IMPACT と SANS による情 報共有のためのセッション マレーシア セキュリティ関係者に対す 2010 年 IMPACT Seminar on Network 4月 Investigations for Law 行に関する行政向けセミナ Enforcement, ー ブルネイ サイバー犯罪の調査と法執 2009 年 Microsoft Critical Information 12 月 Infrastructure Protection 向けの情報保全等に関する Seminar セミナー マレーシア マイクロソフトによる政府 2009 年 ITU Subregional 12 月 Telecommunication Ministerial マー、ベトナムに対する情報 Forum for CLMV Nha Trang, 通信技術(IT)・情報セキュ Vietnam - 10th - 11th December リティに関するワークショ 2009 ップ ベトナム カンボジア、ラオス、ミャン 2009 年 Regional Cybersecurity Forum ドミニカ共 IMPACT の Anuj Singh によ 11 月 For The Americas 和国 ってサイバーセキュリティ に関する講義が行われた 2009 年 FutureGov Summit 2009 10 月 インドネシ サイバー戦争に関する現状 ア のプレゼンテーションとセ キュリティの必要性に関す る講義 (2) アジア地域における国際連携(日中韓) 日本、韓国は関連性が今のところない。中国は IMPACT-ITU のパートナー国のうちの一 つである。 (3) ASEAN 地域内機関との情報共有 ASEAN 諸国に限定されたものではないが、IMPACT では、Global Response Centre が 63 中心となって、情報共有のためのシステムを提供している。Global Response Centre は、 CSIRT、インターポールなどの法執行機関、ISPs、規制当局などの多様なステークホルダ ー 間 に お け る 知 識 管 理 を 可 能 に す る た め の 枠 組 み で あ る Electronically Secured Collaborative Application Platform for Experts (ESCAPE)や、パートナー国間の早期警戒 警報システムである Network Early Warning System (NEWS)などの枠組み・システムを 提供することで、情報共有の促進を図っている35。 (4) 加盟全機関との年次会合 IMPACT は ITU の実行機関であるため、ITU の年次会合である ITU Telecom World 等 に参加する形で年次会合を行っている。 (5) CSIRT への支援 CSIRT の支援は主に、Centre for Security Assurance and Research が担当している。 Centre for Security Assurance and Research では、CSIRT の構築支援のため、CIRT-Lite と呼ばれるプロジェクトを行っている。CIRT-Lite では、ナショナル CSIRT の設立に向け たロードマップの策定、運営におけるポリシーやプロセスの策定・実施のために、ツール やテンプレートの開発・提供を行っている。現在までに、東南アジア、西アジア、アフリ カ地域などにおける 26 か国で CIRT-Lite のツールやテンプレートが利用されている36。 (6) 研究開発(データ分析、リスク評価・コントロール) 研究開発そのものは行っていない。 (7) サイバー演習 IMPACT では、ALERT (Applied Learning for Emergency Response Team)と呼ばれる サイバー演習を実施している。ALERT とは、手続、プロセス、対応計画などの策定及び改 善を支援するために行われる、実践ベースのサイバー演習である。これまでに、東南アジ ア地域、アラブ地域、欧州・CIS 地域においてサイバー演習が実施されている。なお、サ イバー演習は、能力構築や情報共有を目的としたワークショップの一環として行われてお り、今のところ同一地域で定期的に演習が実施される形とはなっていない。 (8) サイバーセキュリティの意識啓発活動 IMPACT では、サイバー空間における子供の安全を確保するためのイニシアチブを取る 活動組織である Child Online Protection (COP) を実施している。COP では、多様なステ 35IMPACT Services http://www.impact-alliance.org/services/grc-introduction.html 36ITU,IMPACT,<http://www.itu.int/ITU-D/cyb/publications/2012/IMPACT/IMPACT-en.p df>,2012 64 ークホルダーに対するガイドラインを作成し、各ステークホルダーにサイバー空間におけ る子供の安全を確保するための戦略や施策を講じるよう促している。 また、サイバーセキュリティに関するセミナー、ワークショップ、トレーニングなどを 定期的に実施し、能力構築の一環として意識啓発活動を行っている。 65 3.6.10. FIRST 3.6.10.1. 概要 FIRST は、情報セキュリティの情報を世界中の CSIRT 間で共有することを目的とするフ ォーラムである。50 以上の国・地域の CSIRT やグローバル企業の CSIRT がメンバーとし て参加し、情報交換や協力体制の構築を行っている。 1989 年以来、毎年 1 回の全体カンファレンスが行われている他、個別具体的な話題を扱 う小グループが常時活動しており、積極的に研究成果を発信している。 なお、下表ではフォーラムとしての FIRST と、その運営事務局である非営利団体 FIRST.ORG, Inc とを分けて示す。 表 3-31 FIRST の基本情報 組織名 FIRST FIRST.ORG, Inc. 設立年 1990 年 1990 年 設 置 FIRST は世界各国のインシデント FIRST.ORG, Inc は FIRST の活動を執行・ 法・根拠 対応/セキュリティチームから構 支援するための事務局。 となる 成される国際フォーラムであり、設 非営利団体であり、以下に規約が定められ 条約 置の根拠が示されている公式文書 ている。 は非公開。 BYLAWS OF FIRST.ORG, Inc. ( http://www.first.org/about/policies/byla ws) 予算 外部非公開 外部非公開 議長国、 運営委員長:Chris Gibson (Citi, 主導者 理事会:9 名のメンバーから構成 事務局(1 名) :Kurt Sauer (PayPal, JP) US/UK) 会計:Peter Allor (IBM, US) 運営委員会:上記 2 名を含む、10 名のメンバーから構成 事 務 局 : Neustar, Inc. (NYSE: NSR)に委託 FIRST 全体としては、59 の国・地 域から 274 の団体が参加しており、 フルメンバーとリエゾンメンバー から構成 各国・地域の CSIRT のほか、企業 の CSIRT もメンバーとなっている 66 機関(事 フォーラムなので、拠点は存在しな 務局)の い 米国カリフォルニア州サン・マテオ郡 置かれ ている 国、都市 URL http://www.first.org/ 3.6.10.2. 背景 設立のきっかけとなったのは 1989 年のインターネットワームに対する脅威とされている。 インターネットワームによる攻撃は相互接続されたネットワーク全体に対する危機である と見なされて、DNS サーバなどの重要な IT インフラやインターネットの脆弱性の問題や 広範囲攻撃への対策などの情報交換やインシデント対応の協力を目的として FIRST が設立 されるに至った。 3.6.10.3. 組織及び人員構成 FIRST の運営スタッフは運営委員会(Steering Committee)と事務局(Secretariat)、その 他の委員会から構成される。 運営委員会は FIRST の運営ポリシー、手順を定め、FIRST の運営の最高責任機関として 機能している。運営委員会のメンバーは傘下メンバーの CSIRT の代表から選出され、2 年 間の任期で定員は 10 名とされている。運営委員長もここから選出される。 事務局の役割は FIRST のメンバーである CSIRT のプロファイル情報の管理、会合やワ ークショップのコーディネート、個々のメンバーCSIRT の活動情報の管理などである。ま た、FIRST の既存メンバーや加入希望 CSIRT へのガイダンスも提供する。 その他、臨時に設置されるアドホック委員会や審議会などがある。 なお、FIRST の活動を執行・支援するための米国カリフォルニア州登録の非営利団体 FIRST.ORG, Inc.には取締役会(Board of Directors)が存在する。現在、JPCERT/CC の 国際担当理事である山口氏も FIRST.ORG, Inc.の取締役の一員であるとともに、FIRST の 運営委員会のメンバーとなっている。 3.6.10.4. ミッション(活動内容) 第一に加盟するメンバーによるセキュリティ技術の情報、ツール、方法論、問題解決の プロセス、ベストプラクティスの発信・共有が主要なミッションである。 第二にセキュリティ製品・セキュリティポリシー・セキュリティサービスの開発や品質 の向上を奨励し、促進する活動を行っている。 第三に最高のコンピュータセキュリティプラクティスの開発・公布を行っている。 67 第四に世界中のあらゆる組織における CSIRT の設立・拡大を促進している。 第五により安全で安心なグローバル情報通信環境を実現するために保有している知識・ スキル・経験を結合によるソリューションの提案を行っている。 3.6.10.5. 具体的な取組 (1) 定期的なカンファレンス等の開催頻度 定期的に開催されている。 2012 年においても 1 カ月に 1 回程度の頻度で直接会合以外の電話会議が開催されていた 模様である。 (2) アジア地域における国際連携(日中韓) 日本からは 23 チーム、中国からは 4 チーム、韓国からは 7 チームが加盟している。具体 的な連携活動に関しては不明。 68 表 3-32 日本からの加盟 CERT 略称 正式名称 CDI-CIRT Cyber defense institute Incident Response Team CFC Cyber Force Center DeNA CERT DeNA Computer Emergency Response Team FJC-CERT Fujitsu Cloud CERT HIRT Hitachi Incident Response Team IIJ-SECT IIJ Group Security Coordination Team IPA-CERT IPA-CERT JPCERT/CC JPCERT Coordination Center JSOC Japan Security Operation Center KDDI-CSIRT KDDI Computer Security Incident Response Team KKCSIRT Kakaku.com Security Incident Response Team MBSD-SIRT Mitsui Bussan Secure Directions, Inc. Security Incident Response Team MIXIRT mixi Incident Response Team MUFG-CERT Mitsubishi UFJ Financial Group - CERT NCSIRT NRI SecureTechnologies Computer Security Incident Response Team NISC National Information Security Center NTT-CERT NTT Computer Security Incident Response and Readiness Coordination Team NTTDATA-CERT NTTDATA-CERT Panasonic PSIRT Panasonic Product Security Incident Response Team Rakuten-CERT Rakuten-CERT Ricoh PSIRT Ricoh Product Security Incident Response Team SBCSIRT Softbank Telecommunications Security Incident Response Team YIRD Yahoo Incident Response Division 表 3-33 中国からの加盟 CERT 略称 正式名称 CMCERT/CC China Mobile Computer Network Emergency Response Technical Team /Coordination Center CNCERT/CC National Computer Network Emergency Response Technical Team / Coordination Center of China 69 略称 正式名称 HKCERT Hong Kong Computer Emergency Response Team Coordination Centre Huawei NSIRT Huawei Network Security Incident Response Team 表 3-34 韓国からの加盟 CERT 略称 正式名称 ASEC AhnLab Security E-response Center ECSC Education Cyber Security Center Infosec-CERT Infosec Computer Emergency Response Team KF/ISAC Korea Financial Information Sharing & Analysis Center KFCERT Korea Financial Computer Emergency Response Team KN-CERT Korea National Computer Emergency Response Team KrCERT/CC KrCERT/CC (3) ASEAN 地域内の関係機関との情報共有 ASEAN 加盟国家の中では、タイから 1 チーム、マレーシアから 2 チーム、インドネシア から 1 チームが加盟している。具体的な連携活動に関しては不明。 表 3-35 タイからの加盟 CERT 略称 正式名称 ThaiCERT Thai Computer Emergency Response Team 表 3-36 マレーシアからの加盟 CERT 略称 正式名称 MBBCERT Maybank IT Security and Incident Management team MyCERT Malaysian Computer Emergency Response Team 表 3-37 インドネシアからの加盟 CERT 略称 正式名称 ID-SIRTII Indonesia Security Incident Response Team on Internet Infrastructure 70 (4) 加盟全機関との年次会合 1 年に 1 回開催されている。 インシデント対応と CERT 運営の問題に焦点を合わせて、専門家の経験と知識を共有す ることを目的とする。国際的なスピーカによるプレゼンテーション、招待講演、基調講演 などが含まれる。 表 3-38 年次会合 年次 開催場所 第 1 回(1989 年 7 月、8 月) ピッツバーグ 第 2 回(1990 年 6 月) カリフォルニア州プレザントン 第 3 回(1991 年 8 月) ヴァージニア州ハーンドン 第 4 回(1992 年 8 月) デンバー 第 5 回(1993 年 8 月) セントルイス 第 6 回(1994 年 7 月) ボストン 第 7 回(1995 年 9 月) カールスルーエ 第 8 回(1996 年 7 月) サンタクララ 第 9 回(1997 年 6 月) ブリストル 第 10 回(1998 年 6 月) モンテレー 第 11 回(1999 年 6 月) ブリスベン 第 12 回(2000 年 6 月) シカゴ 第 13 回(2001 年 6 月) トゥールーズ 第 14 回(2002 年 6 月) ハワイ 第 15 回(2003 年 6 月) オタワ 第 16 回(2004 年 6 月) ブダペスト 第 17 回(2005 年 6 月、7 月) シンガポール 第 18 回(2006 年 6 月) ボルティモア 第 19 回(2007 年 6 月) セビリア 第 20 回(2008 年 6 月) ヴァンクーヴァー 第 21 回(2009 年 6 月、7 月) 京都 第 22 回(2010 年 6 月) マイアミ 第 23 回(2011 年 6 月) ウィーン 第 24 回(2012 年 6 月) マルタ 第 25 回(2013 年 6 月予定) バンコク 71 (5) CSIRT への支援 CSIRT が主体となっているフォーラムであり、政府系・民間系を問わず、あらゆる組織 における CSIRT の設立・拡大を支援している。 (6) 研究開発(データ分析、リスク評価・コントロール) 研究開発については、研究結果を公表している。 FIRST には Special Interest Groups (SIGs)という技術的事項に関して関心がある話題を 議論する場が設けられている。SIG には FIRST 加盟 CSIRT 及び招待された団体に属する 個人が参加することができる。SIG はそれぞれ独自のミッション、目標を設定し、参加者 間や招待スピーカからのプレゼンテーションを行うなど特定の分野に関する技術的課題と 解決策を議論するフォーラムとして機能している。FIRST 全体の公式見解を表わすもので はないが、この SIG 単位で論文や出版物を出すことがある。現在活動している SIG は以下 のとおりである。 72 表 3-39 SIG の一覧と概要 グループ名 概要 Common Vulnerability IT の脆弱性に対するオープンで標準化された評価手法を提 Scoring System 供するように設計されたシステムである CVSS に関して議 Special Interest Group 論を行うグループである。 (CVSS-SIG)37 組織における脆弱性の原因、時間的及び環境的特性に注目 し、セキュリティの脆弱性への対応に優先順位をつけて調整 することに役立てることを目的としている。 Metrics Special Interest 効果的な定量的インシデント管理を実現するための CSIRT Group (Metrics SIG)38 運営プロセスや評価指標を議論するグループである。 Internet Infrastructure インターネットインフラベンダのためのフォーラムを提供 Vendors Special Interest しているグループである。インターネットインフラには OS、 Group(Vendor SIG)39 コンピュータハードウェア、ネットワーク機器などが該当す る。 Law Enforcement / 技術的なインシデント対応と法執行の協力関係を促進する CSIRT Co-operation ことを目的とするグループである。特定のインシデント対応 Special Interest Group を議論する適切なチャネルの設定・公開などを行っている。 (LECC-SIG)40 Network Monitoring 安全なシステムを構築するためにネットワーク上の悪意の Special Interest Group ある活動を定量化して測定することを目的とするグループ (NM-SIG)41 である。 ネットワーク監視を行うためのネットワークセンサや監視 データの分析・処理の知識や技術を開発・共有している。 Malware Analysis CSIRT が悪意のあるコードに対抗・分析を行えるようにす Special Interest Group るためのマルウェア解析ツールと技術の共有を行っている。 (MA-SIG)42 Botnet Mitigation and ボットネットの被害軽減及び復旧に関する経験・技術を共有 Remediation Special することを目的とするグループである。 Interest Group (Botnet ボットネット問題に対処するためのアプローチとベストプ SIG)43 ラクティスの提供を行っている。 37 38 39 40 41 42 43 http://www.first.org/cvss http://www.first.org/global/sigs/metrics http://www.first.org/vendor-sig http://www.first.org/global/sigs/lecc http://www.first.org/global/sigs/monitoring http://www.first.org/global/sigs/malware http://www.first.org/global/sigs/botnet 73 (7) サイバー演習 サイバーインシデントや情報処理に関する法執行の協調(共助)を目的とするワークシ ョップが開催されたことがある。 (8) サイバーセキュリティの意識啓発活動 文書の公開や各種イベントでのプレゼンテーションを行っている。 また、ISO や ITU-T と連携してサイバーセキュリティの標準化にも取り組んでいる。 74 3.6.11. IGF 3.6.11.1. 概要 IGF(インターンネットガバナンスフォーラム)は、インターネットに関わる様々な課題に ついてマルチステークホルダー間で政策対話を行う事を目的に設立されたフォーラムであ る。 表 3-40 The Internet Governance Forum の基本情報 組織名 The Internet Governance Forum(IGF) インターネットガバナンスフォーラム 設立年 2005 年に世界情報社会サミットによって設立される 実際にフォーラムそのものがスタートしたのは 2006 年 設置法・根拠とな チェニス・アジェンダ(2005 年) る条約 予算 IGFは、さまざまなインターネットガバナンス関連グループからの寄付 によって運営されている。実際の年次会合に関してはホスト国が大部分 の費用を負担することとなっている。 IGF 事務局の活動はマルチドナー信託基金によって支払われた予算外 拠出金でまかなわれており、UNDESA(国連の経済社会局)が中心となっ て収集している基金が使用されている。全ての活動は国連金融規制、規 則及びその他の適用されるディレクティブ、手続及び慣行に従って投与 して会計処理されている。また、事業支出は各年財務報告書と国連の監 査済み財務諸表に含まれている。 議長国、主導者 ・バングラデシュ、ブラジル、カナダ、コートジボワール、デンマーク、 ドイツ、イタリア、日本、ケニア、マルタ、ナイジェリア、ポルトガル、 ロシア、ガンビア、トーゴ、ウガンダ、ウクライナ、イギリス、アメリ カ ・アフリカ全体、アラブ全体、アジア太平洋地域、カリブ海地域、中央 アフリカ地域、英連邦、東アフリカ地域、欧州、ラテンアメリカとカリ ブ海諸国、太平洋地域、西アフリカ地域(地域ごとの IGF が存在する) 機関(事務局)の スイス ジュネーブ 置かれている国、 都市 URL http://www.intgovforum.org/cms/ 75 3.6.11.2. 背景 2003 年にジュネーブで行われた世界情報社会サミットによって、利害関係者間合意が行 われ、インターネットガバナンスについて議論をするべく、国際連合にインターネットガ バナンスワーキンググループ(WGIG)が設けられた。この WGIG は 2004 年に 40 名の委 員から構成・発足し、数回の会合や検討作業等を行った結果、最終的に 2005 年に WGIG としての最終報告書を発表してこの組織は解散している。 当該インターネットガバナンスワーキンググループ(WGIG)が提出した最終報告書の中 でインターネットガバナンス全般を扱うフォーラムの設置が提案された。そして明確にイ ンターネットガバナンスフォーラムの設置及び開催が記載されたのは、2005 年度の世界情 報社会サミット(WSIS)のチュニジア・チェニス会合である。ここで採択されたチェニス・ アジェンダによって、インターネットガバナンスフォーラムの設置が決定した。また、イ ンターネットガバナンスフォーラムは、オープンフォーラムとなっている。 3.6.11.3. 組織及び人員構成 開催主体は国際連合となっており、開催支援のため、政府、産業界、学術/技術コミュ ニティ、および市民社会の代表からなるマルチステークホルダー諮問委員会 (Multistakeholder Advisory Group,MAG)が設立され、MAG とは別に議長の顧問として、 6 名の専門家が選ばれている。 3.6.11.4. ミッション(活動内容) インターネットにおける諸問題に対してグローバルな観点から対応するために様々な分 野、国、地域においてインターネットの管理に関する会議が行われている。その中でも IGF は国連が会議を主催し、この会議と連携して国ごと、地域ごとに世界中で議論を進めてい る。そして、インターネットガバナンスに関連する公共政策問題に関する世界的なリーデ ィングマルチステークホルダーフォーラムとなっている。 年々参加国及び参加者は増加の一途をたどっており、 2010 年のリトアニア・ビアニュス 会合では 107 カ国 1451 名がフォーラムに参加した 76 表 3-41 主な業務内容 ① インターネットにおける持続可能性・堅牢性・セキュリティ・安定と発展を促進す るために、インターネットガバナンスの重要な要素に関連する公共政策の課題を議 論すること。 ② インターネットに関する異なった分野において、横断的な国際公共政策を扱う各国 間の談話を促進し、既存の問題点について議論すること。 ③ インターネットガバナンスフォーラムにおける権限のもとで、以下の事項について 適切な政府間機関や他機関とのインターフェイスを行うこと ・情報とベストプラクティスの交換を容易にし、学術的、科学的、技術的なコミュ ニティの専門知識を重点的に活用 ・発展途上国のインターネットの可能性と手頃な価格での利用を促進する方法や手 段を提案し、すべてのステークホルダーに助言 ・特に、既存インターネットガバナンスおよび将来のインターネットガバナンス· メカニズム、途上国からのインターネットガバナンスに対する利害関係の関与を強 化 ④ インターネットガバナンスにおける関係機関と世界のインターネット利用者に対 してインターネットにおける脅威を警告するとともに、問題発生時には適切な勧告 を行い、新たな課題を特定すること。 ⑤ インターネットガバナンスにおける知識やノウハウのローカルソースに完全に描 画、発展途上国では、インターネットガバナンスのためのキャパシティ·ビルディン グに貢献すること。 ⑥ インターネットガバナンス·プロセスにおける WSIS の原則の実施、継続的に推進 し、評価すること ・重要なインターネット資源に関する問題について議論を行う ・日常のユーザに特に関心の高いインターネットの利用及び誤用から生じる問題の 解決策を見つけるのを助長する役割を果たす ⑦ インターネットガバナンスフォーラムにおける毎回の議事録を公開 しかし、インターネットガバナンスフォーラムに関しては、設立当初に創設より 5 年以 内で継続について調査・勧告すると規定していたため、現在 IGF の延長について議論中で ある。 77 3.6.11.5. 具体的な取組 (1) 定期的なカンファレンス等の開催頻度 2006 年から毎年、フォーラムが開催されている。毎年フォーラムの準備や議論内容など の事前のカンファレンス等も行われている。 ま た 、 国 際 連 合 が 主 導 と な っ て IGF 内 に マ ル チ ス テ ー ク ホ ル ダ ー 諮 問 グ ル ー プ (Multistakeholder Advisory Group:MAG)を設立している。この MAG とは、毎年開催 されている IGF の会議の議題やプログラム及び会期中のスケジュールの策定に際して国際 連合の事務総長に助言を行う役割の下に設立されている。また、この MAG はスイスのジュ ネーブにおいて、年 3 回の協議会を行い、そこでは政府・民間などのインターネットガバ ナンスにおける多方面からの有識者が集まり、インターネットガバナンスに関連する議論 を重ねている。MAG とは別に、議長の顧問として 6 名の専門家が選ばれる。 (2) アジア地域における国際連携(日中韓) アジア地域においては、APrIGF(Asia Pacific Regional Internet Governance Forum) が存在する。この APrIGF においてもアジア・太平洋地域のインターネットガバナンスフ ォーラムが開催されている。2012 年には IGF 日本が中心となって第 3 回のアジア・太平洋 地域のインターネットガバナンスフォーラムが開催されている。この APrIGF は APNIC (Asia Pacific Network Information Centre)のイベントの 1 つとして 2010 年から開催さ れている。 (3) ASEAN 地域内の関係機関との情報共有 ASEAN 地域の国々は IGF の関連機関は現時点で設置されていない。アジア地域の APrIGF が ASEAN 地域も担っている。 78 (4) 加盟全機関との年次会合 表 3-42 年次会合の概要 年度 開催国・場所 テーマ 2006 年 ギリシャ・アテネ ① インターネットの開放性 ② セキュリティ ③ 多様性 ④ アクセス 2007 年 ブラジル・リオデ ① 重要なインターネット資源の管理 ジャネイロ ② アクセス ③ 多様性 ④ 開放性 ⑤ セキュリティ 2008 年 インド・ハイデラ ① 次の 10 億人へリーチ バード ② サイバーセキュリティ及び信頼向上の促進 ③ 重要なインターネット資源の管理 ④ 新たな課題-明日のインターネット ⑤ 実績評価とこれから 2009 年 エジプト・シャル ① 重要なインターネット資源の管理 ムエルシェイク ② セキュリティ、開放性及びプライバシー ③ アクセスと多様性 ④ WSIS 原則から見るインターネットガバナンス ⑤ 新たな課題-ソーシャルネットワークの影響 2010 年 リトアニア・ヴィ ① 重要なインターネット資源の管理 リニュス ② セキュリティ、開放性及びプライバシー ③ アクセスと多様性 ④ 開発の為のインターネットガバナンス ⑤ 新たな課題-クラウドコンピューティング 2011 年 ケニア・ナイロビ ① 開発の為のインターネットガバナンス ② 新たな課題 ③ 重要なインターネット資源の管理 ④ セキュリティ、開放性及びプライバシー ⑤ アクセスと多様性 ⑥ 実績評価とこれから 79 年度 開催国・場所 テーマ 2012 年 アゼルバイジャ ① 開発の為のインターネットガバナンス ン・バグー ② 新たな課題 ③ 重要なインターネット資源の管理 ④ セキュリティ、開放性及びプライバシー ⑤ アクセスと多様性 ⑥ 実績評価とこれから 各会合では、参加国各国から企業の重役や政府役人等が集い、数日間の日程でセッショ ンやワークショプ、レセプション等が行われる。 現在までの会合で主に議論された内容を以下の表にまとめる。 表 3-43 年次会合における議論内容 2006 年アテネ会合 主に 4 つのテーマ( 「開放性」 「セキュリティ」 「多様性」 「アクセス」 ) 2007 年リオデジャ についてのセッションが行われた。それに加え、リオでの会合では ネイロ会合 「重要なインターネット資源」に関しても議論が行われた。このセ ッションでは、政府による ICANN への関与、組織体制・プロセス に関する改善の必要性が議論された。 2008 年ハイデラバ この会合では「重要なインターネット資源」以外のテーマが変更さ ード会合 れ、 「次の10億人へリーチ」 「サイバーセキュリティ及び信頼向上 の促進」「重要なインターネット資源」「新たな課題-明日のインタ ーネット」 「実績評価とこれから」といった内容になっている。 2009 年シャルムエ この会合においては「重要なインターネット資源の管理」「セキュ ルシェイク会合 リティ、開放性及びプライバシー」 「アクセスと多様性」 「WSIS 原 則から見るインターネットガバナンス」の 4 つのテーマが取り上げ られ、特に重要なインターネット資源の管理に関するセッションで は、 「IPv4 から IPv6 への移行」 「重要インターネット資源の管理の 国際化」 「開発における新 TLD および国際的ドメインの重要性」 「協 力の拡大」に関しての議論が行われた。 2010 年ヴィリニュ ヴィリニュス会合では、「WSISW 原則からみるインターネットガ ス会合 バナンス」が「開発のためのインターネットガバナンス」と変更さ れている。 2011 年ナイロビ会 この会合では全体の大きなテーマを「変化の起爆剤としてのインタ 合 ーネット:アクセス、発展、事由と革新」と設定され各セッション が構成された。メインのセッションでは「アクセスとダイバーシテ ィ」 「発展段階の課題」 「開発の為のインターネットガバナンス」 「重 80 要なインターネットリソースのマネジメント」「セキュリティ、イ ンターネットの開放性とプライバシー」の問題がメインカテゴリと して設定され、セッション内で議論された。 2012 年バクー会合 第七回会合では「経済的、社会的発展の為の持続可能なインターネ ットガバナンス」をメインのテーマに設定された。128 の異なる 国々から 600 人以上が集まった。参加の地域は前年から比べても多 様化し、フォーラムに参加する女性の数もかなり増加した。前年と 同様セッションを「アクセスとダイバーシティ」 「発展段階の課題」 「開発の為のインターネットガバナンス」「重要なインターネット リソースのマネジメント」「セキュリティ、インターネットの開放 性とプライバシー」に細分化しておこなわれた。 (5) CSIRT への支援 2012 年のワークショップ提言書では、国家サイバーセキュリティへの責任を持つ政府お よび軍関係者、ISP ネットワークのインフラストラクチャセキュリティ責任者、CSIRT オ ペレーターを対象としたワークショップの開催が企画されている。このワークショップは、 堅牢なアクセスが行え、有事の際でも弾力性をもっている、いずれの国であっても適応で きる具体的な施策を議論し、同様に抑止力を巡る政策課題、同盟国への相互援助およびサ ポートを行うためのものである。また、このワークショップはサイバー犯罪や法の施行よ りも、国民国家の競合の問題を解決するためのものである。 CSIRTs の開発、インターネット容量の国内生産、国際的なファイバーケーブルの制御、 トレースバックと帰属、防衛の境界の定義、そして人的資本と専門知識開発に関し詳細に 議論される。 (6) 研究開発(データ分析、リスク評価・コントロール) 調査の結果、研究開発に関する対応が行われている状況を確認することはできなかった。 (7) サイバー演習 調査の結果、サイバー演習の実施に係る情報は見当たらなかった。 (8) 意識啓発活動 調査の結果、サイバーセキュリティの意識啓発活動に関する情報は見当たらなかった。 81 4. 東南アジアにおける情報セキュリティに関する動向調査 4.1. 調査対象 東南アジアにおける情報セキュリティに関する動向調査は、ASEAN(東南アジア諸国連 合: Association of South‐East Asian Nations)加盟国を対象とする。なお、ASEAN は 1967 年に 5 カ国で発足し、現在の加盟国は以下の 10 ヶ国である。 表 4-1 ASEAN 加盟 10 ヶ国 1. インドネシア 2. カンボジア 3. シンガポール 4. タイ 5. フィリピン 6. ブルネイ 7. マレーシア 8. ミャンマー 9. ラオス 10. ベトナム 4.2. 調査項目 東南アジアにおける情報セキュリティに関する動向調査については以下の調査項目を定 めて調査を実施した。 なお、ASEAN 諸国における統一法や規制、条例等の策定を担う機能を持つ国際機関の設 立の可能性について検討するため、まず情報セキュリティに関連する法制度として、個人 情報保護に関する包括法の設置状況を切り口に各国における法律制定状況についても調査 を行った。 今回の調査は、 「ASEAN 地域への日本企業の進出を促進に向けた、ASEAN 地域の安全・ 安心なサイバーセキュリティ環境を整備するための ASEAN 地域における国際専門機関の 設置」を見据えた調査である。日本企業の進出を促進するためには、機密情報の保護等を 確実に図るということが重要となるため、各国が共通的に扱う機密情報の一例として個人 情報に焦点を当て、法律制定状況について調査した。 表 4-2 調査項目 概要 分野 根拠となる法令・条約等の有無 ステークホルダー 個人情報 82 4.3. 調査手法 調査手法は、前述の国際機関調査と基本的には同様であるが、① の公開情報による文献調査、② データベースによる文献調査、③ メール・ベースでの問い合わせ、④ 関係機関のウェブ上 関係機関担当者への 海外研究者への問い合わせによって行った。 83 4.4. 調査結果 東南アジアにおける情報セキュリティに関する動向調査において、ASEAN 加盟国 10 カ 国の情報通信技術(IT)関連整備状況、情報セキュリティ関連機関、及び情報セキュリテ ィに関する法制度の整備状況を調査するために各国の個人情報保護に関する法整備状況の 調査を実施した。 ASEAN 各国の情報通信技術(IT)整備状況は以下の表に示すとおり、 「IS(Information Security)先発国」、 「IS 政策推進課題国」、 「IS 先導者育成課題国」の 3 グループに分ける 事ができる。情報通信技術(IT)進展状況はその経済水準に比例しており、IS 先発国と IS 先導者育成課題国には大きなギャップが存在する。 表 4-3 ASENA 各国の情報通信技術(IT)関連整備状況 ICT進展状況 分類 参考 国名 日本 シンガポール 経済水準 法環境 1人当たり ICT インターネット 違法 個人 ブロードバンド GDP 発展指数 普及率 コピー率 情報 普及率 (2010) (ITU/2007) (2010) (2011) 保護法 US$ 0.77 78.2% 26.9% 34,739 21% ○ 0.72 70.0% 24.7% 59,711 33% ○ 0.56 50.0% 5.4% 49,384 67% × マレーシア 0.50 55.3% 7.3% 15,568 55% ○ タイ 0.43 21.2% 3.9% 9,396 72% × 0.38 25.0% 1.8% 4,073 70% ○ 0.34 9.8% 0.8% 4,666 86% × 0.29 27.6% 4.1% 3,359 81% × 0.18 0.18 7.0% 1.3% 0.2% 0.3% 2,659 2,215 NA NA × × 0.04 0.2% 0.0% 1,325 NA × IS先発国 ブルネイ IS政策推 フィリピン 進課題国 インドネシア ベトナム ラオス IS先導者 カンボジア 育成課題 国 ミャンマー (株式会社三菱総合研究所「ASEAN 諸国における情報セキュリティ情報収集・確認調査」 (2012 年 10 月)及び独自の調査結果(個人情報保護法部分)を基に有限責任監査法人トー マツが作成) ASEAN 各国の情報セキュリティ関連機関の設立状況においては、2012 年にラオスの LaoCERT の設立をもって、ASEAN 加盟 10 カ国すべての国において、民間もしくは政府 による CSIRT が設立されている。CSIRT が ASEAN 諸国すべてにおいて設立された背景 としては、各国がサイバー攻撃等のインシデントの発生を脅威としてとらえ、インシデン トレスポンス及び、各国 CSIRT 間の情報交換による新しい脅威への対応や新しい攻撃手法 84 の共有等が各国に必須の機能として認識されているためである。 なお、マルウェア解析等の研究施設、サイバー犯罪の捜査や不正アクセス等の調査を行 う組織については一部の国では整備されていなかった。これら組織を立ち上げるにはマル ウェア解析やコンピュータフォレンジックの専門家が必要となるため、人材の育成がネッ クとなっているものと思われる。 また、 「3.4. 調査結果」の図 3-1 に示されるとおり、ASEAN には情報セキュリティに関 連する「立法・規制機能」を支援する組織がない。EU に見られるような統一法、規制、条 約の立案といった強制力を持った国際組織の実現性を把握するという意味において、各国 の個人情報保護に関する法整備状況について調査を実施した。 調査の結果、ASEAN 諸国において個人情報保護に関する包括法を制定しているのは 10 カ国中わずか 3 カ国であり、その整備状況は国ごとに大きく乖離が見られた。特にラオス やミャンマーといった国においては個人情報保護に関する包括法以前に、法制度全体が未 整備な状況にある。 以上を踏まえると、ASEAN 各国の情報通信技術(IT)整備状況、法制度には各国のギャ ップが非常に大きく、統一的な情報セキュリティ政策の立案・実施、及び法律・規制・基 準等の導入は困難である事が想定される。しかしながら、各国に CSIRT が存在し、情報セ キュリティに取り組む政府機関が整備されつつあることから、ASEAN における情報セキュ リティ政策を統括する組織が受け容れられる土壌が醸成されつつあるといえる。 85 4.5. 各国の情報セキュリティ関連の動向 4.5.1. インドネシア 4.5.1.1. 情報セキュリティ関係機関44 インドネシアにおける情報セキュリティ機関は以下の表のとおりとなっている。 表 4-4 インドネシアにおける情報セキュリティ関係機関 No 名称 概要 1 Ministry of Communication and インドネシアの情報通信分野の政策決定 Informatics(情報通信省: を所管する官庁である。 MCI:KOMINFO) 2 The Indonesian National ICT 大統領や国務大臣などから構成される委 Council(国家 ICT 委員会: 員会であり、情報通信技術(IT)推進のた DETIKNAS) めの国内調査とそれに基づく戦略の策定 を行う。 3 ID-SIRTII (アイディシルティ) インドネシアのナショナル CSIRT であ る。APCERT, FIRST, OIC-CERT に加盟 している。 4 ID-CERT(インドネシアサート) 政府機関が設置したナショナル CSIRT で はなく、有志のボランティアで運営されて いる。 インシデントハンドリングや国内調査を 行っている。 APCERT に加盟している。 5 6 7 8 ACADEMIC CSIRT(アカデミックシ 国公立大学、私立大学から成る CSIRT で ーサート:ACAD-CSIRT) ある。 Asosiasi Penyeleggara Jasa 国内の ISP 団体である。ID-SIRTⅡの調査 Internet Indonesia(APJII) に協力している。 Information Security Professional 情報セキュリティ関係者を対象とした情 Network Indonesia(ISPN) 報交換のコミュニティを提供している。 ICT Watch Indonesia 情報セキュリティ分野の研修・教育を行っ ている NGO である。 主要組織間の関係は以下の図に示すとおりである。 44 本章「情報セキュリティ関連機関」の記述の多くは、独立行政法人国際協力機構の調査として実施され た、株式会社三菱総合研究所「ASEAN 諸国における情報セキュリティ情報収集・確認調査」 (2012 年 10 月) より引用した。 86 図 4-1 インドネシアにおける情報セキュリティに係る組織 4.5.1.1.1. Ministry of Communication and Information and Technology(通信情報技術 省)45 2012 年に改組されたインドネシアの情報通信分野の政策決定を所管する省庁である。イ ンドネシア語略称は KOMINFO。 組織構成としては郵便・電気通信・放送の垣根を越えて周波数等の希少資源の配分と技 術規格の策定等を行う情報通信資源企画局と事業者の規制監督等を行う情報通信事業体総 局、電子政府・アプリケーション等を所掌する情報アプリケーション局、メディア等を所 掌する公共情報通信総局等から構成されている。 情報セキュリティを管轄する組織として設置されているのが情報アプリケーション局で ある。 インドネシアでは 2013 年現在、個人情報・データ保護に関する法律が制定されていない が、2008 年制定の電子商取引法、同施行規則の中にデータ保護に関する規定が存在してい る。この規定の中には情報セキュリティに関するものが大部分を占めており、通信情報技 術省の所管の下で運用されている。 通信情報技術省は直接法執行を行う権限を有していない。電子商取引に関するサイバー 犯罪に対して、民間の調査員を指揮・監督して調査する権限を有しているが、あくまでも インドネシア警察の監督下に行われるものであり、調査結果を報告しなければならない。 45 <http://www.indonesia.go.id/en/ministries/ministers/ministry-of-communication-and-informatics/1663profile/178-kementeriandepartemen-komunikasi-dan-informatika> 87 通信情報技術省所管の下、Gov-CERT が運営されている。(これは下記の ID-SIRTII、 ID-CERT とは別の組織である。) これは 2012 年に新しく設立された CSIRT であり、現在 は 5 人∼6 人で運営されているとみられる。 4.5.1.1.2. The Indonesian National ICT Council(国家 ICT 委員会:DETIKNAS)46 2006 年の大統領令 によって設置が定められた政府機関である。情報通信技術(IT)全 般に係わる政策や戦略の策定の指揮を目的とする有識者委員会として機能している。政府 機関と産業界・情報通信技術(IT)分野の専門コミュニティなどの関係機関との調整を行 っている。現行の体制では大統領が議長を務め、情報通信大臣など 9 人の国務大臣から成 っている。 最近では情報通信技術(IT)人材の育成や戦略の社会化などに力点を置いている。 4.5.1.1.3. ID-SIRTII (アイディシルティ)47 2006 年に設立されたインドネシアのナショナル CSIRT である。情報通信省の傘下に位 置づけられ、政府機関に準じる組織として扱われている。根拠となる法は電気通信に関す る 1999 年法律第 36 号である。 国内の多くの行政機関と連携しているほか、APCERT の メンバーとして日本の JPCERT/CC とも連携している。 ID-SIRTII の設立に際しては情報通信省郵便局、インドネシア警察、法務省、インドネ シア銀行、APJII(インドネシアの ISP 団体)、Asosiasi Warung Internet Indonesia(インタ ーネットカフェに関する団体)、インドネシアクレジットカード協会、MASTEL(通信関連 の企業団体)が協力しており、インドネシア政府の情報セキュリティへの関心が高いことが うかがえる。 2013 年現在、20 人∼30 人で構成されている模様である。 ID-SIRTII の主要業務内容と組織構造は以下のとおりである。 表 4-5 主要な業務内容 セキュリティマネジメントに係わる当事者教育 トラフィック監視、インシデント検出、ISP などの関係組織への早期情報伝達 法執行機関に対するサポートを目的としたログファイルの収集、整理、保存及び管理 インターネットをはじめとする情報セキュリティに関する相談受付及びインシデント対応 シミュレーションラボ及びトレーニングセンターの設立 情報セキュリティに関する技術的アドバイスやコンサルティング 国際連携活動の実施 46 47 <http://www.detiknas.org/index.php/home/> <http://idsirtii.or.id/> 88 図 4-2 ID-SIRTII の組織構造 4.5.1.1.4. ID-CERT(インドネシアサート)48 1998 年に設立されたインシデントハンドリングを行う民間組織である。ID-SIRTII が政 府機関に準じるナショナル CSIRT であるのに対し、ID-CERT はインドネシア国内の有志 によるボランティアによって運営されている組織である。ID-SIRTII と同様に APCERT の メンバーになっている。 2013 年現在、8 人∼10 人で構成されている模様である。 ID-CERT の主要業務内容は以下のとおりである。 48 <http://www.cert.or.id/> 89 表 4-6 主要な業務内容 インシデントハンドリング インシデントの統計情報の提供 フィッシングサイトやスパムメールなどのインターネットの不正利用の状況の調査 国外の CSIRT との連携 情報セキュリティ技術の実験 4.5.1.1.5. ACADEMIC CSIRT(アカデミックシーサート:ACAD-CSIRT)49 2011 年に設立された国内の国公立大学と私立大学など 40 校から構成される CSIRT であ る。設立に際しては ID-SIRTII が支援を行っていた。 4.5.1.1.6. Asosiasi Penyeleggara Jasa Internet Indonesia(APJII)50 1996 年に設立された国内の ISP の団体である。基本的な業務としては ISP 間の意見調整 やインターネットの接続料金の設定などであるが、情報セキュリティに関する業務として ID-SIRTII と連携し、各種のセンサ設置などを行っている。 4.5.1.1.7. Information Security Professional Network Indonesia(ISPN)51 情報セキュリティ関連業務の従事者を対象としたコミュニティである。 対象者としては企業の CIO・CISO・IT 部門責任者、情報セキュリティコンサルタント、 情報セキュリティ技術者、情報セキュリティ監査人などである。1 年に数回の情報交換の場 を提供している。 ISPN の参加には既存のメンバーの承認が必要であり、情報セキュリティのコミュニティ らしく、厳正に管理されている模様である。2010 年 10 月時点で 162 名が参加していると されている。 4.5.1.1.8. ICT Watch Indonesia52 情報通信技術(IT)分野や情報セキュリティ分野の研修・教育などを実施している NGO である。ICT Watch Indonesia の研修は情報通信省及び ID-SIRTII の支援のもとに実施さ れている。 49 50 51 52 <http://www.acad-csirt.or.id/> <http://www.apjii.or.id/en/> <http://www.linkedin.com/groups/ISPN-Indonesia-3742852/about> <http://ictwatch.com/id/> 90 4.5.1.2. 個人情報保護に関する制度 表 4-7 インドネシアにおける個人情報保護に関する法制度の概要 包括法 制定されていない 監督機関等 設置されていない 個別法・関連法 ・電子商取引法 (発行時期) ・消費者保護法(1999 年法律第 8 号)(law no.8/ 1999) ・人口管理法(Population Administration Law)(Law No. 23/(2006) 特記事項 人口管理法には、情報セキュリティ対策に関する規定がある。 備考 一部ヒアリング調査に基づいている。 4.5.1.2.1. 現行の法制度 インドネシアでは、包括的な個人情報保護法は制定されていないものの、関連する個別 法において個人情報の保護が規定されている。 電子商取引・契約、認証、電子署名、ドメイン名管理から個人情報保護やサイバー犯罪 規 制 ま で を 幅 広 く 規 定 す る 情 報 及 び 電 子 商 取 引 法 ( Information and Electronic Transaction Law)では、個人情報保護に関しては、別段の定めがない限り、電子媒体に記 録された個人情報は本人の同意を得て使用しなければならないことが規定されている(26 条)。また、データ移転に関しては、同法第 2 条に基づいて、管轄権が定められているので、 国外へは取引情報を移転することは制限されている。なお、同法の所管は、1998 年に電子 商取引法の草案が起草された段階では、商務省において検討がなされていたが、その後、 KOMINFO に移管されている。 また、人口管理法においても個人データの保護に関する規定がある。インドネシアでは 国民 ID が本人確認のために用いられており、社会のあらゆる場面で国民 ID の提示が求め られていることから、同法において個人データの保護を義務づけるとともに、情報セキュリティ対 策に関する規定をおいている。義務規定の適用対象は、公的部門だけでなく民間部門も含まれ、 官民双方が国民のデータ保護について責任を負う仕組となっている。 その他、消費者保護法においてもプライバシー保護に関する規定が存在しており(第 15 条)、 包括法は存在しないものの、個人データ保護及び情報セキュリティに関しては、個別分野における 課題には対応しているものと考えられる。 4.5.1.2.2. 制定に向けた近時の動向 2008 年から 2009 にかけて、個人データ保護法の草案が起草された。同法案は、OECD プライバシーガイドラインと APEC プライバシールールに基づく規定から構成される。 University of Malaya(マレーシア)の Abu Bakar Munir 教授の支援のもとで草案が作成さ れた。しかしながら、依然として法案は公表されていない。 91 4.5.2. カンボジア 4.5.2.1. 情報セキュリティ関係機関 カンボジアにおける情報セキュリティ機関は以下の表のとおりとなっている。 表 4-8 カンボジアの情報セキュリティ関係機関 (独立行政法人国際協力機構の調査として実施された、株式会社三菱総合研究所「ASEAN 諸国における情 報セキュリティ情報収集・確認調査」(2012 年 10 月)を元に、有限責任監査法人トーマツが作成) No 名称 概要 1 NiDA(National Information 2000 年に国王が発した規則によって設立さ Communications Technology れた機関。情報通信技術(IT)技術普及のた Development) めの政策や計画の考案、関連プロジェクトや 省庁間の執行調整を実施。 2 国家情報セキュリティセンター JICA の支援のもと設置が準備されている政 (Information Security 府機関統一基準導入促進のための機関。 Strengthening Program toward Establishing NISC) 3 CamCERT コンピュータセキュリティに関係する情報の 収集、情報提供、国内外のインシデント技術 の普及・啓発活動を実施。 4 Ministry of Posts and 電気通信政策の企画立案を行う機関。 Telecommunications 他にも郵便事業の運営・監査を行う政府組織 である。 5 Telecom Regulator of Cambodia 情報通信分野の改革の結果、2012 年 8 月か ら業務を開始した情報通信分野の規制・監督 を行う組織。 6 Telecom Cambodia 「公共企業体としてテレコム・カンボジア設 置令」に基づき、2006 年 MPTC から分離・ 独立した公社。 92 4.5.2.1.1. 情報通信技術開発局(National ICT Development Authority 通称:NiDA) 2000 年に王令によって設立された新しい機関で、閣僚評議会の外局として存在している。 議長が首相、副議長が副首相という特殊な組織であり、組織は、ICT 政策局、企業対応局、 インフラ局、コンテンツ・アプリ開発局、人材開発局、総務部から成っている。NiDA 自身 は当初、中央官庁を対象とする GAIS(Government Administration Information System) という韓国の有償資金協力事業を実施するために設立された。しかし、カンボジアの情報 通信技術(IT)の発展に伴い、カンボジア全体の情報通信技術(IT)開発を統括すること になった。NiDA では情報通信技術の普及のため、政策や開発計画の立案、情報通信技術関 連プロジェクトのモニタリング、各省庁間の調整を実施している。中心となる施策として は、電子政府等のプロジェクトを取り扱っている。 (1) NiDA のミッション ① 国家の ICT 政策のアップデート(National ICT Policy Update) ② e-ガバメントにおけるサービスの発展(e-Government Service Development) ③ 情報セキュリティにおけるイニシアチブ(Information Security Initiative) 図 4-3 NiDA の組織図 93 図 4-4 NiDA における ICT 政策のアクションプラン 4.5.2.1.2. 国家情報セキュリティセンター(Information Security Strengthening Program toward Establishing NISC) カンボジアにおける NISC は現在設置準備中であるため、現段階においては組織として 設置されていない。将来的には政府レベルにおける情報セキュリティの全体を統一的に統 括する機関となるとされている。 94 図 4-5 国家情報セキュリティセンターについて 4.5.2.1.3. カンボジアサート(CamCERT) NiDA の傘下にあるナショナル CSIRT である。2007 年に設立され、翌 2008 年にオペレ ーションを開始した。セキュリティに関する各種情報の収集、整理及び蓄積並びに提供を 主な業務として実施している。またカンボジアの政府やインターネット・サービス・プロ バイダー(ISP/IX)、ローカルの/国際的な CSIRT、情報通信技術(IT)ベンダー、ナショナ ル・セキュリティ・コミュニティーおよび企業の/個々のユーザを含むカンボジア全ての情 報通信技術(IT)関係のアクターに対してインシデント対応などを行っている。 カンボジアサートは次のようなビジョン、ミッション、タスクを持っている。 「ビジョン」 カンボジアの ICT 分野における安全性と信頼の構築 「ミッション」 国家内のインターネット上の安全性を最大限にすること 「タスク」 すべてのサイバー犯罪攻撃に対応、調査を行うこと コンタクト(POC)の全国拠点としての役割を担うこと 持続的に、全国的な IT セキュリティの改善を行うこと 95 地方・国際 CSIRT との共同作業を行うこと サイバー犯罪への法適応のイニシアチブをとること ナショナル・ネットワーク・モニタリング・センターの確立を行うこと IT 機密保護基準および標準化を行うこと サイバー・セキュリティ・プラットフォーム(CNII)の開発を行うこと 図 4-6 カンボジアにおける CSIRT の体制 4.5.2.1.4. 郵便・電気通信省 (Ministry of Posts and Telecommunications) 郵便及び電気通信分野の規制監督及び政策の企画・立案を行うほか、郵便事業の運営も 行っている。2006 年 1 月に、電気通信の事業部門が分離・公社化された。 「電気通信法」 成立後、規制監督を行う部門(Telecom Regulator ofCambodia)が分離され、業務移管さ れた。MPTC は電気通信事業部門を分離後、公社としてテレコム・カンボジア(Telecom Cambodia)を設立した。また日本は、内戦前の 1960 年から 2007 年 11 月まで、断続的に 政策アドバイザーとしての専門家を派遣している。加えて、無線及び電気通信機器の認証 は MPTC が゙ 実施している。国外の試験機関による試験成績書を評価することによって、認 証を行っている。 96 4.5.2.1.5. カンボジア電気通信規制機関 (Telecom Regulator of Cambodia) MPTC から分離・業務移管された組織。情報通信政策の指揮監督を行っている。 4.5.2.1.6. テレコム・カンボジア (Telecom Cambodia) テレコム・カンボジアは、国連カンボジア暫定統治機構(United Nations Transitional Authority in Cambodia: UNTAC)の基盤を継承して事業を開始し、MPTC と経済財政省 の監督を受け、 両省に加え閣僚評議会や内務省、テレコム・カンボジア内、商工会議所か ら選ばれた 7 名から経営委員会が構成されている。国際及び国内サービスを管轄するグル ープと、計画や情報通信技術(IT)サービス、顧客対応を管轄するグループとに大きく分 かれる。情報通信技術部が大手 ISP の Camnet を運営している。 4.5.2.2. 個人情報保護に関する制度 表 4-9 カンボジアにおける個人情報保護に関する制度の概要 包括法 制定されていない 監督機関等 存在しない 個別法・関連法(発行時期) 出版法(Law on the Press) 特記事項 なし 備考 全般的に法制度が発展段階にある 4.5.2.2.1. 現行の法制度 カンボジアでは、包括的な個人情報保護法は制定されておらず、部分的に規定されてい るのみである。例えば、出版に関する自由を定めた出版法(Law on the Press)では、個人 のプライバシーに係わる政府が保有する情報の出版に関して制限が規定されている。 同法では、政府が保有する、個人の権利を侵害する公務員や医療に関するファイル、その 他機密文書に関して公表が制限されており(第 5 条 A 項) 、裁判所の許可がない限り、出版 社は個人の特定を可能にするいかなる情報も出版してはならないとしている(第 15 条) 。 ただし、裁判所の調査に影響し、かつ個人の同意がある場合、出版社は公表することがで きるとされている。また、個人の特定を可能にする情報が公表された場合、補償を求めて 提訴することができる。 4.5.2.2.2. 制定に向けた近時の動向 カンボジアにおいては、依然として法案の提出などの包括的な個人情報保護法の制定に 向けた動きは見られない。大使館に問い合わせたところ、具体的な点については不明だが、 個人情報保護法についても検討がなされているとの回答を得た。一方で、カンボジアでは 97 基本法の整備が不十分で、日本からの ODA(政府開発援助)により民事訴訟法が 2006 年 に、民法典が 2007 年に、そしてフランスの支援により刑法が 2009 年に制定され公布され た。ここからもわかるように、カンボジアは現在、基本法制度整備を推進しているところ であり、個人情報保護法制定の前段階にあるといえる。 98 4.5.3. シンガポール 4.5.3.1. 情報セキュリティ関係機関 シンガポールにおける情報セキュリティ機関は以下の表のとおりとなっている。 表 4-10 シンガポールにおける主な情報セキュリティ関係機関概要 (一部記述は、独立行政法人国際協力機構の調査として実施された、株式会社三菱総合研究所「ASEAN 諸 国における情報セキュリティ情報収集・確認調査」(2012 年 10 月)より引用) No 名称 概要 1 InfoComm Development IDA は、情報通信政策の立案、民間部門に対する情 Authority of Singapore(情報 報通信分野における法執行を所管。 通信開発局) シンガポールの情報通信技術(IT)分野に関する政 策や施策を担当している。 2 Singapore Computer SingCERT は、1997 年に設立されたシンガポール Emergency Response Team のナショナル CSIRT である。情報通信開発庁(IDA) (シンガポールコンピュータ のイニシアチブの一つとしてインシデントハンド 緊急対応チーム) リングのための組織として設立され、主に企業やエ ンドユーザーを対象としてサービスを行っている。 3 Cyber Watch Centre(サイバ Cyber Watch Centre は、情報セキュリティマスタ ーウォッチセンター) ープランにおける目標を達成するため施策として、 政府のネットワークと情報セキュリティを強化す るために設立された、政府のネットワークを常時監 視する組織である。 4 5 Singapore Police Force, The シンガポールにおけるサイバー犯罪に関する捜査 Criminal Investigation などの法執行を担当する、シンガポール警察の部 Department- Technology 署。技術犯罪課は、ハッキングなどのコンピュータ Crime Division(シンガポール 不正利用禁止法(Computer Misuse Act)で規定され 警察 たサイバー犯罪の捜査及び科学捜査(フォレンジッ 犯罪捜査局技術犯罪 課) ク)を行う。 Singapore Infocomm SITSA(Singapore Infocomm Technology Security Technology Security Authority)は、2009 年 10 月に内務省の国家治安 Authority (情報通信技術セキ 局に設置された重要インフラ保護などを目的とす ュリティ局) る組織。政府や重要インフラ事業者間の情報連携を 促進する。 6 Institute for Infocomm 情報通信分野に関する科学技術研究庁傘下の研究 Research 所。情報通信、コンピュータ、メディア等の分野に おける研究を推進している。暗号及びセキュリティ に関する担当部署も有し、情報セキュリティに関す 99 No 名称 概要 る研究も実施している 7 Singapore Computer シンガポールコンピュータ協会(SCS)は、1967 Society(シンガポールコンピ 年に設立された、シンガポールの IT に関する民間 ュータ協会) の職業団体である。セミナーやカンファレンスの開 催、会報の発行や、個人向けの IT スキル認定プロ グラムの運営を行なうことによって、IT に係る職 業人材の開発を行っている。 8 Singapore Infocomm シンガポール IT 連盟は、多様な企業に対して、能 Technology Federation(シン 力開発やイノベーションの促進のための活動を行 ガポール IT 連盟) う、シンガポールを代表する IT 関連の業界団体で ある。シンガポール IT 連盟は地元のベンチャーか ら多国籍企業までの幅広いメンバーで構成される。 9 10 Association of Information 国家トラストフレームワーク(NTF)の「人材の開 Security Professionals(情報 発」戦略を遂行することを目的として、専門的な人 通信セキュリティ専門家協 材の育成及び啓発活動を目指し、2008 年 4 月に設 会) 立された情報セキュリティに係る業界団体。 National Trust Council(国家 国家信用カウンシルは、シンガポールにおける電子 信用カウンシル) 商取引の発展を目的として、トラストマークの発行 などによる消費者保護活動を行っている機関であ る。 4.5.3.1.1. InfoComm Development Authority of Singapore(情報通信開発局:IDA) IDA は、情報通信芸術省(Ministry of Information Communication, and Arts:MICA)の もとに設置され、シンガポールの情報セキュリティ政策は主にこの機関に集約されている。 現在のマスタープランとして、2006 年から 2015 年までを対象とした iN2015(Intelligent Nation 2015)が適応されている。情報セキュリティに関連した取り組みでは、2005 年の情 報通信セキュリティマスタープラン(Infocomm Security Masterplan (2005-2007):ISMP) を策定している。 シンガポールでの主な情報セキュリティ政策は以下の表に示す 3 つである。 100 表 4-11 政策 年 ISMP 2005 シンガポールでの情報セキュリティ政策概要 概要 1. 国民を対象とするセキュリティ対策 2. 民間企業部門を対象とするセキュリティ対策 3. 公共企業部門を対象とするセキュリティ対策 4. 国家のセキュリティ対応能力の開発 5. 情報セキュリティ技術及び R&D 能力の育成 6. 国家インフラストラクチャを対象とするセキュリティ対策 NTF 2006 ISMP を補完する形式で、iN2015 の一部として策定 1. 信頼性の高いインフラストラクチャ開発 2. 情報セキュリティ関連人材開発 3. 情報セキュリティ教育 4. 情報セキュリティ関連の法整備 ISMP2 2008 情報セキュリティ強化の対象を民間部門と国民に拡大。 ・サイバー攻撃に対する国内情報通信基盤 ・サービスの防御体制の強化 ・情報通信セキュリティ技術の向上 ・情報通信セキュリティの強化のための研究・開発環境の整備 ・国際協力の拡大 (1) 情報通信セキュリティマスタープラン(Infocomm Security Master Plan) 情報通信セキュリティマスタープラン(ISMP)は、シンガポールのサイバーセキュリテ ィ強化に関し、継続的で包括的な国家の取り組みのプランを示したものである。2005 年 2 月に開始した 3 ヶ年計画(2005-2007 年度)として実施している戦略的ロードマップは、 サイバー攻撃から国家の重要なインフラストラクチャの復旧能力を高めるため、政府・企 業・個人の為の安全な情報通信環境を維持するための大規模な民間企業部門と公共企業部 門のフィードバックによるものである。マスタープランでは、シンガポールの情報通信環 境を保護するために以下の 6 つの戦略を打ち出している。 表 4-12 シンガポールの情報通信環境保護における 6 つの戦略 1 国民を対象とするセキュリティ対策 2 民間企業部門を対象とするセキュリティ対策 3 公共企業部門を対象とするセキュリティ対策 4 国家のセキュリティ対応能力の開発 5 情報セキュリティ技術及び R&D 能力の育成 6 国家インフラストラクチャを対象とするセキュリティ対策 101 図 4-7 シンガポールの情報通信環境保護における 6 つの戦略図 102 (2) 国家トラストフレームワーク(National Trust Framework) ISMP を補完する目的で 2006 年 IDA によって提言された「iN2015」の一環として、国 家トラストフレームワーク(National Trust Framework:NTF)が組み込まれている。銀行の オンラインサービスを始めとする、医療や商取引等に利用される信頼できる情報通信環境 は、重要な機密データに対するセキュリティリスクを最小限に抑えるために必要不可欠で ある。したがって、NTF の目的はシンガポールの情報通信を活用し続けることが可能にな る保証と信頼を確立する為の国家の枠組みを開発しなくてはならないとしている。 信頼性の高いハブとしてシンガポールが機能するために、NTF は主に 4 つの戦略を謳っ ている。 表 4-13 NTF における 4 つの戦略 1 信頼性の高いインフラストラクチャ開発 2 情報セキュリティ関連人材開発 3 情報セキュリティ教育 4 情報セキュリティ関連の法整備 (3) iN2015 2005 年 5 月、情報通信部門の成長、主要な経済部門における競争力強化を図るための情 報通新技術利用及び適切に連携している社会構築の為にシンガポールの 10 ヶ年マスタープ ランが策定された。 iN2015 とは、シンガポールがインテリジェントな国家へ、 そしてグローバルシティへと、 情報通信技術によって国民と行政が協力し開発を行うための現行のブループリントである とされている。 iN2015 は創造性を基礎とし、企業と人材をサポートする情報通信プラットフォームを提 供することで、企業や個人間のイノベーションを可能にすることを目指している。事業者 や個人、コミュニティをつなぐことで地域間での資源・機能を活用する能力を提供するこ とも目的である。また、iN2015 は世界中の資源へのアクセスを可能にし、シンガポールの グローバル市場にアイデア、製品やサービスなどを出力する経路となることが目標となっ ている。 以下、シンガポールにおける iN2015 の戦略を示す。 103 表 4-14 シンガポールにおける iN2015 の戦略 1 信頼性が高く高速かつ優れた普及性の高い情報通信インフラストラクチャの確立 2 世界的に競争力を有する情報通信産業の発展 3 情報通信に特化した労働力及び世界的に競争力のある情報通信の人材開発 4 より高度で革新的な情報通信技術の利用による政府及び社会の重要な経済部門の 変革 また、望まれる成果として、以下の戦略を掲げている。 表 4-15 iN2015 の戦略 2 1 情報通信を通じ生活を豊かにすること 2 情報通信を通じ経済的競争力及びイノベーションの強化を行うこと 3 情報通信産業の競争力増加及び成長 表 4-16 iN2015 の目標 1 経済及び社会への付加価値向上の為に情報通信利用を世界一へ 2 情報通信産業の付加価値を 2 倍(260 億 SD)へ 3 情報通信産業の輸出額を 3 倍(600 億 SD)へ 4 8 万人の新規雇用創出 5 家庭におけるブロードバンド普及率 90%の達成 6 就学児童がいる家庭でのコンピュータ保有率 100%の達成 (4) ISMP と NTF の目的達成に係るシンガポールの取り組み 国家的サイバー脅威監視センター(National Cyberthreat Monitoring Centre:NCMC)は シンガポール政府に対して、サイバー攻撃の早期発見及びセキュリティインシデントに対 するリアルタイムの対応機能を提供している。NCMC は、サイバー空間上の脅威の監視を 24 時間体制で行う、サイバーウォッチセンター(Cyber Watch Center:CWC)及び、サイバ ー空間上の脅威の分析を専門的に行う脅威解析センター(Threat Analysis Centre:TAC)に より成り立っている。 国家認証フレームワーク(National Authentication Framework:NAF)は、重要な部門間 の強力な認証インフラストラクチャの普及・配備における e-ビジネスを触媒する目的を持 っている。NAF の目的は、銀行・通信・行政サービスなどの主要な電子サービスを、アク セス可能なエンドユーザーに一貫した二要素認証を実現することである。 104 Critical Infocomm Infrastructure Surety Assessment(CII-SA)は、シンガポールにおけ る重要な情報通信インフラストラクチャ(Critical Infocomm Infrastructure:CII)の情報通 信準備情報を評価するため、またインフラストラクチャの管理者及び運営者によって実装 された情報通信保護措置の妥当性を確認する為に設立されたものである。 事 業 継 続 準 備 状 況 評 価 の 枠 組 み ( Business Continuity Readiness Assessment Framework)及び情報通信セキュリティヘルススコアカード(Infocomm Security Health Scorecard)は、セキュリティ上の即応性及び公共部門の準備状況レベル測定のために随所 に適用されている。 事業継続に関する準備状態の評価フレームワークでは、情報通信セキュリティ事案によ るサービス・運営の混乱が発生した場合、事業活動再開に必要な省庁の準備状況レベルを 測定する共通のフレームワークが確立されている。また、情報通信セキュリティへルスス コアカードは、行政機関の情報通信セキュリティ対策のレベル評価を行う為のスコアカー ドを設立している。 (5) 情報通信セキュリティマスタープラン2(Infocomm Security Master Plan 2) ISMP2 は、国家情報通信セキュリティ委員会により、2008 年 ISMP を基盤に 5 年間の ロードマップにおいて、サイバー攻撃に対する経済の耐久能力を向上させ、戦略的で安全 かつ信頼性の高いサイバースペースを構築することを目的として策定された。同マスター プランは、シンガポールの堅牢なサイバースペースを構築するため民間、行政、国民へ重 点を置いている。 ISMP2 の枠組みは下図にビジョン、保守範囲、戦略的成果及び要旨のサポートを表記し ている。 4 つの戦略的要旨は、国家の情報通信インフラストラクチャ及びサービスにおいて高い復 旧能力及び可用性を達成することを謳っている。 表 4-17 ISMP2 における 4 つの戦略 1 国家の情報通信インフラストラクチャ及びサービスの強化 2 情報通信セキュリティ能力の向上 3 即応性のある情報通信セキュリティエコシステムの養成 4 国際的な協働の増進 105 図 4-8 ISMP2 における 4 つの戦略図 (6) ISMP2 を達成するための主な取り組み 国家サイバーセキュリティ連盟(National Cyber Security Alliance:NCSA)は民間、政 府部門におけるシンガポール全体の情報通信セキュリティ能力向上のために設立された。 情報通信ユーザがファイアウォールやアンチウィルスソフトウェアなど、重要なセキュリ ティ対策を採用する理想の文化を構築するため参加機関の異なる強みや資源の集結を行う 事を目的としている。また、民間における意識向上及び重要な情報通信セキュリティ実践 の側面についても持つ組織である。 緊急時における国家レベルでの大規模なサイバー攻撃への対応能力を強化させるため、 サイバーセキュリティ演習が実施されている。これらの演習は、広範囲に渡り混乱を引き 起こすインシデントへの対応及び回復、またその能力及び対応状況を評価するメカニズム としての機能に加え、国家基盤及びサービスの改善点を特定することが可能となる。 部門固有の情報通信セキュリティプログラムは、各部門のセキュリティ要件を満たすソ リューションの評価及び開発を行う事を目的としており、ISMP により示されている最も重 要なシンガポールの政府機関、情報通信及びエネルギー部門を初めとして行われる。 (7) その他の IDA の取組 ・Secure and Resilient Infrastructure Code of Practice(SRII-CoP) SRII-CoP は、MP2 の施策の一つであり、ISP 間における脅威情報の共有等に関する行 動規範(Code of Practice)である。SRII-CoP は 2011 年 3 月に施行された。 106 4.5.3.1.2. Singapore Computer Emergency Response Team(シンガポール・コンピュー タ・緊急対応チーム:SingCERT) SingCERT は、1997 年に設立されたシンガポールのナショナル CSIRT である。情報通 信開発庁(IDA)のイニシアチブの一つとしてインシデントハンドリングのための組織とし て設立され、主に企業やエンドユーザーを対象としてサービスを行っている。なお、 SingCERT は、ASEAN CERT の事務局であり、ASEAN 諸国や対話国(Dialogue Partner) とサイバー演習を毎年実施している。また、 APCERT や FIRST にも参加しており、 APCERT では運営委員会の委員を務めた実績もあるなど、アジア・太平洋地域で中心的な存在であ る。 SingCERT は以下のサービスを提供することにより目標を達成することとしている。 ① 警告のブロードキャスト、セキュリティパッチ及びその勧告 ② セキュリティ講習、セミナー、ワークショップを通じセキュリティ意識を促進 ③ セキュリティインシデントへの解決策を発見するためベンダーや他の CSIRT との連携 の実施 SingCERT はコンピュータ・セキュリティ上の問題に関し、他のセキュリティ関連機関 と連携し技術面でのアシストを行う。そして公式ウェブサイト・メーリングリストを通じ、 一般にタイムリーな警戒情報の告知も行う。セキュリティ問題全般に関し興味のある企業 は、同組織の主催するセミナー及びカンファレンスへの参加が可能である。それ以外の一 般も、公式ウェブサイトより情報を得ることが可能である。SingCERT は以下のサービス を提供することにより目標を達成する 4.5.3.1.3. Cyber Watch Centre (サイバーウォッチセンター:CWC) Cyber Watch Centre は、IDA の ISEC(Info-comm Security & Assurance Division)内に 設置されている、政府のネットワークを常時監視する組織である。この組織は、情報セキ ュリティマスタープランにおける目標を達成するための施策の一環として、政府のネット ワークと情報セキュリティを強化するために設立され、民間企業である e-Cop(リスクマネ ジメントやソリューションサービスを提供している)の運営のもと、活動を行っている53。 ISEC には、CWC の他に、政府や民間企業などから情報を収集し、サイバー攻撃を分析す るための部署であるサイバー脅威分析センター(TAC)も設置されている。 4.5.3.1.4. シンガポール警察 犯罪捜査局技術犯罪課 シンガポールにおけるサイバー犯罪に関する捜査などの法執行は、シンガポール警察の 犯罪捜査局技術犯罪課が担当している。技術犯罪課は、ハッキングなどのコンピュータ不 53 http://www.e-cop.net/e-cop-news/e-cop-news-2008-infocomm-winners.html 107 正利用禁止法(Computer Misuse Act)で規定されたサイバー犯罪の捜査及び科学捜査(フォ レンジック)を行う。捜査及び科学捜査にあたっては、技術犯罪課の技術犯罪捜査室及び 技術犯罪科学捜査室がそれぞれ担当する。また、犯罪捜査等における情報通信技術(IT) に係るサポートをするための部局である、警察技術局(Police Technology Department) が設置されている。なお、サイバー犯罪の捜査等にあたっては、後述する情報通信技術セ キュリティ局(SITSA)と緊密に連携し遂行される。 図 4-9 シンガポールにおけるサイバーセキュリティに関する法執行機関 108 4.5.3.1.5. Singapore Infocomm Technology Security Authority (情報通信技術セキュリテ ィ局:SITSA) SITSA(Singapore Infocomm Technology Security Authority)は、2009 年 10 月に設 置された重要インフラ保護などを目的とする組織である。 この組織は、内務省の内部部局の一つである国家治安局(Internal Security Department: ISD)の 下に設置され、エネルギー、交通、金融などの基幹産業における重要インフラ事業 者間の情報連携を促進するとともに、政府関係機関と連携し、サイバー攻撃などから重要 インフラを保護するための活動を行っている。 なお、サイバー犯罪についてはシンガポール警察が所管しており、SITSA や IDA は捜査 など法執行には関与していないが、内務省の建物が警察庁の建物と隣接していることなど から、情報連携については常に密接な関係を保っている。ただし、関係省庁連絡会議など、 公式な情報連携の場は存在していない。また、重要情報インフラへのサイバー攻撃は現時 点では存在しておらず、現在に至るまで、法執行の実績はない。銀行など重要インフラ機 関からの通報を支援する体制にとどまっている。 この他、SISTA については、情報セキュリティに対する脅威や脆弱性に対応するための 機関として、National Cyber Security Center (NCSC)を 2013 年までに SITSA のもと に設置することが、2011 年に発表された。しかし、SITSA へのヒアリング調査では、 「現 時点(2013 年調査時点)で NSCS の活動実績はない。」との回答を得ている。 4.5.3.1.6. Institute for InfoComm Research(情報通信研究所:I2R) 情報通信分野に関する科学技術研究庁傘下の研究所であり、通信、コンピュータ、メデ ィア等の分野における研究を推進している。暗号及びセキュリティに関する部局を持って おり、情報セキュリティに関する研究も行っている。また、技術移転や民間企業との共同 研究など産官学の連携を積極的に促進している。 4.5.3.1.7. Singapore Computer Society(シンガポールコンピュータ協会:SCS) シンガポールコンピュータ協会(SCS)は、1967 年に設立された、シンガポールの IT に関する民間の職業団体である。セミナーやカンファレンスの開催、会報の発行や、個人 向けの IT スキル認定プログラムの運営を行なうことによって、IT に係る職業人材の開発を 行っている。現在、2 万 7 千を超える会員を有している。54セミナーやカンファレンスでは、 技術、サービス、法律などに関する最新のテーマが扱われている。 SCS, Annual Report 2012,< http://www.scs.org.sg/document/SCSAnnualReport2012Final.pdf >,2012 54 109 4.5.3.1.8. Singapore Info-comm Technology Federation(シンガポール IT 連盟:SiTF) シンガポール IT 連盟は、多様な企業に対して、能力開発やイノベーションの促進のため の活動を行う、シンガポールを代表する IT 関連の業界団体である。シンガポール IT 連盟 は地元のベンチャーから多国籍企業までの幅広いメンバーで構成される。内部はさまざま な情報通信技術(IT)関連のステークホルダーにより構成されており、新技術や情報通信 技術(IT)関連のデジタルメディア、クラウドコンピューティング、グリーン IT、無線、 セキュリティおよびガバナンス等の分野における問題解決を中心に機能している。 (1) 組織体制 デジタルメディアワイヤレス支部、 クラウドコンピューティング支部、 グリーン IT 支部、 シンガポール企業支部、セキュリティ&ガバナンス支部、の 5 つの支部から構成される。 イニシアチブとして 123JumpStart、MatchiT、SitFAvacemy、Internationalization を公 表している。 また、SiTF はフラッグシッププログラムとして、MatchiT を掲げている。MatchiT とは、 企業ニーズを解決する情報通信技術(IT)ソリューションを提供し、メンバーが新たなビ ジネスチャンスを得る手助けを行うプログラムのことを指す。また、SiTF は地域の情報通 信技術(IT)産業における市場の幅を拡大する為のアシストとして、中国市場への参入を 行えるよう、上海に本部を置いている。 (2) 業務内容 SiTF の業務内容は以下の様に定義されている。 ① 貿易の課題解決 海外貿易における課題解決のための資金援助 ② ネットワーキング 新たなビジネスチャンス及び提携等を増やすためのイベント開催 ③ コミュニケーションチャネル 意思決定者への直接的なルートの確保 ④ カンファレンス、セミナー及びラウンドテーブルの開催 インフォコムだけではなく、基本的なビジネス上の懸念への対処 ⑤ 国際連携窓口 国際機関との連携窓口 110 4.5.3.1.9. Association of Information Security Professionals(情報通信セキュリティ専門家 協会:AISP) AISP は、国家トラストフレームワーク(NTF)の「人材の開発」戦略の一環として、専門 人材の育成及び啓発活動を目的として、2008 年 4 月に設立された情報セキュリティに係る 業界団体である。情報セキュリティ専門家協会は、シンガポールにおける情報セキュリテ ィ専門家の技術力や経営ノウハウの獲得、及び地位の向上等を促進し、発展させ、サポー ト及び強化するといった専門家人材の育成を目的としている。また、情報セキュリティに 関する知識の生産、及び普及といった啓発活動も目的としている。これらの目的を達成す るために、情報通信セキュリティ専門家協会では、IDA などの関連する機関とともに、ト レーニングコースの設置やセミナーの開催などの活動を行っている。 4.5.3.1.10. National Trust Council(国家信用カウンシル) 国家信用カウンシルは、シンガポールにおける電子商取引の発展を目的として、トラス トマークの発行などによる消費者保護活動を行っている機関である。なお、国家信用カウ ンシルは民間部門を対象としたガイドラインであるモデルデータ保護法に基づいて、デー タ保護に関する活動を行っている。しかし、後述する個人データ保護法の成立によって、 同様の業務を所掌するとされている個人情報保護委員会が設置されたため、今後データ保 護に関する活動を行っていくかは不透明である。 111 4.5.3.2. 個人情報保護に関する制度 表 4-18 包括法 シンガポールにおける個人情報保護に関する制度の概要 個人データ保護法(PERSONAL DATA PROTECTION ACT 2012)(No. 26 of 2012)(2013 年 1 月 2 日施行) 監督機関等 個人情報保護委員会(Personal Data Protection Commission:PDPC) 個別法・関連法 ・ モデルデータ保護コード(民間部門を対象としたガイドライン) (発行時期) ・ 銀行法(Banking Act) ・ コンピュータ不正利用禁止法(Computer Misuse Act) ・ Do Not Call Registry が法定化されている。Do Not Call Registry は、 特記事項 一定の登録を行った個人に対して、セールスを目的とする電話、テ キスト・メッセージ、ファックスなどを拒絶することを可能にする 制度である Do Not Call Registry が法定化されている。 備考 ・ 国外に所在する企業も罰則の適用対象となる。 ・ 違反者には、最高で 100 万シンガポール・ドルの罰金が課される。 個人情報保護法案のドラフト時点では含まれなかったが、データ移行に 関する規定が置かれている。 4.5.3.2.1. 背景・経緯 シンガポールでは、近時まで包括的な個人情報保護法は制定されていなかった。個人情 報の保護は、消費者の許諾なしに、金融情報を開示することを禁止している銀行法(Banking Act)55などのように関連する個別法に個人情報関連規定が定められているか、政府が公表 しているモデルデータ保護規約(Model Data Protection Code)のように民間の自主的な 取組によって行われていた。 一方で、個人情報保護法制定に向けた取組は 1990 年後半から行われていたものの、制定 には至っていなかった。 しかしながら、2011 年に個人情報保護法制定に向けた動きが本格化する。2011 年 2 月、 政府は個人情報保護法の必要性に関する調査が完了し、2012 年に個人情報保護法案を議会 に提出することを予定していると発表した56。その後、政府は 2012 年 9 月 10 日に法案を 提出し、同年 10 月 15 日に可決され個人情報保護法が成立した。 銀行法 47 条 1 項, <http://statutes.agc.gov.sg/aol/search/display/view.w3p;ident=cac4eafd-ea8b-4a11-94d7-99ccbb89932e; page=0;query=CompId%3Adaa9a33d-26d0-4426-8c55-3bf6ac7e251c;rec=0;resUrl=http%3A%2F%2Fst atutes.agc.gov.sg%2Faol%2Fbrowse%2FtitleResults.w3p%3Bletter%3DB%3Btype%3DactsAll#pr48-he -.> 56 MCI, MCI's response to PQ on data-mining and data protection< http://www.mci.gov.sg/content/mci_corp/web/mci/pressroom/categories/parliament_qanda/notice_for_th e_sittingon14february20 べ 11.html>, 2011 年 2 月 55 112 4.5.3.2.2. 個人情報保護法概要 (1) 適用範囲 保護の対象となる個人情報は、 「真実であるか否かを問わず、当該情報から、または当該 情報とその企業等がアクセス可能なまたはアクセス可能であろうその他の情報と合わせて、 その個人が識別可能な情報」と定義されている。 一方、規制の対象となる個人情報取扱者(organization)には、シンガポール法に基づき 設立されたものであるか、シンガポールの居住者であるか、シンガポールに拠点を持って いるか、シンガポールでビジネスを行っているかなどを問わず、一切の個人、企業、団体、 結社、組合または非法人企業がこれに含まれるものとされている。ただし、すべての公共 機関、及び公共機関の代わりに個人情報を取り扱う企業等は、規制対象から除外されてい る(第 4 条(1)c) 。 (2) 個人情報の取り扱いに係る基本原則 シンガポールの個人情報の取り扱いに係る基本原則は、OECD プライバシー・ガイドラ インに準拠したものとなっている。同意規定、みなし同意規定が置かれている。ただし、 これらの同意規定には、広範な適用除外がある。 (3) 監督機関 同法では、個人情報保護法施行にあたって、規制及び監督のため、個人情報保護委員会 の設置が規定された。個人情報保護員会は、個人情報保護法の監督及び執行機関として同 法施行の 2013 年 1 月に設置され、シンガポールの個人情報保護の中心的な機関として活動 を行っている。所掌業務は、個人情報保護法の監督及び執行だけでなく、意識啓発活動、 ワークショップ、セミナー、シンポジウムなどの開催を通じた教育・研究活動の実施、ス テークホルダーに対する技術、マネジメント、政策などに関する助言といった個人情報保 護に関わる全般的な活動を行うこととされている。 4.5.3.2.3. 個人情報保護法に関する近時の動向 個人情報保護委員会によって、個人データ保護法の施行指針案が公表されている。個人 情報保護委員会では、施行指針案について 2013 年 3 月 19 日まで意見を募り、当該年の下 半期に正式に施行指針を定めるとしている。 113 4.5.4. タイ 4.5.4.1. 情報セキュリティ関係機関 タイにおける情報セキュリティ関係機関は以下の表のとおりとなっている。 表 4-19 タイにおける情報セキュリティ関係機関 (一部記述は、独立行政法人国際協力機構の調査として実施された、株式会社三菱総合研究所「ASEAN 諸 国における情報セキュリティ情報収集・確認調査」(2012 年 10 月)より引用) No 名称 概要 1 Ministry of Information and タイの情報通信分野の所管官庁 Communication Technology (情報通 信技術省:MICT) 2 National Cyber security Committee MICT が設立したサイバーセキュリティ (国家サイバーセキュリティ委員会: 政策を検討する委員会 NCC) 3 Electronic Transactions 電子商取引に関わる情報通信技術(IT) Development Agency (電子取引開発 政策・法律・標準化などを行う行政機関 庁:ETDA) 4 Thai Computer Emergency MICT の傘下にあるタイのナショナル Response Team (タイサート: CSIRT ThaiCERT) 5 Ministry of Science and Technology 情報通信技術(IT)の政策部分を MICT (科学技術省:MOST) が所管するのに対し、情報通信の技術部分 を所管する行政機関 6 National Electronics and Computer MOST 傘下の情報セキュリティ技術・セ Technology Center (タイ国立電子コ ンサ技術などを専門とする研究組織 ンピュータ技術研究センター: NECTEC) 7 National Information Technology 国家レベルの情報通信技術(IT)政策を Committee(国家情報技術委員会: 検討する有識者委員会(諮問委員会) NITC) 8 Thailand Information Security 国外の組織と連携し、情報セキュリティに Association(タイ情報セキュリティ 対するサイバー防御技術の開発と情報共 協会:TISA) 有を推進する組織 114 4.5.4.1.1. Ministry of Information and Communication Technology (情報通信技術省: MICT)57 2002 年に設立されたタイの情報通信技術(IT)の所管官庁であり、情報セキュリティ政 策の実施に伴う指揮監督、マスタープランの策定、法案の作成、法の所轄及び情報セキュ リティに関する普及・啓発などの職域を有している。省内の構造は以下の図のとおりであ る。 図 4-10 MICT の組織構造 MICT 設立の目的は ASEAN 地域の情報通信技術の発展の指導的役割を担い、情報通信 技術(IT)産業を中心としてタイの産業・経済の効率的な発展を実現することである。 57 < http://www.mict.go.th/> 115 掲げられたミッションは以下のとおり。 表 4-20 MICT のミッション 国家の ICT 政策と具体的な行動計画を提案し、管理・監督すること 国内外のすべてのセクターにおける ICT の効果的で広範囲な活用を促進するために関係 機関と協力すること 国内の ICT 産業の可能性と競争力を強化するために ICT 研究開発を推進すること ICT に関係する職業人の育成と ICT を利用する産業の職業人の支援をすること ICT を発展させる政策の下で、よりパフォーマンスが発揮できるよう努力していくこと 上記ミッションを実現するための戦略を以下のように定めている。 表 4-21 MICT の戦略 総合的かつ効率的に国家の ICT インフラを開発すること 政府機関の情報を統合して管理するための標準的システムを開発すること ICT の変化に対応するために法律、規則、規制、政策など様々な施策を新規に作り、ま た改善すること ICT に関する知識と理解を促進し、関係する人材の能力を開発すること グローバルな場面におけるタイの ICT 能力を高めるために法律や政策の制定、イノベー ションの促進、戦略の策定、R&D の推進を行うこと 公共サービスの品質とそれを提供する政府の管理体制を強化するために ICT を実装する こと 国家の安全保障のための ICT システムを開発すること 116 4.5.4.1.2. National Cyber security Committee (国家サイバーセキュリティ委員会:NCC) 2012 年に設置が定められた委員会である。MICT と連携してサイバーセキュリティ政策 の検討を行うことが任務である。 詳細は非公開となっている。 4.5.4.1.3. Electronic Transactions Development Agency (電子取引開発庁:ETDA)58 タイ国内の電子商取引を安全で信頼性の高いものにすることを目的として設立された MICT 直下に位置する行政機関(庁)である。 電子商取引に関わる情報通信技術(IT)政策、法律、標準化、情報セキュリティの研究 開発を指揮し、当該分野のカウンセリング、コンサルテーション及びトレーニングも実施 している。 図 4-11 ETDA の組織構造 ETDA の掲げる戦略は以下のようなものである。 表 4-22 ETDA の戦略 電子商取引に対する信頼を構築し、政府機関・公共機関を中心に電子商取引を促進する こと 電子商取引のセキュリティのためのガイドラインと対処法の開発支援を行うこと 電子商取引に必要な通信技術、通信規格の開発促進を行うこと 58 < http://www.etda.or.th/etda_website/> 117 高いセキュリティ技術を持つ人材の育成を行うこと 4.5.4.1.4. Thai Computer Emergency Response Team (タイサート:ThaiCERT)59 2000 年に設立されたタイのナショナル CSIRT である。従来は NECTEC の下部機関に位 置づけられていたが、2011 年 2 月からは MICT 傘下にある ETDA の下部機関となり、構 成メンバーは一新されている。APCERT、FIRST に加盟して活動している。 主要業務内容としてタイ国内から国外への攻撃、国外から国内への攻撃などのレポート を行っているほか、ISP と連携してインシデントレポートをまとめている。 4.5.4.1.5. Ministry of Science and Technology (科学技術省:MOST)60 情報通信技術(IT)政策を MICT が所管することに対し、MOST は情報通信技術(IT) 技術そのものを所管している。(直接管轄しているのは下記の NECTEC である。) MOST の組織構造は以下の図のようになっている。 図 4-12 59 60 MOST の組織構造 < http://www.thaicert.or.th/about-en.html> < http://www.most.go.th/eng/> 118 設立に掲げられたビジョンは、タイの社会経済的問題を解決し、長期的な国際競争力 を強化するために科学技術、イノベーションを推進することである。 その実現のための具体的ミッションとして以下のものを掲げている。 表 4-23 MOST のミッション 科学技術、イノベーションに関する統合された政策や戦略を関係機関に対して勧告する。 社会経済的に影響のある R&D を推進、管理、監督する。 あらゆるレベルでの科学技術、イノベーションを担う人材の育成を行い、国民の科学技 術、イノベーションに対する意識を高める。 製造業や社会セクターにおける知識と価値創造の向上を促進するために基本的なインフ ラや支援体制とその仕組みを構築する。 科学技術、イノベーションサービスを通じて国民生活の生産性と品質を向上させ、製造 業とサービス業セクターの技術革新と技術移転と支援する。 119 4.5.4.1.6. National Electronics and Computer Technology Center (タイ国立電子コンピュ ータ技術研究センター:NECTEC)61 MOST 傘下の National Science and Technology Development Agency(NSTDA)の直下 に位置する研究機関であり、情報セキュリティ技術分野、 知識工学の技術分野及びセンサ 技術分野等を担当している。従来 NECTEC の下部機関に位置づけられていた ThaiCERT は 2011 年 2 月、MICT 傘下にある ETDA の下部機関となった。 NECTEC の組織構造は以下のとおりである。 図 4-13 NECTEC の組織構造 設立に掲げられたビジョンは、タイ国内産業の持続可能性を強化するために電子機器や コンピュータの R&D を推進する中核組織としての役割を担うことにある。 当該目的を実現するための具体的なミッションとしては、以下の分野における取り組み が示されている。 61 http://www.nectec.or.th/en/ 120 表 4-24 NECTEC のビジョン 研究、開発、設計、エンジニアリング 産業や地域社会への技術移転 人材育成 政策研究と知識産業・知識基盤 4.5.4.1.7. National Information Technology Committee(国家情報技術委員会:NITC)62 国家レベルの情報通信技術(IT)政策を検討する有識者委員会である。首相もしくは任 命された副首相が委員長を務め、MICT、MOST 等関連省庁等の大臣やタイ商工会議所、 タイ工業連盟等の業界団体等の代表者が委員を務める。 1998 年まで NECTEC が事務局を務めていた。 組織体制としては省庁からは独立している。 4.5.4.1.8. Thailand Information Security Association(タイ情報セキュリティ協会:TISA)63 情報セキュリティに対する新たな脅威への対策を検討するための組織であり、政府に準 じる機関として扱われている。アジア太平洋地域を中心に国外の関係組織と連携して、サ イバー防御技術の開発や情報共有を推進している。ETDA の長官が理事を務めている。 4.5.4.2. 個人情報保護に関する制度 表 4-25 タイにおける個人情報保護制度の概要 包括法 現時点において包括法は制定されていない 監督機関等 独立的な監督機関は設置されていない。 個別法・関連 法 公的部門 (発行時期) ・公的情報に関する法律(Official Information Act 1997) 民間部門 ・電気通信事業法(Telecommunications Business Act) ・金融機関事業法(Financial Institution Business Act) ・信用情報事業運営法(Credit Information Business Operation Act) ・国家医療セキュリティ法(National Health Security Act) 特記事項 ASEAN 地域では、関連法で定めてあったとしても、民間部門を対象と する場合が多く、その点では、公的部門について定めた公的情報に関す る法律は、特徴的である。 備考 62 63 なし http://www.nitc.go.th http://www.tisa.or.th 121 4.5.4.2.1. 現行の法制度 現在タイでは、包括的な個人情報保護法は制定されていない。個人情報の保護は、1997 年公的情報に関する法律(Official Information Act 1997)や、電気通信、金融などの関連 する個別の法令において規定されている。 1997 年公的情報に関する法律は、公的情報へのアクセスの自由について定めると共に、 行政機関の保有する個人情報について、必要な限度での個人情報の処理や情報主体のアク セス権の保障といった、個人情報取り扱いルールを定めている。また、監督機関として、 政府情報委員会(Official Information Council: OIC)が置かれている。 一方で、電気通信、金融などの関連する個別の法令として、電気通信事業法 (Telecommunications Business Act) 、金融機関事業法(Financial Institution Business Act) 、信用情報事業運営法(Credit Information Business Operation Act) 、国家医療セキ ュリティ法(National Health Security Act)などがある。 電気通信事業法では、通信事業者は、国家通信事業委員会によって定められた個人情報・ プライバシーなどの消費者保護に関する規則を遵守しなければならず、規則に定められた 消費者の権利に対する侵害があった場合、通信事業者及び委員会は直ちに侵害行為を止め させるための措置をとり、 利用者に対して報告しなければならないとされている(第 50 条)。 そのほかに、金融機関における機密情報の取り扱いに関する罰則規定(第 154 条、155 条) 、 クレジット会社などに対する顧客情報の取り扱いについて定めた規定(22 条他)64などが ある。 4.5.4.2.2. 制定に向けた近時の動向 近年、民間部門を含む個人情報保護法案が検討されてきたが、まだ制定には至っていな い。 64 21 条のほかに、22 条、23 条、24 条。 122 4.5.5. フィリピン 4.5.5.1. 情報セキュリティ関係機関65 フィリピンにおける情報セキュリティ機関は以下の表のとおりとなっている。 表 4-26 フィリピンの情報セキュリティ関係機関 No 名称 概要 1 Information and 情報通信に関する政策決定、計画調整、政 Communications Technology 策の実施、規制の策定等 Office 2 3 Cybercrime Investigation and サイバー犯罪法により設置が義務付けられ Coordinating Center ている機関 Department of Trade and 電子商取引に関する所管省庁 Industry 4 5 Department of Science and 科学技術分野の研究開発のための進行政策 Technology を行う省庁 National Computer Center 1971 年に Presidental Economic Staff と Department of National Defense の合同プ ロジェクトとして作られた組織 6 National Telecommunications ガイドライン、規制を策定する規制機関 Commission 7 8 Government Computer Security 国家警察犯罪捜査隊(CIDG)傘下のサイバー and Incident Response Team 犯罪の捜査を主に行う機関 Philippine Computer Society 1967 年に設立されたフィリピンにおける IT 専門家が集まる業界団体 9 10 11 Philippine Electronics and 通信、IT、エレクトロニクス、放送、イン Telecommunications Federation ターネットにおける業界団体 Information Systems Security 外資系企業を中心とした情報システムのセ Society of the Philippines キュリティに関する業界団体 Philippine Computer Emergency 他の機関とは独立した存在であり、個人の Response Team 自主的な活動によって支えられている CSIRT である。2003 年に設立され、 政策提案やコーディネーション活動を実 施。また、サイバー攻撃などのインシデン 65 本章「情報セキュリティ関連機関」の記述の一部は、独立行政法人国際協力機構の調査として実施され た、株式会社三菱総合研究所「ASEAN 諸国における情報セキュリティ情報収集・確認調査」 (2012 年 10 月)より引用した。 123 No 名称 概要 トハンドリングの補助や報告を政府組織に 実施。APCERT に加盟。 4.5.5.1.1. 情報通信技術局(Information and Communications Technology Office) 情報通信に関する政策決定、計画調整、政策の実施、規制の策定が主な業務内容である。 科学技術省傘下であり、2004 年 1 月の「大統領令(Executive Order)269 号」に基づき 設立された。設立時は大統領府直属の最高意思決定機関であったが、2011 年6月「大統領 令 47 号」により情報通信技術委員会(Commission on Information and Communications Technology :CICT)から ICTO に名称が変更され、大統領府から科学技術省(Department of Science and Technology :DoST)へと移管された。 ICTO は業務として、フィリピンにおける政府組織が主導もしくは関係する情報通信技術 (IT)全般を取り扱っている。例えば、産業開発、方針の公式化、情報通信技術(IT)イ ンフラ整備支援、研究開発、公共部門のための情報通信技術(IT)キャパシティ・ビルデ ィングおよび電子政府ファンドの管理などを具体的には行っている。 4.5.5.1.2. サイバー犯罪調査センター(Cybercrime Investigation and Coordinating Center) 2012 年のインターネットを使用した犯罪の取り締まりを目的とした「サイバー犯罪対策 法(共和国法第 10175 号)」の成立にともない、設置。国家セキュリティプランの策定や執 行の意思決定が主な業務内容である。ICTO の局長がセンターの議長となるほか、関連省庁 の代表者から構成され、国家セキュリティプランの策定や執行の意思決定を行う。CICC は 大統領府の直轄機関とし、科学技術省傘下の情報通信技術局(ICTO) 、国家捜査局(NBI) 、 フィリピン国家警察(PNP)の各幹部などで構成される。 4.5.5.1.3. 貿易産業省(Department of Trade and Industry) 電子商取引の所管官庁として認証技術や情報通信技術(IT)産業の推進を行う。具体的 には PKI などの認証に関する政策や情報通信技術(IT)産業振興の推進をしており、外国 企業からの投資を促進する政策などを行う。DTI は国内外におけるフィリピンの産業全体 を包括的に支援し、経済分野における成長を促進し、国際競争力を高めるためのプラット フォームである。 DTI のミッションは次の2つである。 ① ビジネス分野での支援(Enabling Business) ビジネス環境/貿易と投資を促進するために取引を行うコストの低減 124 ② 消費者への支援(Empowering Consumers) 安全で、合理的に値をつけられた製品の提供およびサービス・サプライチェーン・マ ネジメントの実施 4.5.5.1.4. 科学技術省(Department of Science and Technology) 科学技術の所管官庁として情報通信技術(IT)分野の研究開発の推進を行う。情報通信 技術(IT)分野の研究開発やネットワーク関連技術を担当する ASTI という組織が存在す る。 「社会的道義心を持った有能で競争率の高い科学技術コミュニティ」 (A competent and competitive science and technology community with a social conscience)というビジョン を掲げている。DOST は 1987 年の「大統領令 128」によって、1958 年に作られた国家科 学および開発委員会(NSDB)が前身となる国家科学技術権威(NSTA)から再構成された。 DOST はフィリピンにおけるすべての科学技術の活動の、および政策、プログラムおよび 国家的発展を支援するプロジェクトを作ることの方向性やリーダーシップおよび調整を提 供する綜合的な権限を持った国家レベルで初めて設立された科学技術組織である。 4.5.5.1.5. 国家コンピューターセンター(National Computer Center) NCC は Presidential Economic Staff (PES) と国防総省(DND)のコンピューターセンタ ーをもとにし、1971 年の「大統領令 322」によって設立された。NCC は PES、DND およ び国立科学開発委員会の合同事業として、大統領府の下に作られた。 NCC は次のようなミッションに基づき活動している。 「革新的な解決策を通じて公共事業の配達のための政府の中の ICT の合理的で最適な使用 を擁護すること。」 政府機関に対するコンピュータ利用の啓発促進、システム開発、情報化政策提言、研修 が主な業務内容である。現在は ICTO の下部組織であり、電子政府計画に基づき、政府機 関に対するコンピュータ利用の啓発促進、システム開発、情報化政策提言、研修等を実施 している。NCC では民間部門の情報通信技術(IT)の調整活動、開発途上の人的資本、社 会のすべてのセクターに対して情報通信技術(IT)の利用及び、フィリピンにおける情報 通信技術(IT)サービス全般への支援を行っている。また情報通信技術(IT)分野におけ るグローバルな協力体制の構築のために政府のサポートも行っている。 4.5.5.1.6. 国家通信委員会(National Telecommunications Commission) 1979 年に「大統領令 546 号」に基づき設立された独立規制機関。情報セキュリティに関 するガイドラインや規制を策定することを主な業務としている。電気通信分野では電気通 信設備及び電気通信サービスに関する規則・基準の策定、電気通信事業の運営地域の設定 及び電気通信料金の設定、無線局及び電気通信設備の管理監督、電気通信設備・機器輸入 の規制、法執行である。2008 年 12 月の「大統領令 648 号」により、CICT 直属の委員会 125 となっていたが、2011 年 7 月の「大統領令 47 号」による組織改編の際に DoST へは移管 されず、大統領府直属となった。 4.5.5.1.7. 政府コンピューターセキュリティ・インシデント対応チーム(Government Computer Security and Incident Response Team) CIDG(国家警察犯罪捜査隊)の傘下にある組織で NCC などの他の関係機関・組織と協力 し、サイバー犯罪の捜査を主な業務として行っている。 4.5.5.1.8. フィリピンサート(Philippine Computer Emergency Response Team) サイバー攻撃などのインシデントハンドリングの補助や報告が主な業務内容である。 2003 年に設立された。政策提案やコーディネーション活動を行っている。サイバー攻撃な どのインシデントハンドリングの補助や報告を政府組織に行っている。APCERT に加盟し ている。 以下は民間の協会・機関である。 フィリピンコンピューター協会(Philippine Computer Society) フィリピン電気通信連盟(Philippine Electronics and Telecommunications Federation ) フィリピン情報セキュリティソサイエティ(Information Systems Security Society of the Philippines) 126 4.5.5.2. 個人情報保護に関する制度 表 4-27 フィリピンにおける個人情報保護に関する制度の概要 包括法 データプライバシー法(Data Privacy Act of 2012) 監督機関等 独立したプライバシーコミッション制度を設置予定 個別法・関連法(発行時期) ・電子商取引法(E-Commerce Act) 特記事項 ・EU 指令や OECD プライバシーガイドラインなどの影響 を受けている。 備考 未施行 4.5.5.2.1. 背景・経緯 フィリピンでは近年まで包括的な個人情報保護法は制定されておらず、関連する個別法 において個人情報の保護が図られてきた。例えば、2000 年電子商取引法(E-Commerce Act) では、プライバシー及びセキュリティに関する規定が定められている。 一方で、近年のフィリピンのアウトソーシング(BPO)産業の発展を背景に、個人情報保 護法の制定に向けた検討が行われきた。そのような背景のなかで、2011 年 7 月に下院がデ ータプライバシー法を可決し、2011 年 9 月には、下院で可決されたデータプライバシー法 とは別内容の、IT 及び BPO 産業に支持されたデータプライバシー法案が上院に提出され、 2012 年 3 月に上院を通過した。通過した法案は、それぞれ上下院で内容が異なったことか ら、両院協議会が開かれ、その後 2012 年 8 月 20 日にフィリピンにおける包括的な個人情 報保護法であるデータプライバシー法が制定された。 4.5.5.2.2. 個人情報保護法の概要 (1) 適用範囲 同法では、対象となる情報の範囲に個人情報だけでなくセンシティブデータも含まれ、 民間部門・公的部門ともに規制の対象としている。 (2) 個人情報の取り扱いに係る基本原則 フィリピンにおける個人情報の取り扱いに係る基本原則は、OECD 原則(1980 年制定の プライバシーガイドライン)に沿ったものとなっている。以下に、第 11 条で規定された取 り扱いに係る基本原則を示す。 表 4-28 個人情報取り扱いに係る基本原則 ① 事前に確定及び公表された明確かつ正当な目的のために収集される必要があり、事後的 な場合、合理的に可能な限り速やかに目的の確定及び公表を行い、その後目的と一致す る方法に限って取り扱われなければならない。 127 ② 公正かつ適法に取り扱われなければならない。 ③ 正確で、関連性を持ち、個人情報の取り扱いに必要な目的のために使用されるために、 最新に保たなければならない。不正確かつ不完全なデータは、修正、補足、破棄し、又 はさらなる取り扱いは制限されなければならない。 ④ 個人情報の収集及び取り扱う目的に照らし合わせて、適切かつ十分でなければならな い。 ⑤ データが取得された目的の充足、法的な請求の立証、行使並びに弁護、若しくは法律上 正当と認められる事業目的に必要な限りにおいて、又は法律の定めるところによって 取得されなければならない。 ⑥ データが収集及び取り扱われた目的のために必要な限りにおいて、データ主体の識別を 許可できるような形で保持されなければならない。 (3) 監督機関 同法では、法律の監督及び執行、並びに国際標準に対する適合性を監視及び確保するこ とを目的として、プライバシーコミッションの設置が規定されている。同法では、プライ バシーコミッションは、情報通信技術省に設置されるとしている。プライバシーコミッシ ョンの任務及び権限は、以下のとおりである。 表 4-29 プライバシーコミッションの任務及び権限 ① 個人情報管理者のコンプライアンスの確保 ② 申立の受理、調査の開始、裁判外紛争手続を通じた紛争の解決の促進、裁定、賠償の 決定、審決書の作成、及び公表 ③ 国家安全保障及び公共の福祉に有害な個人情報の取り扱いに対する排除命令 ④ 法令の遵守又は問題改善の要請 ⑤ 公的部門におけるコンプライアンスの監視 ⑥ 国内における政策等の策定及び実施おける官民の連携 ⑦ 指針の公表 ⑧ 広報活動 ⑨ 司法省に対する罰則等に関する進言 ⑩ 個人情報管理者の規約の審査、承認、拒否、及び修正の要求 ⑪ 関係者に対する支援 ⑫ データプライバシーに関する規制・法令等の含意に関するコメント、助言的意見、及 び法解釈 ⑬ 立法、改正、又は修正の提言 ⑭ 国際的なイニシアチブを通じた国内外の関係者との連携 128 ⑮ 他国の関係機関と国境を越えた法の運用・執行に関する交渉及び締結 ⑯ 国外で活動する企業に対する国外法に対応するための支援 ⑰ 越境執行の促進に必要な取組の実施 4.5.5.2.3. 個人情報保護法に関する近時の動向 2012 年 8 月 15 日に法案が成立したものの、依然として未施行の状態である。また、プ ライバシーコミッションが設置されるとされた情報技術通信省に関しては、10 年近くにわ たって設置が検討され、法案も提出されてきたが、依然として設立には至っていない。 129 4.5.6. ブルネイ 4.5.6.1. 情報セキュリティ関係機関66 ブルネイにおける情報セキュリティ機関は以下の表のとおりとなっている。 なお、同国において情報セキュリティに特化して活動している組織は少ないが、それぞ れの分野において枝分かれした機関が情報通信についての政策作りに参加している為、そ れに関わっている政府機関及び政府に準じる組織を示す。 表 4-30 ブルネイにおける情報セキュリティ関連機関 No 名称 概要 1 The Authority for AITI は、情報通信技術(IT)&通信業界の規制、無線周波 Info-communications 数のマネジメントとブルネイの情報通信技術(IT)産業の Technology Industry 開発を行っていくために設立された通信省傘下の (ブルネイ情報通信産 Statutory Body(特殊法人)である。 業庁:AITI) 2 Ministry of 通信省は、ブルネイがその独立した直後の 1984 年に設立さ Communications れた。通信省の責任管轄部署は、電気通信局である、郵便 (通信省:MINCOM) サービス部門、民間航空、陸運局、港湾局と海洋局にわか れている。 2006 年 4 月 1 日以降、電気通信省は法人化さ れており、テレコムブルネイ Berhad 社(TelBru)として 活動をしている。 3 Brunei Darussalam 国家レベルでの情報通信技術(IT)リーダーシップと方向 National IT Council 性を確立し、提供するために最も重要な組織であり、ブル (ブルネイ IT 評議 ネイの IT 戦略おいて重要なポジションを確立している。 会:BIT Council) BIT 評議会は、政策の中核と、具体的な戦略と行動計画を 実施するために活動をしている。 4 e-Government 2008 年 4 月 1 日に首相府の下に結成された。 EGNC は、 National Center 電子政府の取り組みの達成に向けての政府の継続的な実務 (EGNC) の一環として設立された。主に公務員の電子政府の取り組 みに関連している情報通信技術(IT)の運用サービス、情 報通信技術(IT)人材の面で共通の情報通信技術(IT)サ ービスを提供することを業務としている。また、ペーパー レス政府の実装に向けて、各省庁に対しての準備喚起など を行っている。 66本章「情報セキュリティ関連機関」の記述の一部は、独立行政法人国際協力機構の調査として実施され た、株式会社三菱総合研究所「ASEAN 諸国における情報セキュリティ情報収集・確認調査」 (2012 年 10 月)より引用した。 130 No 名称 概要 5 e-Government ブルネイで電子政府の戦略的方向性を議論するために最高 Leadership Forum レベルで満たすためのプラットフォームである。各省庁か (EGLF) らの Permanent Secretaries と Deputy Permanent Secretaries が参加している。チェアマンは首相府副大臣が 務めている。ブルネイ電子政府戦略とロードマップの策定 を 2009 年に行った。 6 e-Business e-ビジネスの推進活動を行うために設立された。EGLF ほ Leadership Forum ど具体的な活動は見られない。 (EBLF) 7 8 e-Society Leadership 通信省のアブバカ大臣が設立。ブルネイを洗練された社会 Forum とするための情報通信技術(IT)開発をサポートするため (ESLF) に設立されたが、現在は活動していない。 E-Goverment AITI の下部組織として、シンクタンクのようなポジション Technical Authority で存在をしている。電子政府のためのベストプラクティス Body(EGTAB) の相互運用性の向上と採用の問題に対処する組織である。 EGTAB は定期的に電子政府プログラムやプロジェクトを 管理する方法についてアドバイスを行う。BIT 評議会の下 部組織であり、鑑定、評価研究と電子政府プログラムの実 施手順の提案などを含むより具体的なプランにおけるイニ シアチブを握っていると思われる。 9 E-Government 電子政府プログラムの実施の手順のさらなる提案を行って Program Executive いる、BIT 評議会のアフィリエイト組織である。IT の公共 Committee(EGPEC) サービスにおける拡散と現在政府省庁が実施する電子関連 のサービスや活動の先行開発を進めるために推進力を提供 する。 10 E-Government EGPEC (E-Government Program Executive Strategic, Policy and Committee :BIT 評議会のアフィリエイト組織)をアシスト Coordinating Group する為に設立された下部組織であり、より具体的な戦略や (EgSPEC) 政策を調整する為に存在する。電子政府戦略を管理し、政 策や規制要件の特定等を行う組織である。管理統制は EGPEC によって行われ、EGPEC によって設定された方針 を遵守する組織である。またこのグループは情報通信技術 (IT)政策及びプログラムに関連する既存の情報システム 間に於ける依存関係等を優先順位に据えている。電子政府 プロジェクトの為に他機関との連携を推進し、電子政府政 131 No 名称 概要 策へ助言をしている。EgSPEC メンバーシップは、首相府 副事務次官が率いる学際的な専門知識を持つ高官の小さな コアグループに限定されている。 11 BruCERT 国家の IT インシデント情報の収集と発信。自国の情報が発 信される事は無く、ほとんどは欧米を中心とした有名 IT ニ ュースメディアの情報である事が多い。 132 4.5.6.1.1. The Authority for Info-communications Technology Industry(ブルネイ情報通 信産業庁:AITI) AITI は、情報通信技術(IT)&通信業界の規制、無線周波数のマネジメントとブルネイ の情報通信技術(IT)産業の開発を行っていくために設立された通信省傘下の特殊法人で ある。2006 年4月に通信相電気通信部が分割され、AITI と Telekom Brunei Berhad (TelBru))が設立された。これ以前は、通信省電気通信部が情報通信の規制とサービスの両 方を取り扱っていた。 AITI は情報セキュリティ戦略や政策を所管しており、ブルネイにおける情報セキュリテ ィインシデントの統計を管理している。 (データは機密情報として取り扱われており、公開 されていない模様) 。規制機関としての役割に加え、BruCERT の支援も行う。地域市民を 対象とした「ICT 能力プログラム」 が実施されている。 AITI のビジョンは、生活の質を豊かにし、国家の情報通信技術(IT)を前進させる革新 的で活気のある情報通信技術(IT)産業を促進する為に最適な情報通信技術(IT)環境を 提供する事である。それに伴い掲げられたミッションは以下のとおりである。 表 4-31 AITI におけるミッション 電気通信及び無線通信規制 ライセンスを提供し、電気通信及び無線通信システムとサ と電波/周波数の企画・運営 ービスを規制し、ブルネイ国内の無線周波数を管理する 国際間での連携とイニシア 国際的な変化と発展のペースを踏襲、維持し国際的な場で チブ のイニシアチブを握る ICT 企業の発展 ICT 産業の発展と成長を促進する 上記のミッションに基づいて設定された、AITI の主な業務内容については以下のとおり である。 133 表 4-32 AITI における主な業務内容 (a) ブルネイの情報通信産業の効率向上と国際競争力を促進すること。 (b) 電気通信サービス、ブルネイのすべての人々を合理的に繋ぐこと。これにより効率的 かつ経済的に実行可能な限り合理的にブルネイの工業や商業のニーズを満たすことが 期待されている。 (c) ブルネイで通信技術と接続商業活動に従事する者との間の公正かつ効率的な市場行動 と効果的な競争を促進し、維持すること。 (d) 市場におけるブルネイの情報通信産業(国内国外何れの地域においても)のすべての 部門の効果的な参加を促進すること。 (e) 情報通信技術(IT)の事項について、ブルネイの国家機関の代表として国際的に行動 すること。 (f) 情報通信技術(IT)を利用するあらゆる分野に関して、国民のニーズや政策について 政府に助言すること。 (g) テクノロジーと情報通信技術(IT)に関する研究開発の進展を促進すること。 (h) 電気通信及び無線通信システムに接続された機器に係る基準および規範の確立を含む ブルネイの通信システムやサービスに関してライセンシングおよび規制機能を行使す る。また同時に使用されるすべての機器やソフトウェアこのようなシステムとの監視 や、機器やソフトウェアへのアクセスを行うこと。 (i) すべての目的のために必要とされるブルネイでの衛星軌道及び無線周波数スペクトル の使用に対してライセンスと規制の機能を発動し、均等に配分する。また必要に応じ て基準や規範を確立すること。 (j) ブルネイの情報通信産業による自主規制の実用的な使用を奨励、促進すること。 (k) 海底ケーブル、ケーブルフロンティア局や衛星放送局、受信機やブルネイとそれに関 連して使用されているすべての機器の送信機の設置、使用及び提供に関してライセン スと規制機能を発揮すること。 (l) サービスの提供と決定及び承認に対して価格、関税、費用など他の通信産業に関連す る分野において、必要に応じて規制機能を発揮すること。 (m) ブルネイにおける情報通信技術(IT)人材資源を含む国内における情報通信産業の確 立、発展と拡大を支援する為に投資を行い、活動を奨励促進すること。 (n) ブルネイの情報通信産業で接続された任意の目的のためのスキルや人々の知識を向上 する目的のために、訓練や研修の為の施設を提供する等の支援を行うこと。 (o) 情報通信技術(IT)システムや政府省庁、省庁のためのサービスの開発と実施につい て助言すること。 (p) ブルネイでの情報通信技術(IT)研修や教育について助言すること。 (q) AITI は情報通信技術(IT)データのプライバシーおよび保護の為の法整備を行うこと。 (r) インターネットと電子商取引の利用を促進するための規制の枠組みを確立すること。 134 (s) コンサルタントと情報通信技術(IT)に関するアドバイザリー·サービスを促進するこ と。 (t) ブルネイで情報通信技術(IT)を活用し、受け入れを促進すること。 (u) 2001 年の電気通信法案やその他の法律によって AITI の義務を行使してすること。 AITI は情報セキュリティについての政策の検討や啓発イベントを企画する第一の組織と して活動している。 情報セキュリティに関して、ブルネイはサイバーセキュリティとインフォーメションセ キュリティとを分けて掲載している。その違いと取り組みについて以下にまとめる。 表 4-33 サイバーセキュリティ ブルネイにおける情報セキュリティに関する取り組み 2つの大きなアジェンダを掲げている。第一に、サイバー犯罪と 闘うサイバーセキュリティを強化し、知的財産権、デジタル ID、 個人情報やオンラインにおけるプライバシーを保護することをあ げている。第二に、サイバースペースにおける子供の保護を挙げ ている。子供のためのより安心・安全なインターネット環境を提 供し、サイバーいじめや児童売買、児童虐待につながるサイバー スペースの利用を防止する措置を講じる必要があるとしている。 インフォーメションセ インフォメーションセキュリティは、機密性、完全性及び情報(顧 キュリティ 客と企業の両方)の可用性を確保することである。 ウィルス、迷惑メール、ファーミング、スパイウェア、ルートキ ット、ボットネット、Web 攻撃、およびマルウェアの他の新興型 ウィルスなど常に最新のインシデントに備える必要があるとして いる。 AITI は情報セキュリティについての一般市民への周知と企業への参画を徹底することに 力 を 注 い で お り 、 2009 年 よ り “CYBERSECURITY AWARENESS & INTERNET ETIQUETTE PROGRAMME”(情報セキュリティ意識向上及びインターネット・エチケッ ト・プログラム)を実施している。このプログラムは、文部科学省の下、AITI と学校の学 科間において、学生、地元の教育機関、親、教師を対象としたセミナーにより構成されて いる。 このプログラムの目的はインターネットサーフィンやソーシャルネットワーキング、情 報検索、電子商取引などのオンライン活動を行う際の安全性、セキュリティ、および良好 な倫理を実践する事である。プログラムはインターネットを利用する世代の中で、最も脆 弱なグループと判断された学生達を中心に対象として行われている。 2009 年から行われたプログラムの活動実績は以下のとおりである。 135 表 4-34 情報セキュリティ意識向上及びインターネットエチケットプログラム における活動実績 2009 年 サイバースペースにおける子供の保護をテーマとして、WTISD2009 と連携 して行われ、11 の中学校と 330 名の保護者を対象としてサイバーセーフテ ィ&セキュリティセミナーを開催した。 2011 年 25 の中学校と 76 の大学で 4000 人の学生や保護者を対象にサイバーセキュ リティ&インターネットのエチケットの理解についてセミナーを実施した。 同年 6 月には市民のデジタルエチケットについて評価認定を行う “IC Citizen Training & Certification”を開始させた。 2012 年 6 月から 12 月に全国 10 区、120 校に所属する 3-6 年生を中心に 2000 人の 生徒にむけて開催された。 また 2012 年 9 月に、 AITI、電子政府のナショナルセンター (EGNC) と ITPSS / BruCERT の共催で、通信大臣等を招いて“CYBER SECURITY AWARENESS WEEK 2012”(サイバ ーセキュリティ啓発週間)を開催した。このイベントの目的はインターネットユーザーの 間で、情報セキュリティの重要性についての意識を高めることである。このイベントは、 APEC TEL の 2012 年 10 月 29 日に行われたサイバーセキュリティ啓発デー、および ASEAN-Japan Government Network Security Awareness と連動して開催された。 AITI はこのイベントの中で『サイバーセーフティに関するヒントと情報キット』と題す るプレゼンテーションを英語とマレー語二カ国語で行った。この情報キットは、学校等の 教育機関などへ配布されているものである。 AITI はブルネイの国家機関の代表として、情報通信分野に関わる数々の国際会議等に参 画をしている。以下ブルネイが主催国、議長国として主催したイベントについてまとめる。 表 4-35 ブルネイが主導で行った情報通信分野に関するイベント ASEAN サイバーセキュリティフォーラム ANSAC 第 1 回目の ANSAC はブルネイの Rizqun International Hotel で開催された。ブルネイ政府、自治体、民間から と ASEAN 加盟国からの様々な機関が会議に参画した。 そこでは以下のトピックが扱われた; ① ISO / IEC 27000 シリーズまたは情報セキュリティ マネジメントシステム(ISMS)ASEAN 加盟国間 でのネットワークセキュリティのための最低基準 として使用する基準を考慮 ② ビジネス継続性と災害復興のためのベストプラク 136 ティスモデルの検証 ③ 電話会議(ATRC、TELSOM 及び電気通信·情報産 業大臣会合)に起因する以前の決定と勧告の見直し ④ IT セキュリティ成熟度モデル(ITSMM)ワークシ ョップ参加報告 ⑤ 情報セキュリティのための共通のフレームワーク の開発 ASEAN-Japan Government 第 4 回目の日-ASEAN ネットワークセキュリティワーク Network Security Workshop ショップはブルネイの Rizqun International Hotel で開 (日-ASEAN ネットワークセ 催された。このワークショップは、国内外の様々な政府 キュリティワークショップ) 機関、民間企業等が参加して開催された。 本ワークショップでは以下が議題となった ① 意識向上のアクティビティ-すべての ASEAN 加盟 国と日本が意識の共有を測る為に自国の詳細な対 策についてプレゼンテーションを実施(参画国:日 本、ブルネイ、カンボジア、インドネシア、ラオス) ② 国際サイバー演習-将来のサイバー演習において、日 本と ASEAN の連携に関する議論 ③ 民間企業へのセキュリティ運用に関するベストプ ラクティスの共有 ④ 最新のサイバー脅威に関するの討議 ASEAN CIO フォーラム ASEAN CIO フォーラム 第 1 回 ASEAN CIO フォーラムは、2012 年 4 月 19 から 20 からバンコク、タイで開催された。ブルネイは共催国 として運営に参画している。約 600 名の参加者の 1 割は ASEAN 諸国より参加していた。 このフォーラムは政府、企業、国民間における、情報通 信技術(IT)分野についての情報共有とイノベーション とコラボレーションを促進する為に開催されている。 その他 AITI がブルネイの代表として参画している国際会議について以下にまとめる。 表 4-36 ASEAN その他のブルネイが主導・代表で行っている国際会議 Telecommunications Senior Official Meetings (Telsom) and Telecommunications Ministerial Meetings (Telmin), ASEAN 加盟国の間で情報通信技術(IT)の発展と利益を進めることができるプロジェ 137 クトを作成するために、様々なステークホルダーと新たに立ち上げた ASEAN の情報通 信技術(IT)マスタープランを推進していく。 ASEAN Telecommunications Regulatory Council (ATRC) ATRC は周波数の使用率だけでなく、ASEAN 加盟国の間で効果的に電気通信業界を管 理するため、定期的に開催され、各国間の調整と調和を行う。 Asia Pacific Economic Council Telecommunications (APECTEL) meetings APEC TEL 内の様々なワーキンググループで、アイデアだけでなく、共有の知識と経験 を提供する。 情報通信技術(IT)産業の発展において、加盟国間での情報通信技術(IT)開発に関す るベストプラクティスとスタンダードを学習し、理解を深める。 APECTEL ミーティングの主催 Asia Pacific Telecommunity (APT) meetings 情報通信技術開発における国際標準を促進するブルネイを支援するために、ITU の豊富 な資格保有者から専門知識を募る。 国際的な主題の専門家と経験を満たし共有するために、様々な ITU のフォーラムに参加 International Telecommunication Union meetings The Partnership and Cooperation Agreement between the EU and Brunei Darussalam (PCA) Transpacific Strategic Economic Partnership Agreement (TPP) World Telecommunication Development Conference (WTDC) 138 4.5.6.1.2. Ministry of Communications(ブルネイ通信省:MINCOM) 通信省は、ブルネイがその独立を獲得した直後、1984 年に設立された。通信省下の部門 として、電気通信局、郵便サービス局、民間航空局、陸運局、港湾局と海洋局に分かれて いる。 2006 年 4 月 1 日以降、電気通信局は法人化されており、テレコムブルネイ Berhad 社(TelBru)として活動をしている。 通信省全体のビジョンは、洗練された社会の実現と優秀な市民のコミュニケーションに より 2017 年までに国家の競争力を高める事とある。また、それに伴うミッションとして以 下を挙げている。 表 4-37 ブルネイ通信省におけるミッション一覧 ① 洗練された社会に貢献するとともに、動的な環境を築き上げる ② コミュニケーションのハブ化の活動を確立し、維持する ③ 知識集約型経済における国家競争力と生活の質を高めるために、安全で効率的なアク セスとセキュアな通信網を提供する 通信省における情報通信に関する業務は、政策全体の監督業務がその主たる業務である。 その他に電子政府推進へ向けての助言、情報通信技術(IT)政策、及びその政策に関連す る既存の情報システム間における依存関係等を優先順位の高い業務としている。 139 4.5.6.1.3. Brunei Darussalam National IT Council(ブルネイ IT 評議会:BIT Council) BIT 評議会は 2000 年に立法評議会会議において国王の同意を得て設立された。BIT 評議 会は、国家レベルでの情報通信技術(IT)リーダーシップと方向性を確立し、提供するた めに最も重要な組織であり、ブルネイの IT 戦略において重要なポジションを確立している。 BIT 評議会は常設秘書、高官、民間セクターからのハイレベルな代表者、学界、技術部門 の代表者で構成され、各ステークホルダーを横断的に取り入れ、政策の中核と、具体的な 戦略と行動計画を実施するために活動をしている。 BIT 評議会役割は、ブルネイを情報通信技術(IT)先進国へと底上げすることであり、 公共部門と民間部門の情報通信技術(IT)発展のための連携や相互作用を促進することで ある。国内の BIT 評議会を通じてブルネイは国民全体のために、IT の戦略的開発と普及を リードし、促進することを目指している。この分野において BIT 評議会が当面の課題とし て掲げているのは、現在様々な政府機関で行われている主要な情報通信技術(IT)イニシ アチブ、プログラムやプロジェクトに民間を取り込んだ上で、統合を図る事だとしている。 BIT 評議会は以下のようなゴールを設定している。 表 4-38 BIT 評議会におけるゴール ① ② IT リーダーシ IT の国のリーダーシップとイノベーションを提供し、同国における ップ IT の戦略的活用を管理する。 IT のニーズ IT が公共部門のニーズと民間部門に関連するガイダンスを提供す る。 ③ IT リテラシー 社会のすべてのメンバーの間で IT リテラシーのレベルを高める。 ④ IT マンパワー 専門家や他の人員の供給の継続的なレベルを確保する。 ⑤ IT アプリケー IT の効果的な適用を促進するためには、公共部門のベストプラクテ ション ィスを促進し、政府とのビジネスを行うためのコストを削減する。 IT R&D 戦略的かつ最先端の情報技術を実現する手段として、R&D の手法を ⑥ 用い、ブルネイでの効果的な普及を促進する。 ⑦ IT リンクス 国内外の機関と繋がり、情報通信技術(IT)開発及び国際的なイン フラストラクチャ開発へのイニシアチブを握る。 ⑧ IT エコノミー 政府のマルチメディアおよびマルチネットワークの使用を含め、教 育、医療、金融、ビジネス、貿易、経済等社会のすべてのメンバー に適切なオンラインでの情報提供およびサービスの提供を確立す る。 ⑨ IT ビジネス IT に結びついたビジネスやサービスの創立を支援する。 ⑩ IT とブルネイ 適切な政策を策定し、戦略的な開発を促進し、この分野に関連した の関係 国内の地域及び地球規模の課題に対処するための IT を活用するため の枠組み、施策や活動を確立する。 140 4.5.6.1.4. e-Government National Center(電子政府センター:EGNC) 2008 年 4 月 1 日に内閣総理大臣室の下に結成された。 EGNC は、電子政府の取り組み の達成に向けて継続的な実務の一環として設立され、ブルネイ政府内での IT 機器の導入及 び保守管理の一元化、IT 担当者の人材育成の監督、公務員の IT リテラシーの向上やスペシ ャリストの育成を行う事が大きな任務とされている。また、政府全体のアプリケーション を提供し、すべての省庁間のサービスと情報を政府内で共有する事を目的としたセンター の運営を目指している。 EGNC は、様々なクライアントに専門的かつ質の高い情報通信技 術(IT)サービスを提供する事を掲げている。電子政府に特化したこのセンターの設立に 対して、4 つの大きな目的を掲げている。 表 4-39 ① 電子政府センター設立における目的 効率的、効果的、革新的、競争的、生産的かつ積極的なだけでなく、市民を中心とし た、フレンドリーな政府機構を開発する。 ② 市民や地域社会からの参加を可能にするなど、より透明度の高い政府を構築する。 ③ 国際的な課題に積極的に向き合い、挑戦する。 ④ より良い将来の為に、常に危機管理を行い、準備する。 EGNC は以下のような業務を中心に行っている。多くの業務はブルネイ政府内をクライ アントとして活動している。 電子政府ナショナルセンター 政府間で の協力 人材開発 戦略 オペレー ション 図 4-14 EGNG における業務内容 (出典:EGNC のサイトより翻訳し作成) EGNC は電子政府の実現へ向けての基本戦略となる “The E-Government Strategic Plan 2009-2014”を策定している。これは主に電子政府を実現する為の目標や指針が記載さ れている文書だが、その中で優先度の高い戦略の中に Strengthening Security And Trust という項目があるため、簡略に紹介する。 上記の戦略の中は政府内における情報の取り扱いやセキュリティについて言及されてい るものであり、そこで掲げられている課題では、すべての政府の情報通信技術(IT)設備、 システム、およびアプリケーションが安心・安全に運営されなければならないとされてい る。それを実現する為の具体的な今後注視する項目 2 点について以下のとおりである。 141 表 4-40 ① “The E-Government Strategic Plan 2009-2014”における重要項目 ICT セキュリティ 情報通信技術(IT)セキュリティ·インフラ、システム、 法的枠組み、方針、基準の策定と実施を焦点に据える。政 府の電子サービスやその他の電子取引は、機密性の精度を 高める。 ② ICT セキュリティの周知 情報通信技術(IT)セキュリティは、システム所有者とそ (プログラムやイベントの れを利用するすべての公務員だけでなく、自治体や政府そ 実施による ICT セキュリ のものの責任であるとされている。このプログラムは、潜 ティの周知) 在的なサイバーリスクと情報通信技術(IT)セキュリティ 上のリスクや脅威を避けるために取ることができる予防 対策を、すべての政府職員に対して習得させる重要な手段 となることだろうとされている。 4.5.6.1.5. BruCERT(ブルネイ CERT:BruCERT) BruCERT は 2004 年にブルネイにおけるセキュリティインシデントに対処するための ワンストップな機関として AITI、MINCOM と共同で設立された。BruCERT の主な業務 は、インターネット上のセキュリティインシデントの検知、分析を行い、予防を促進する ために国際的な他の地域との CSIRT と連携を行うことである。また、BruCER は EGNC に対する報告義務を負っている。 BruCERT が行っているもうひとつの大きな活動として、セキュリティインシデントに ついての啓発活動が挙げられる。AITI と共同で行う事も多いが、独自に開催しているイベ ントに “BruCERT Introduces Students To Internet Safety” がある。このイベントは学生 を対象に行われ、インターネットセキュリティにまつわる身近なテーマについてワークシ ョップを行い、その詳細を記した小冊子を配布している。 142 4.5.6.2. 個人情報保護に関する制度 表 4-41 個人情報保護に関する制度の概要 包括法 現時点において制定されていない 監督機関等 存在しない 個別法・関連法(発行時期) なし 特記事項 なし 備考 なし 4.5.6.2.1. 現行の法制度 現在のところ、個人情報に関する規制は存在しない。 4.5.6.2.2. 制定に向けた近時の動向 ブルネイが APEC の電子商取引運営グループ(ECSG)において行った報告では、公的 部門及び民間部門に対する個人情報保護に関する規制を実施していくとしている67。 APEC, 2012/SOM2/ECSG/DPS/SUM, Summary Report - Data Privacy Sub-Group Meeting 2012 67 143 4.5.7. ベトナム 4.5.7.1. 情報セキュリティ関係機関68 ベトナムにおける情報セキュリティ機関は以下の表のとおりとなっている。 同国では、情報通信省(MIC)と傘下の VNCERT が中心的な組織として、公安省(Ministry of Publicsecurity) 、国防省(Ministry of Defense)等の政府機関、通信事業者や民間団体 などと情報を交換しつつ活動をしている。なお、同国に関しては、国際的に活動を行って いる VNCERT を除いては、文献調査からは詳細な情報を得ることができなかった。 表 4-42 ベトナムにおける情報セキュリティ関係機関概要 No. 名称 概要 1 Ministry of Information 放送、通信、郵便など幅広く管轄し、VNCERT And Communications が内部組織として設置されている。情報セキ MIC,情報通信省) ュリティに関する政策、ガイドライン、戦略 などの立案及び執行に関しては、MIC を中心 的として行われている。 2 Ministry of Defense MOD は、MIC とともに連携し防衛関連の情 (MOD, 国防省) 報セキュリティを担当し、情報セキュリティ に関する技術開発を行っている。 3 Ministry of Home 情報通信省と連携し、各地方の行政組織と情 Affairs(MOHA, 内務省) 報セキュリティ政策の調整や、地方の行政組 織による電子情報の蓄積に関する規制を実施 4 Ministry of Public 情報技術に関する犯罪を管轄及び捜査 Security(MPS, 公安省) 5 Vietnam Computer 2005 年 12 月 、 ベ ト ナ ム 内 閣 に よ る Emergency Response 339/2005/QD-TTg 決議によって設立されたベ Team(VNCERT) トナムのナショナル CSIRT である。VNCERT は、ナショナル CSIRT として緊急対応に関す る中心的な役割を担っている。また、MIC の 一部局として位置づけられており、政策、標 準、立法などにも携わっている。 6 Vietnam Information ベトナム情報セキュリティ協会は、民間企業 Security Association や政府機関の情報セキュリティに関する能力 (VNISA) の向上を目的とした、民間団体である。 68本章「情報セキュリティ関連機関」の記述の一部は、独立行政法人国際協力機構の調査として実施され た、株式会社三菱総合研究所「ASEAN 諸国における情報セキュリティ情報収集・確認調査」 (2012 年 10 月)より引用した。 144 7 Bach Khoa BKIS は、情報セキュリティ関連の調査研究や Internetwork Security ウイルス対策ソフトの提供を行っているハノ Center (BKIS) イ工科大に設置されたセキュリティ研究機関 である。 4.5.7.1.1. Ministry of Information And Communications (MIC,情報通信省) 情報通信省は、通信、放送、出版、郵便、知的財産などを幅広く所掌する省庁で、情報 セキュリティについても中心的な役割を担っている。情報通信省は、政策、ガイドライン、 及び戦略の立案・執行や免許の付与等を行うとともに、傘下の VNCERT を通じて緊急対応 に関する業務も行っている。 4.5.7.1.2. Ministry of Defense (MOD) MOD は、MIC とともに連携し防衛関連の情報セキュリティを担当し、情報セキュリ ティに関する技術開発を行っている。国防省の外局として The Academy of Cryptography Techniques が存在し、暗号分野を中心とした情報セキュリティに関連した研究の実施及び 情報セキュリティに関する専門家の育成を行なっている69。 4.5.7.1.3. Ministry of Home Affairs (MOHA) 情報通信省と連携し、各地方の行政組織と情報セキュリティ政策の調整や、地方の行政 組織による電子情報の蓄積に関する規制を行う。 4.5.7.1.4. Ministry of Public Security (MPS, 公安省) ベトナムにおけるサイバー犯罪等に関する法律の執行機関である。情報技術に関する犯 罪の捜査及び監視を行っている。また、監視活動のためのセキュリティ技術の開発も行っ ている。 69 http://www.qdnd.vn/qdndsite/en-us/75/72/184/164/164/172954/Default.aspx 145 4.5.7.1.5. Vietnam Computer Emergency Response Team (VNCERT) 2005 年 12 月、ベトナム内閣による 339/2005/QD-TTg 決議によって設立されたベトナム のナショナル CSIRT である。VNCERT は、ナショナル CSIRT として緊急対応に関する中 心的な役割を担っている。また、MIC の一部局として位置づけられており、政策、標準、 立法などにも携わっている。 VNCERT は、ベトナムのナショナル CSIRT として、ベトナム国内におけるインシデン トハンドリングを行うとともに、技術標準の確立及び法律の策定・改正に関する助言、 CSIRT の構築支援、コンサルティングやトレーニング、認証などの各種サービスの提供、 セミナーの開催などによる意識啓発活動など政府の情報セキュリティに関する活動におけ る中心的な役割を果たしている。 また、対外的には、各国の CERT・CSIRT や国際機関と積極的に連携を行っている。 VNCERT は、我が国の JPCERT/CC 及び韓国情報保護振興院(KISA)と情報セキュリテ ィに関する覚書(MOU)を交わしており、ラオスとも LaoCERT の支援ための覚書(MOU) を交わしている。また、APCERT、ITU、ASEAN CERT などが開催するワークショップ やサイバー演習に参加するなど、国際機関とも積極的に協力・連携を行っている。 4.5.7.1.6. Vietnam Information Security Association ( ベ ト ナ ム 情 報 セ キ ュ リ テ ィ 協 会:VNISA) ベトナム情報セキュリティ協会は、民間企業や政府機関の情報セキュリティに関する能力 の向上を目的とした、民間団体である。トレーニングの実施、コンテストやカンファレン ス、ワークショップなどの開催、調査研究活動、コンサルティング活動などを行っている。 4.5.7.1.7. Ba’ch Khoa Internetwork Security Center (BKIS) BKIS は情報セキュリティ関連の調査研究、ウィルス対策ソフトやソリューションサービ スの提供を行っているハノイ工科大に設置されたセキュリティ研究機関である。BKIS は、 2001 年に設立され、2003 年から APCERT のメンバーになっている。民間企業や政府機関 に対して情報セキュリティに関する教育活動を行うとともに、ブログなどを通して調査研 究の公表などの情報発信を頻繁に行っている。 146 4.5.7.2. 個人情報保護に関する制度 表 4-43 ベトナムにおける個人情報保護に関する制度の概要 包括法 現時点において制定されていない 監督機関等 独立した監督機関は設置されていない 個別法・関連法(発行時期) 消費者保護法 特記事項 消費者保護法には個人情報の取り扱いに関する手続規定が 置かれている 備考 なし 4.5.7.2.1. 現行の法制度 ベトナムでは、包括的な個人情報保護法は存在しないが、消費者の権利の保護に関する 法律(消費者保護法)によって、消費者保護の一環として個人情報の保護が図られている。 消費者保護法70は、1999 年の消費者保護令に取って代わる形で、2010 年 11 月 17 日成立し、 2011 年 7 月 1 日から施行された。同法では、単に消費者との契約に関連する事項のみなら ず、消費に関する情報の保護を含む、製造物責任、リコール、情報提供者の責任等の消費 者保護に関する広範な事項を規定している。また、消費者の権利を保護するための手続規 定もおいている。 消費者に関する情報の保護に関しては、第 6 条 1 項において、 「消費者が取引並びに/又は 商品及びサービスの使用に参加する場合、消費者に関する情報の安全性及び機密性は、権 限ある国家機関が情報開示を請求した場合を除き、確保される」とし、2 項以下で「消費者 に関する情報を収集又は移転する事業者」の責務を規定している。事業者の責務は以下の とおりである。 ① 消費者の情報を収集及び使用する活動目的に関して、明確かつ公開された通知を事前 に行うこと。 ② 消費者に対して通知し、その同意を得た目的に合致するように適切に情報を使用する こと。 ③ 消費者に関する情報を収集、使用及び移転するときは、安全性、正確性、完全性を確 保すること。 ④ 情報が正確ではないことが判明した場合、自ら情報を更新、変更し、または消費者に 70 条文は、英 訳:<http://www.vcalaw.com/legal-documents/law-and-ordinance/27-2010lawonprotectconsumerright.ht ml>,2011、及び 日本語訳:西村あさひ法律事務所, ベトナム消費者権利保護法(参考和訳), <http://www.jurists.co.jp/ja/topics/docs/newsletter_201110_southeast.pdf>,2011 を参考にした。 147 情報を更新及び変更させることが可能となるような措置を講ずること。 ⑤ 法令による別段の規定がある場合を除き、消費者の同意を得た場合にのみ、消費者に 関する情報を第三者に移転すること。 罰則に関しては、消費者の権利を侵害する個人は、 「違反の性質や程度に応じて行政処分 又は刑事的な取り調べを受け」 (第 11 条 1 項) 、組織については、「違反の性質や程度に応 じて、行政処分を受け」ることになる(同条 2 項)。さらに、 「消費者権利保護法に違反す る目的で自らの地位又は権限を濫用した個人は、懲戒又は刑事訴追を受ける」とされてい る(同条 3 項)。いずれにおいても、「損害を生じさせた場合、法律の規定に基づき、その 賠償をしなければならない」とされている(同条 1、2、3 項)。ただし、消費者保護法にお いては、具体的な罰則規定は定められていない。 また、同法においては、消費者と事業者の間における紛争を解決するための規定が置か れている。紛争を解決するための手段として、交渉、調停、仲裁、及び裁判が規定されて いる。また、裁判による紛争解決の場合には、一定の条件を満たす場合、 「民事訴訟に関す る法律に規定される簡易な手続」(第 41 条 2 項)が適用される。 4.5.7.2.2. 制定に向けた近時の動向 今後、消費者保護法とは別に個人情報保護法が制定されるかは、現在のところ不明であ る。 148 4.5.8. マレーシア 4.5.8.1. 情報セキュリティ関係機関 マレーシアにおける情報セキュリティ機関は以下の表のとおりとなっている。 表 4-44 マレーシアにおける情報セキュリティ関係機関概要 No 名称 概要 1 科学技術革新省(Ministry of マレーシアにおける情報セキュリティの所管官庁。 Science, Technology and 科学省、技術環境省を前身とする同省は 2004 年に Innovation:MOSTI) 現在の名称に改称されて活動を開始している。情報 セキュリティに関する政策の立案、研究開発、産業 に対する支援など所掌業務は多岐にわたっている。 2 情報通信文化省(Ministry of 旧情報省(Ministry of Information)、旧エネルギ Information, Communication ー・水利・通信省(Ministry of Energy,Water and and Culture:MICC) Communications:MEWC)の通信部局と旧文化・芸 術・文化遺産省(Ministry of Culture, Arts and Heritage)を統合した省で、通信、放送、郵便に関 する規制、監督官庁である。 3 MAMPU(Malaysian MAMPU は、マレーシア近代化及びマネジメントプ Administrative ランニング部、公的部門の IT 関連サービスのマネジ Modernization and メントをする目的で設立されたマレーシア政府内部 Management Planning Unit) における情報通信技術(IT)関連委員会である。 4 通信マルチメディア委員会 MCMC は情報通信文化省の下部組織である。その主 (Malaysian Communication な業務は通信、マルチメディアの分野における政策 and の立案、策定、執行を行うことである。 MultimediaCommission: MCMC) 5 Cyber Security Malaysia MOSTI 傘下の情報セキュリティ専門機関として 2009 年 に 発 足 し た 。 マ レ ー シ ア の ナ シ ョ ナ ル CSIRT である MyCERT を統合して国家レベルの情 報セキュリティを統括する組織として活動を行って いる。 6 The Department of Standards Malaysia は 1996 年の 8 月に設立され、 Standards Malaysia Standards of Malaysia Act 1996 (Act 549)によって (STANDARDS MALAYSIA) 授権された組織である。主な業務はマレーシアにお ける標準の策定であり、設立から 17 年で 6300 以上 のマレーシアの標準がこの組織によって制定されて いる。 149 No 名称 概要 7 MIMOS(Malaysian Institute 1985 年に設立されたマイクロシステムズのマレー of Microelectronics Systems) シア法人を前身とする。当初は半導体分野の R&D を業務としていたが、今日では国有企業として情報 通信産業全般にわたる R&D を対象としている。 8 マレーシア情報セキュリティ 情報セキュリティ専門家協会は、情報セキュリティ 専門家協会(Information 専 門 人 材 を 養 成 す る た め に 、 Cyber Security Security Professional Malaysia の支援のもと設立された、政府系の NPO Association of Malaysia) である。 150 マレーシアにおける情報関連法は以下のように制定されている。 表 4-45 マレーシアにおける情報関連法 電子署名法(Degital Signature Act 1997) 遠隔医療法(TeleMedicine Act 1997) 著作権法(Copyright Act 1997) 通信及びマルチメディア法(The Communication and Multimedia Act 1998) コンピュータ犯罪法(Computer Crime Act 1997) ダイレクト販売法(Direct Sales Act 1993) 個人データ保護法(Personal Data Protection 2010) 電子政府及び電子商取引法(Electronic Government and Electronic Commerce Act 2006) MyICMS886(Malaysian Information, Communications and Mulitimedia Services 886) NCSP(National Cyber Security Policy) 4.5.8.1.1. 科学技術革新省(Ministry of Science, Technology and Innovation:MOSTI) マレーシアにおける情報セキュリティの所管官庁である。科学省、技術環境省を前身と する同省は 2004 年に現在の名称に改称されて活動を開始している。 具体的な業務内容としてはマレーシアにおける情報セキュリティ政策の策定、情報通信 分野の研究開発と事業化の促進、ベンチャー企業から大手企業にいたるまでのあらゆる分 野に対する資金提供・技術指導・情報提供による支援のほか、マレーシア国内の情報セキ ュリティ関連組織との連携を行っている。 国内産業の競争力強化、研究開発の支援、社会システムの成長をビジョンとする 9 つの 戦略を掲げている。 表 4-46 ① MOSTI の掲げる 9 つの戦略 知識、イノベーションによってリードされた経済を確立する為の STI でのヒューマ ンキャピタルによる人材の開発 ② 国内でのイノベーション創出を増やし、それを安定させる。メーカーが国内でイノ ベーションを獲得できるようにする ③ STI への差別の撤廃と先進性と確信性をもった思考の促進 ④ 戦略的同盟者との連携強化 ⑤ RDC への投資強化 ⑥ 社会的に価値のある方向への著作権の商業利用の指針付け ⑦ 社会をイノベーションと維持可能な開発で活性化すること ⑧ 国際化 151 ⑨ MOSTI の持つサポート能力と能力の強化 4.5.8.1.2. MICC Ministry of Information, Communications and Culture (情報通信文化省) 2009 年に 4 月に、それに先立つナジブ内閣の改革を受けて設置され、旧情報省(Ministry of Information) 、 旧 エ ネ ル ギ ー ・ 水 利 ・ 通 信 省 ( Ministry of Energy,Water and Communications:MEWC)の通信部局と旧文化・芸術・文化遺産省(Ministry of Culture, Arts and Heritage)を統合した省である。通信、放送、郵便に関する規制、監督官庁であ る。国内における通信産業の信頼性向上と国内情報関連組織の連携を強化する事を主な目 標として活動している。また、MCMC を下部組織として持っている。 4.5.8.1.3. MAMPU ( Malaysian Administrative Modernization and Management Planning Unit) MAMPU は、マレーシア近代化及びマネジメントプランニング部、公的部門の IT 関連サ ービスのマネジメントをする目的で設立されたマレーシア政府内部における情報通信技術 (IT)関連委員会である。電子政府関係政策、電子政府委員会などの事務局を担当し、行 政サービスにおける情報通信技術(IT)のマネジメントとコンサルティングをするととも に、官民連携によりサイバー攻撃などに対して、多角的な対応を実施することが可能とな っている。 4.5.8.1.4. 通 信 マ ル チ メ デ ィ ア 委 員 会 (Malaysian Communication and Multimedia Commission:MCMC) MCMC は情報通信文化省の下部組織である。その主な業務内容は通信、マルチメディア の分野における政策の立案、策定、執行を行うことである。また、MCMC は政府の通信部 門における業務員のセキュリティコンサルタント、並びに政府役職の IT リテラシー向上の ための啓発活動も行っている。 ま た 、 MCMC は マ レ ー シ ア に お け る 情 報 通 信 ネ ッ ト ワ ー ク の 監 視 組 織 で あ る SNSC(SKMM Network Security Center)を有し、首 相府傘下の 国家安全保 障会議や MAMPU (Malaysian Administrative Modernization and Management Planning Unit)と も連携関係にある。 4.5.8.1.5. Cyber Security Malaysia MOSTI 傘下の情報セキュリティ専門機関として 2009 年に発足した。マレーシアのナシ ョナル CSIRT である MyCERT を統合して国家レベルの情報セキュリティを統括する組織 として活動を行っている。MyCERT は APCERT、FIRST、OIC-CERT に加盟しており、 これらの国際機関との連携も主要な業務内容となっている。 CSM の主要業務内容は以下の表のとおりである。 152 表 4-47 CSM における主要業務内容 ① 情報セキュリティ上のインシデントへの緊急対応 ② 情報セキュリティの品質に関するマネジメント ③ 情報セキュリティ処理に関する能力開発 ④ 情報セキュリティの認知促進 ⑤ 情報セキュリティ研究とリスク評価 ⑥ 情報セキュリティの評価及び認証 CSM はその他にも web ページ上においてナレッジデータベースを公開しており、情報セ キュリティに関する国内、国外の情報を見る事が可能になっている。 また、CSM の関わっているサービス、組織として以下のものがある。 表 4-48 CSM が実施しているサービス例 サービス名 概要 Cyber999 MyCERT が提供する、インターネットユー ザーによるインシデント報告のための通報 窓口サービス。Email、SMS、電話、ファッ クスによってユーザはインシデントの報告 をすることができる。 Cybersecurity Clinic データ復旧、PC の診断、トレーニング、意 識啓発活動といった一連のサービスを提供 するイニシアチブ。 4.5.8.1.6. The Department of Standards Malaysia (STANDARDS MALAYSIA) Standards Malaysia は 1996 年の 8 月に設立され、 Standards of Malaysia Act 1996 (Act 549)を根拠法とする組織である。主な業務内容はマレーシアにおける標準の策定であり、 設立から 17 年で 6300 以上のマレーシアの標準がこの組織によって制定されている。 Standards Malaysia は Organization for Standardization (ISO) and International Electro-technical Commission (IEC)のメンバーであり、このメンバーであることがマレー シアの標準が多くの国で採用されている理由ともなっている。 4.5.8.1.7. MIMOS(Malaysian Institute of Microelectronics Systems) 1985 年に設立されたマイクロシステムズのマレーシア法人を前身とする。当初は半導 体分野の R&D を業務内容としていたが、今日では国有企業として情報通信産業全般にわた る R&D を対象としている。 153 国際競争力を強化するために最先端技術の応用研究を推進しているが、特に情報セキュ リティ分野を含めた 10 の分野に関して注力している。 表 4-49 MIMOS における重点分野 高度な分析手法とそのモデリング 高度なコンピューティング 情報セキュリティ インテリジェントインフォメーション 知識技術 マイクロエナジー マイクロエレクトロニクス ナノエレクトロニクス 心理統計学 無線通信 MIMOS は R&D を業務内容とする企業であることから、CSIRT などよりもシスコやイ ンテル、マイクロソフトなどの半導体・情報通信企業と協力することが多い。 MIMOS は定期的に研究成果を発表しており、MIMOS によって開発・改良・普及された 技術は、政府機関はもちろん、他の研究機関や民間企業によっても利用・応用されている。 4.5.8.1.8. Information Security Professional Association of Malaysia:マレーシア情報セ キュリティ専門家協会 情報セキュリティ専門家協会は、情報セキュリティ専門人材を養成するために、Cyber Security Malaysia の支援のもと設立された、政府系の NPO である。ISPA.my 法第七項に よって公的に登録されており、MOSTI の管轄下で活動を行っている。政府の指針に沿って、 情報セキュリティ専門人材の養成のための施策を行う。 ISPA の主要業務はネットワークと通信に関するセミナーの主催や会員同士による会議の 主催とサポート、ISPA に関する協調とサポートの提供である。ISPA のメンバーによって 開発されたアプリケーションも複数存在する。 154 4.5.8.2. 個人情報保護に関する制度 表 4-50 マレーシアにおける個人情報の保護に関する制度の概要 包括法 マレーシア個人情報保護法(PDPA)2010 年制定(未施行) 監督機関等 独立した監督機関は設置されていない 個別法・関連法(発行時期) 関連規則の制定が検討されているが成立には至っていない 特記事項 原則として、マレーシア国外で収集された個人情報には適 用されない 備考 なし 4.5.8.2.1. 背景・経緯 マレーシアでは、近年まで包括的な個人情報保護法は制定されておらず、関連する個別 法に規定が設けられ、個人情報の保護が図られていた。例えば 1989 年銀行及び金融機関法 (Banking and Financial Institutions Act)では、銀行分野における個人情報の保護に関 する規定が置かれている。 一方で、包括的な個人情報保護法の検討は 10 年以上前から行われていた。1998 年法案 は、エネルギー・通信・マルチメディア省(Ministry of Energy, Communications and Multimedia: MECM)を中心に検討された法案であり、EU 指令を反映したものであった が、複雑である、負担が大きい等、業界団体からの反対にあい、成立には至っていない71。 また、2001 年にも法案が提出されたが、これも成立には至らなかった。 このように、これまで法案が提出されてきたが、業界団体などの反対にあい、包括的な 個人情報保護法は制定されなかった。しかし、2010 年 4 月に OECD プライバシーガイド ラインや EU 個人データ保護指令を反映した個人情報保護法案が議会で可決され、包括的 な個人情報保護法が制定された。しかしながら、施行にあたって必要な関連規則が制定さ れておらず、現時点において施行されていない。 71消費者庁, 諸外国等における個人情報保護制度の 実態調査に関する検討委員会・報告書,<http://www.caa.go.jp/seikatsu/kojin/h21report1.pdf>,2008 155 4.5.8.2.2. 個人情報保護法の概要 (1) 個人情報の適用範囲 保護の対象となる個人情報は、 「当該情報又はデータの使用者が保持する情報及びその他 の情報から識別された又は識別されうるデータ主体に直接又は間接的に関係する情報」と して定義されている。なお、対象となる情報には、データ主体に関するセンシティブデー タや意見も含まれる。規制の対象に関しては、公的部門は含まれていない。 (2) 個人情報の取り扱いに係る基本原則 マレーシアの個人情報の取り扱いに係る基本原則は、OECD 8 原則(プライバシーガイ ドライン)や EU 個人データ保護指令に準拠している。 表 4-51 OECD ガイドラインとマレーシア PDPA の比較 (Rebecca Ong(2012)72をもとに作成) OECD Guidelines PDPA OECD 8 原則 マレーシアの個人情報保護法 収集制限の原則 General principle collection with consent (第 6 条(1);例外規定 (第 6 条(2) & (3)). データ内容の原則 Accuracy and kept up-to-date: Data integrity principle (第 11 条) 目的明確化の原則 Notice and Choice principle (第 7 条) 利用制限の原則 公開の原則(Disclosure principle)(第 8 条) 安全保護の原則 安全の原則(Security principle)(第 9 条) 公開の原則 該当する規定なし 個人参加の原則 アクセスの原則(Access principle)(第 12 条) 責任の原則 該当する規定なし (3) 監督機関 マレーシアにおける個人情報保護に関する独立機関(監督機関)は現在のところ設置さ れていない。しかし、MICC(情報通信省)下に個人情報保護部門が設置され、その部門がコ ミッショナーになることが予定されている。なお、コミッショナーについては個人データ 保護法で設置することが規定されているが、独立性及び執行力の点で限界があるとの指摘 がある(Rebecca,2012) 。 Rebecca Ong,”Data protection in Malaysia and Hong Kong: One step forward, two steps back?”,2012, Computer Law & Security Review, Volume 28, Issue 4 72 156 4.5.9. ミャンマー 4.5.9.1. 情報セキュリティ関係機関 ミャンマーにおける情報セキュリティ機関は以下の表のとおりとなっている。 同国では、近年までナショナル CSIRT が設立されておらず、情報通信技術(IT)政策に 関してはコンピュータ開発委員会を中心に進められているものの、情報セキュリティに関 する取組はあまり見られない。 表 4-52 ミャンマーにおける情報セキュリティ関係機関概要 (一部記述は、独立行政法人国際協力機構の調査として実施された、株式会社三菱総合研究所「ASEAN 諸国における情報セキュリティ情報収集・確認調査」 (2012 年 10 月)より引用した。 ) No 名称 概要 1 Myanmar Computer コンピュータ科学開発法(Computer Science Development Science Development Law)に基づき、ミャンマーにおける情報通信技術(IT) Council(ミャンマーコ の発展を目的として設置された委員会であり、ミャンマー ンピュータ開発委員 国内における情報通信技術(IT)政策等に関する最高決定 会:MCSDC) 機関である。 Ministry of MCPT は、情報通信全般を所掌する省庁である。情報セキ Communications,Posts ュリティに関しても、同省が中心となって政策の立案など 2 and Telegraphs(通信・ が行われている。 郵便・電信省:MCPT) 3 4 Myanmar Computer mmCERT/cc は、2004 年 7 月に設立された、同国初のナシ Emergency Response ョナル CSIRT (Computer Security Incident Response Team(mmCERT/cc) Team)である。 e-National Task Force 2000 年に「e-ASEANFramework Agreement」を実施する ために設立された組織である。 5 Ministry of Science 科学技術省は、科学技術の発展のために、人材開発及び研 and Technology(科学 究開発に関わる政策を行う組織である。情報セキュリティ 技術省:Most) に関しては、所管する大学を通じた研究開発、ソフトウェ アやネットワークに関する職業訓練などを行っている。 6 Ministry of Education( ミャンマー国内における教育を所管する省庁である。傘下 教育省:MoE) の国立大学では IT リテラシーに関するカリキュラムを実施 している。 7 Myanmar Computer コンピュータ科学開発法において設立が規定され、2006 年 Federation(ミャンマー にミャンマーコンピュータ開発委員会のもと設立された民 コンピュータ連盟: 間団体である。政策提言なども行っている。 MCF) 157 図 4-15 ミャンマーにおける情報セキュリティに係わる組織 (出典:各種資料をもとに作成) 4.5.9.1.1. Myanmar Computer Science Development Council(ミャンマーコンピュータ開 発委員会:MCSDC) コンピュータ科学開発法(Computer Science Development Law)に基づき、ミャンマ ーにおける情報通信技術(IT)の発展を目的として設置された委員会であり、ミャンマー 国内における情報通信技術(IT)政策等に関する最高決定機関である。傘下に民間団体で あるミャンマーコンピュータ連盟(Myanmar Computer Federation:MCF)を持ち、そ の下にミャンマーコンピュータ専門家協会(Myanmar Computer Professionals Association:MCPA) 、ミャンマーコンピュータ産業協会(Myanmar Computer Industry Association:MCIA)、ミャンマーコンピュータ愛好者協会(Myanmar Computer Enthusiasts Association:MCEA)を持つ。議長は国家法秩序回復評議会(State Law and Order Restoration Council:SLORC)によって任命され73、メンバーは関係省庁の閣僚や 科学者からなる。 MCSDC は、政策の策定から関連機関の監督に至るまで、大きな権限を有する。政策の 策定に関しては、ミャンマーにおける情報通信技術(IT)戦略である ICT マスタープラン 国家法秩序回復評議会(SLOC)は、1997 年に国家平和評議会(State Peace and Development Council: SPDC)に改組されている。その後 2011 年 3 月にテインセイン大統領の組閣にともない、SPDC は解散し た。しかしながら、依然としてコンピュータ科学開発法では SLOC によって任命されるとあるため、SLOC とした。 73 158 の策定に関わり、コンピュータに係る協会の設立に関する許可・廃止といった権限を有す る。以下にコンピュータ科学開発法に規定された MCSDC の責務及び権限を示す。 ① 変化に対応するため、ミャンマーにおけるコンピュータサイエンスの発展に関する政 策の策定及び指導を行う。 ② ミャンマーにおけるコンピュータ科学の活用を体系的に普及させるための政策を策定 する。 ③ コンピュータネットワーク74に関する、政策の策定、指導の実施、及び監督を行う。 ④ 学生を中心とした若者がコンピュータサイエンスの基礎を学習する機会を確保する。 ⑤ 情報技術に関する、政策の策定、指導の実施、及び監督を行う。 ⑥ この法律に基づいて設置された、連盟及びコンピュータに関連する協会の活動に関す る監督及び指導を行う。 ⑦ 輸出入が禁止されているコンピュータソフトウェア及び情報の類型を規定する。 ⑧ ミャンマーにおける各業務において、コンピュータサイエンスの活用を広範囲に促進 させるための施策を講じる。 ⑨ コンピュータサイエンスに関する必要な作業部会及び団体の設置並びにそれに相当す る責務を与える。 ⑩ この法律の規定に適合せずに設立された若しくは存在する又はこの法律の規定に適合 するように機能しない若しくは関連する協会の規約に適合しないすべてのコンピュー タ協会を廃止する。 ⑪ この法律の目的を達成するために必要な施策を策定及び実行する。 4.5.9.1.2. Ministry of Communications,Posts and Telegraphs(通信・郵便・電信省:MCPT) MCPT は、情報通信全般を所掌する省庁である。情報セキュリティに関しても、同省が 中心となって政策の立案などが行われている。主な所掌事務として、政策立案及び電気通 信サービスの管理監督、各種免許の付与と免許料の徴収、通信機器と通信システムに関す る標準化、国際交渉、及び電気通信関連の調査研究などを行っている。 傘下には、郵便、電気通信、放送分野を所掌(規制)する郵便電気通信局(Post and Telecommunications Department:PTD) 、国営の通信事業者であるミャンマー郵電公社 (MPT)を持つ。MPT については、ミャンマーICT マスタープランにおいて、今後民営化 していくとされている75。 また、情報セキュリティに係わる国際機関によるワークショップへの参加や諸外国から のコンサルティングなどに関しては、MCPT が中心となって行っている。2009 年 12 月に 74 コンピュータネットワークとは、コンピュータを使用した衛星又はその他のすべての技術を通じた通信 システムをいう(第 2 条(d)) 。 75MCSD ホームページ,< http://www.mcsdc.org.mm/programmes/strategy/masterplandetail?page=3> 159 行われた「Sub-regional Telecommunication Ministerial Forum for CLMV」に参加し、2011 年 11 月に行われた 「ITU/ASEAN Subregional CSIRT/CIRT/CERT Workshop for CLMV」 のホストを務めている。また、2011 年 7 月にミャンマーICT マスタープランにおけるミャ ンマーと韓国両国の協力に関する合意文書が取り交わされた76。2011 年 7 月から 11 月にか けては、情報セキュリティ政策に関して、韓国によるコンサルティングが MCPT に対して 行われている77。さらに、同年 12 月には、MCPT と韓国放送通信委員会(KCC)が公開鍵 基盤(PKI)に関するワークショップを開催している78。 4.5.9.1.3. Myanmar Computer Emergency Response Team(mmCERT/cc) mmCERT は、ミャンマーにおけるインシデントハンドリングを支援することを目的とし て、2004 年に e-National Task Force によって設立された、ミャンマーのナショナル CSIRT である。2010 年までコーディネーションセンターを持たず、 活動も ASEAN CERT Incident Drill(ACIC)に参加するのみであった。2010 年 12 月に、同国初のナショナル CSIRT (Computer Security Incident Response Team)である mmCERT/cc が MCPT の下に設置さ れたことに伴い、活動内容を拡大している。 mmCERT のミッションは、以下のとおりである。 表 4-53 mmCERT のミッション ① 情報セキュリティやサイバー犯罪に関して世界の CSIRT と連携することで、 ミャンマーにおける IT に対するイメージを作り出すこと ② セキュリティに関する情報及びアドバイスの提供すること ③ 技術的支援を行うこと ④ サイバー犯罪に関して、法執行機関と協力していくこと 活動内容は、政府サイトを中心としたウェブサイトの監視やミャンマー国内におけるト ラフィックの観測・分析などといった脆弱性情報等の収集・分析活動、ウェブサイト上に おける脆弱性情報等の発信、意識啓発活動、ガイドブックの作成や技術的助言などを通じ たインシデントハンドリング能力等向上のための支援を行っている。ミャンマー国内にお いては、政府や ISP と連携を図るとともに、対外的には、APCERT や ASEAN CERT が開 New Light of Myanmar,<http://www.myanmararchives.com/newspapers/The-New-Light-of-Myanmar/2011/07_Jul/1 9-07-2011.pdf>,2011 年 7 月 19 日 77KISIDI, Strategies for OperatingNational CERT of Myanmar, <https://www.evernote.com/shard/s239/res/4ba98d88-5827-4425-bb10-dc988d33c176/S8_Dr_Insoo_Ka ng.pdf>,2011 78 Yatanarpon CA, Update News (YCA) Korea-Myanmar PKI Workshop, Yangon<http://www.yatanarponca.com.mm/yca_news.html>,2010 年 3 月 76 160 催しているサイバー演習への参加や、ITU が主催するワークショップへの参加などを通じ てコーディネーションセンターとしての能力向上に取り組んでいる。 表 4-54 mmCERT の活動内容 活動内容 活動実績 mmCERT のウェブサイ mmCERT のウェブサイトおいて、意識啓発のための資料を公開 トの更新 し、また脅威情報・脆弱性情報などを定期的に発信している。 ウェブサイトのモニタ 2011 年 11 月から主に政府のウェブサイトおける脆弱性のモニ リング タリングを行っている。 TSUBAME プロジェク TSUBAME プロジェクトに参加し、ワームの感染活動や弱点探 トへの参加 索のためのスキャンなど、セキュリティ上の脅威となるトラフ ィックの観測を行なっている。 インシデントハンドリ 2011 年 9 月からオープンソース・チケット・リクエスティング ングシステムの運用 システムを用いて、インシデントハンドリングを行っている。 インシデントマネジメ インシデントマネジメントガイドブックの第 1 版を作成した。 ントガイドブックの作 成 サイバーセキュリティ 2011 年 8 月に、MCPT 内のトレーニングセンターにおいて、サ に関するトレーニング イバーセキュリティトレーニングを行った。 ISP との会合 mmCERT のメンバーと主要な ISP の技術スタッフの間で月に 一回程度会合を開催している。 サイバー演習への参加 ・ASEAN CERTs インシデント演習に参加(2006∼2011) ・ITU と IMPACT が開催したサイバー演習、“ITU-IMPACT ALERT”に参加。 技術的な助言 2011 年に起きた DDOS 攻撃に関する技術的な助言を ISP に対 して実施した。 ワークショップへの参 ITU-ASEAN Sub-regional CSIRT/CIRT/CERT Workshop for 加 Cambodia, Lao P.D.R.,Myanmar and Vietnam (CLMV)に参 加。 4.5.9.1.4. e-National Task Force e-National Task Force は、ミャンマーにおける e-ASEAN 枠組み合意を実施するため、 2000 年に設立された。情報通信技術(IT)政策に対する提言、国際標準に則った電子商取 161 引に関する法制度の整備、組織間の連携の促進などを行っている。79情報セキュリティに関 しては、mmCERT の設立に携わっており、情報セキュリティに関わる組織改革にも言及し ている ICT マスタープランの策定において、民間団体などと連携して提言を行っている。 4.5.9.1.5. Ministry of Science and Technology(科学技術省:MOST) 科学技術省は、科学技術の発展のために、人材開発及び研究開発に関わる政策を行って いる。 研究開発については、同省のミャンマー科学技術研究局(Myanmar Scientific and Technological Research Department)及び所管する大学などにおいて行われている。情報 セキュリティについては、所管する大学などを中心として研究開発を実施している。 人材開発については、所管する大学における教育活動や Advanced Computing Training Center(先端コンピューティング訓練センター)における職業訓練などを実施している。先端 コンピューティング訓練センターは、情報通信技術(IT)技術者の養成を目的として、2009 年に設立され、OJT などによる実践を通じた技術の習得、理論と実践の両面における理解、 雇用機会の確保などを目指している。現在、ソフトウェア開発コース、システム及びネッ トワーキングコースの 2 つの講座が開講されている。ソフトウェア開発コースでは、基礎 的なプログラミング、データベースの構築、プロジェクトマネジメントなど、基礎からマ ネジメントまでソフトウェア開発に必要な技術を教えている。システム及びネットワーキ ングコースは、システム開発者向けのコースで、ネットワークやサーバのアーキテクチャ などについて教えている。 また、同省が所管するヤンゴンコンピュータ科学大学は、SOI Asia パートナー大学とし て、SOI ASIA Research and Development Network Project に参加し、ミャンマーにおけ る情報通信技術(IT)人材の育成を目的として、我が国の慶應義塾大学などと遠隔教育を 実施している80。 4.5.9.1.6. Ministry of Education(教育省:MoE) ミャンマー国内における教育を所管する省庁であり、傘下の国立大学では IT リテラシー 関するカリキュラムを実施している。 4.5.9.1.7. Myanmar Computer Federation(ミャンマーコンピュータ連盟:MCF) コンピュータ科学開発法において設立が規定され、2006 年にミャンマーコンピュータ開 発委員会のもとに設立された。民間団体であるが、ミャンマーコンピュータ開発委員会の Digital Review of Asia Pacific, Digital Review of Asia Pacific 2007—2008 '.mm' Myanmar, <http://www.digital-review.org/uploads/files/pdf/2007-2008/2007_C18_mm_Myanmar_223_229.pdf>, 2008 80MOST, School Online for ASIA Research Project, <http://www.most.gov.mm/index.php?option=com_content&task=view&id=66&Itemid=2>, 2007 162 監督下にある。同法で規定された任務及び権限は、研究開発の促進、人材開発、政策提言、 コンピュータ産業に対するなど、産官学民連携の中核を担っている。 4.5.9.2. 個人情報保護に関する制度 4.5.9.2.1. 現行の法制度 表 4-55 ミャンマーにおける個人情報保護に関する制度の概要 包括法 制定されていない 監督機関等 存在していない 個別法・関連法(発行時期) 電気通信法(2001 年) 特記事項 明示的に個人情報を対象とは規定はしていない。 備考 全般的に法制度自体が発展段階にある。 ミャンマーにおいては、個人情報保護法は制定されていない。民間部門を対象としたも ので、金融機関法において、職務上知り得た情報の漏洩に関する罰則規定が存在するに留 まっている。そのほかには、電子取引法(Electronic Transaction Law)が個人情報の保護 に関連する規定をおいている。電子取引法は、2004 年に制定された法律で、電子商取引だ けでなく広く電子取引における情報を対象としており、電子証明等に関連する規定をおい ている。同法では、第 34 条において情報の保護に関する罰則規定を定めている。同条で罰 則の対象となる行為は、電子データ等に対する変更、破壊、盗取等の行為、発信者及び受 信者の許可なく通信の傍受等を行うことやバスワード等の情報をやり取りすること、個人 の利益及び尊厳を傷つける情報の変更、創出、頒布などとされている。 4.5.9.2.2. 制定に向けた近時の動向 ミャンマーコンピュータ連盟(MCF)の Thien Oo 会長によれば、電気通信法や不正競 争防止法、消費者保護法、サービスプロバイダを規定する法律、通信ネットワークに関連 する秘密保護法などとともに、個人情報保護法についても今後整備を進めていく予定であ るとしている81。 81 JISA, ISA ミャンマー・ソフトウェアセミナー 開催報告, <http://www.jisa.or.jp/goglobal/topic/20120718_000014.html>, 2012 年 7 月 163 4.5.10. ラオス 4.5.10.1. 情報セキュリティ関係機関 ラオスにおける情報セキュリティ機関は以下の表のとおりとなっている。 同国においては、情報セキュリティに関して現在発展途上の段階となっており、同国の 政府機関や情報セキュリティ関係機関のウェブサイトを通じても詳細な情報収集が難しい 状況となっている。 以下は、現状で確認できた情報セキュリティを取り扱っている関係機関の一覧である。 表 4-56 ラオスにおける情報セキュリティ関係機関概要 (一部記述は、独立行政法人国際協力機構の調査として実施された、株式会社三菱総合研究所「ASEAN 諸国における情報セキュリティ情報収集・確認調査」 (2012 年 10 月)より引用した。 ) No 名称 概要 1 Ministry of Posts and 2011 年に庁から省に格上げされた機関。 Telecommunications 名称のとおりの郵政や通信だけでなく、最近では、情 (MPT) 報技術も担当することが決定。 郵便・電気通信省 それに伴い、電気通信分野における政策立案・免許付 与・市場の監督管理・周波数割当て・通信設備の輸出 入管理など情報技術や情報通信分野などの具体的な活 動を行っている。 2 Ministry of Science and 2011 年に庁から省に格上げされた機関。 Posts and Technology 格上げに伴って従来担っていた電子政府を含む情報技 (MOST) 術の業務は MPT に移管。 科学技術省 3 4 Lao National Internet 2008 年に設立された機関であり、この機関では、ラオ center ス国内におけるインターネットの管理及びインターネ (LANIC) ットゲートウェイの運営や研究開発を行っている機 ラオス国立インターネッ 関。情報セキュリティの情報通信技術(IT)傘下教育 トセンター にあり、MPT の直轄機関。 Institute of Post and 郵便・電気通信省(MPT)の傘下の研究機関で、イン Telegraph ドの民間企業である Trigyn Technologies 社と協力活動 行うこととなった。具体的には IT 人材育成に関する協 力関係の締結をするなどを行っている。行政機関では なく、研究機関としての位置づけである。 5 LaoCERT 2012 年に設立されたラオスにおける National CSIRT。 LANIC の下部組織として運営。 2 年後には MPT の傘下になる予定。 164 4.5.10.1.1. Lao National Internet Center (ラオス国立インターネットセンター:LANIC) ラオス国家郵便電気通信庁直轄の機関である。ラオスにおけるインターネットの相互接 続点である National Internet Exchange (NIX)やナショナルデータセンターの運営を行っ ている。 LANIC は現在のラオスにおけるインターネット接続環境(ラオス国内の ISP は、国際イ ンターネット接続サービス利用のために近隣諸国からの ISP と接続していることからラオ ス国内におけるインターネット接続が不安定となる一因になっている)を改善し、インタ ーネット普及率の増加を押し進めることにより、ラオス経済の発展を図ることを目的とし て活動している。そのためラオス国内の全 ISP が接続する国際インターネット接続ゲート ウェイ(International Internet Gateway, 略称:IIG)の設立をすすめている。 4.5.10.1.2. Lao Computer Emergency Response Team (LaoCERT) 2012 年までラオスにおいては、国家レベルでの CSIRT が存在していなかった。しかし、 ラオスにおいてできるだけ迅速に National CSIRT を設立する必要があった。そのため、 2012 年に MPT が中心となってラオス政府が LaoCERT の設置を決定した。 現在では、ラオス国立インターネットセンター(LANIC)の一部として準備及び活動を行っ ているが、最終的には2年後に MPT の傘下として独立した機関となる予定である。 4.5.10.2. ラオスにおける情報通信分野に関する活動 ラオスにおいては、日本を含めた世界各国の政府や行政機関及び民間企業からの協力の 下に情報通信分野におけるさまざまな支援活動が行われている。 以下は現状確認することができた、実際に行われていた活動や現在行われている活動内 容の一部である。 4.5.10.2.1. ラオスでのインターネット接続提供における協力 NTT コミュニケーションズと LANIC が 2012 年にラオスにおける国際インターネット接 続提供に協力することで合意。これにより、日本の民間企業とラオスの行政機関が主体と なってラオスにおけるインターネット環境の発展、インターネット市場の活性化を進めて いくこととなる。今後の展望として、LANIC へネットワークの IPv6 対応、DDoS 攻撃対 策等のセキュリティに係るコンサルティング等を行い、ラオスの情報通信技術(IT)化を サポートしていくとしている。 4.5.10.2.2. ラオス国立大学 IT サービス産業人材育成プロジェクト このプロジェクトは、JICA が技術協力を行ったものであり、2008 年から 2013 年の 5 年間協力を行うこととなっている。 ラオス国立大学(NUOL)工学部 IT 学科が中心となって学士保有者を対象とした研究生コ 165 ース及び IT 学科内に会社を創設することを目的としている。特に次の 5 つが主なプロジェ クトの内容である。 表 4-57 ラオス国立大学 IT サービス産業人材育成プロジェクト内容 ① 同コースの適切な運営管理 ② IT 学科内における会社の適切な運営管理 ③ 研究生コース担当教員の能力強化 ④ 研究生コースの整備・実施 ⑤ 産学官の連携強化 これらを実現していくことにより、IT サービス市場に応じた人材の育成を目指す協力で ある。 4.5.10.2.3. LaoCERT の構築 2012 年 、 JPCERT/CC が 、 ThaiCERT と 共 同 で ラ オ ス の LaoCERT に 対 し て National-CSIRT 機能の構築支援活動を行った。JPCERT/CC が ThaiCERT と共同で支援 を行った理由はタイ語とラオス語が言語的に近いことから英語で説明を行うよりも現地ス タッフが理解しやすいためである。 このトレーニングでは、LaoCERT のスタッフ及び現在の母体組織である LANIC(Lao National Internet Center)のスタッフに対し、インシデントハンドリングの手法や PGP の使い方、JPCERT/CC が運営している TSUBAME について等の講義とハンズオン演習を 行っている。さらに、独立法人国際協力機構(JICA)がラオスで行っている「国立大学 IT サ ービス産業人材育成プロジェクト」とも連携することによって、LaoCERT と LANIC のス タッフが、基礎知識を身につけた上でトレーニングに臨めるよう調整することが可能とな った。 4.5.10.2.4. ラオスにおける情報セキュリティセミナーの開催(2009 年実施) ラオスの政府機関、CICC、JPCERT/CC、IMPACT等が協力して情報セキュリティセミ ナーを開催し、ラオスの政府機関やIT 関連企業等に向けて啓発活動を行った。JPCERT/CC に関しては、昨今の情報セキュリティインシデントの傾向やCSIRT の重要性及び対応調整 活動、APCERT(Asia Pacific Computer Emergency Response Team)におけるアジア太平 洋地域の連携体制について発表を行っている さらに、JPCERT/CC はラオスの政府機関、ISP、IT 関連企業等、約 30 名に向けて 3 日 半にわたる CSIRT 構築トレーニングを実施し、ラオスの National CSIRT 構築に協力した。 166 4.5.10.3. 個人情報保護に関する制度 表 4-58 ラオスにおける個人情報保護に関する制度の概要 包括法 制定されていない 監督機関等 存在していない 個別法・関連法(発行時期) 電気通信法(2001 年) 特記事項 明示的に個人情報を対象とは規定はしていない。 備考 全般的に法制度自体が発展段階にある。 4.5.10.3.1. 現行の法制度 ラオスでは、個人情報保護法は制定されていない。明示的に規定しているわけではない が、個人情報保護に関連する規定が存在する法律としては、電気通信法がある。2001 年に 制定された電気通信法では、電気通信事業者及びユーザーに、情報やデータに対して干渉、 攻撃、破壊、修正、消去、窃取、探知などの行為を行うことを目的とした電気通信設備等 の使用を禁止しており(第 14、15 条)、違反した場合には罰則が科される(第 29、30 条) 。 4.5.10.3.2. 制定に向けた近時の動向 ラオスでは、個人情報保護法制定に向けた動きは見られない。一方で、個人情報保護法 の基礎となるべき環境が整っていないことから、現在先進国や国際機関などとともに法制 度の整備が行われている。 ラオスに対する法整備支援は、1980 年代末より、フランス、スウェーデン、オーストラ リアなどとの二国間支援や、世界銀行、国連開発計画(UNDP)、アジア開発銀行(ADB)など の国際機関によって行われてきた。しかしながら、これらの支援は、多様な主体によって 行われたため内容に相違が生じてしまったことや、早急に整備を進めたため内容的に不十 分であったこと、またラオスにおける社会経済情勢に配慮が足りなかったなどの問題が発 生した82。 そのような、背景の中で、2001 年に我が国も同国に対する法整備支援を開始し、現在ま で取組を行ってきた。法務省によれば、現在においてもラオスの基本法の整備は十分では なく,存在する法律も体系化されたものではないことや、立法手続が必ずしも効率的とは いえず,法の運用面でも統一性及び迅速性に欠けていることが指摘されている83。これらの 法制度の問題の背景に、法・司法分野における人材不足が影響しているとして、法務省は JICA などと共に支援を行っている。現在までに行われた支援として、民法及び商法の教科 82国際協力事業団,ラオスの経済関連法制の現状と協力の焦点,< http://jica-ri.jica.go.jp/IFIC_and_JBICI-Studies/jica-ri/publication/archives/jica/kyakuin/pdf/200103_0 1.pdf>, 2011 83法務省, 活動成果,研究報告,国際研修等の紹介(ラオス), <http://www.moj.go.jp/housouken/houso_houkoku_laos.html> 167 書作成支援,民事判決書マニュアル及び検察官マニュアル作成支援等を実施している。ま た、現在行われている支援としては、ラオス法律人材育成強化プロジェクト、民法典起草 支援などが実施されている。 168 5. 東南アジアにおける情報セキュリティに係る国際機関に対するニーズや位 置づけに関する検討 5.1. 海外現地調査 「2.5.2.海外現地調査スケジュール及び訪問先」に示すとおり、2013 年 3 月 4 日∼8 日に かけてインドネシア、マレーシア、シンガポール各国の政府機関、及び有識者(大学教授 等)、現地企業への聞き取り調査を実施した。 5.1.1. 調査目的及び調査項目 現地調査の目的は第一に ASEAN 全体での情報セキュリティ政策を統括する国際連携機 関のニーズの有無を把握すること、第二に現地に進出している国内企業のニーズを確認す ることとして実施した。後者に関しては「5.2.国内ニーズ調査」において記述する。 海外現地調査の計画段階において、「3.情報セキュリティに係る既存の国際機関に関する 調査」で述べたとおり、EU(ENISA)をモデルとした組織の検討と ASEAN における既存 国際機関を比較し、不足している「立法・規制機能」を担う機関の設置が必要であるとの 仮説を立てた。 海外現地調査ではその仮説の有効性や実現可能性についての検証、及び SEAN 全体での 情報セキュリティ政策を統括する国際連携機関のニーズの有無を把握するするため、以下 の検討項目を設定し、聞き取り調査を実施した。 検討①: ENISA が持つ国際連携機能をベースとして考えた場合、ASEAN 地域において 国際連携を行ううえで必要と考えられる機能に対する過不足感の確認 検討②: ENISA が持つ国際連携機能に対応する ASEAN 地域の国際組織の対応付けの 確認 検討③: ASEAN 全体での情報セキュリティ政策を統括する国際連携機関の設立に関す るニーズ、実現性の確認 検討④: 新たな国際機関が必要となった場合、新規組織の設立もしくは既存組織の拡張 のどちらが実現性が高いかの確認 検討⑤: 情報セキュリティに関して日本に期待する支援内容の確認 169 5.1.2. 調査対象 海外現地調査の調査対象を選定するにあたって、限られた期間で効率よく情報収集、仮 説の検証を行う必要があったため、文献調査の結果洗い出された専門組織の情報、及びラ ウンドテーブルにおける有識者の意見を踏まえ、表 5-1 に示す専門組織を調査対象とした。 また、 「立法・規制機能」機能についての検証を行うにあたり、ASEAN 各国の法律に精 通した有識者の意見を参考とするため、各国の法学者も調査対象とした。 表 5-1 No 1 組織名 ASEAN 事務局 調査対象組織 国 概要及び調査対象としての選定理由 インド ASEAN の配下 ATRC に属する会議体 ネシア である ANSAC に関する情報を把握し ていると考えられるため 2 3 MCIT ASEAN 事務局のあるインドネシアの (Ministry of Communication 情報通信分野を担当する省庁であるた and Information Technology) め MICC マレー ANSAC の現議長国であり、 ASEAN の (Ministry of Information, シア 情報通信政策及び ANSAC に通じてい Communications and Culture) 4 ると考えられるため SITSA シンガ シンガポールのサイバーセキュリティ (Singapore Information ポール 関連の官庁であり、ASEAN における Technology Security Authority) セキュリティ関連の情報を把握してい ると考えられるため ※上記以外に「立法・規制機能、域内標準・域内条約の立案」機能の実現可能性について確認すべく、 University of Indonesia 及び University of Malaya を訪問先として加えた。 170 5.1.3. 調査結果 海外現地調査の結果、ASEAN 全体での情報セキュリティ政策を統括する国際連携機関は 理想的には設立することが望ましいが、その実現性は低いという意見が多くみられた。こ うした意見がみられる理由として、ASEAN が EU の様な強制力を持つ法律やその執行機関 を持たないこと、各国の経済状況及び情報通信技術(IT)の発展状況・各国法制度の整備 状況が大きく異なっていることが考えられる。 一方で、法・規制機能の様な強制力のある機能を持たせず、ガイドライン作成や、情報 セキュリティに関するノウハウ共有の機能を持つ組織を設立することについては肯定的な 意見が多くみられた。これら肯定的な意見や、ANSAC が設立された背景からも分かるとお り、ASEAN 全体として情報セキュリティに取り組む意識が形成されつつあると考えられる。 以上のとおり、現地調査を通じて ASEAN 全体での情報セキュリティ政策を統括する国 際連携機関に対して、一定のニーズが存在する事を確認できた。 しかしながら、各国間のギャップが大きいため、国際連携機関を直ちに設立することは 実現性が低いと考えられる。加えて、ANSAC が既にその機能を持っているという認識が政 府機関等において顕著であるため、同じ機能を持つ組織の設立は各国の同意を得られず、 影響力を行使できない可能性が高いと考えられる。 また、日本の ISMS 普及・促進のノウハウを学び、自国での ISMS 普及を目指したいと いう意見や、経済産業省が実施した ISMS 研修が有用であったという意見が多くみられた。 国際機関設立の是非にかかわらず、これら顕在化しているニーズに対し支援する事は、 ASEAN 地域における情報セキュリティのレベルを底上げに寄与し、成長地域である同地域 への日本企業の進出促進に資すると考えられる。 171 5.2. 国内ニーズ調査 5.2.1. 調査目的 本調査の目的として、東南アジア地域における情報セキュリティに係る国際機関に対す るニーズや位置付けに関して検討する必要があり、同地区へ進出している国内企業に対し てヒアリングを行うことで、海外進出企業が現時点で把握している情報セキュリティ対策 や情報管理に関する課題等を抽出することを目的とした。 5.2.2. 調査対象 国内ニーズ調査について、表 2-4 に示すとおり、製造業を中心に大規模、中規模レベル の企業を選定し、海外現地法人を含む 15 社に対してヒアリングを行った。 5.2.3. 調査項目 国内ニーズ調査について、表 5-2 に示す質問項目を設定しヒアリングを行った。 「現状把握」の項目に関しては、ASEAN 地域に進出する企業の概要を把握するため、進 出先・分野、現地の情報管理、現地の情報システムについて、質問項目を設定した。 「リスクと対策」の項目に関しては、「人」、 「システム」、 「情報管理」 、「情報連携」の観 点から質問項目を設定した。 また、経済産業省、もしくは現地政府にどの様な支援が求められているかを把握するた め、「経済産業省(ASEAN 各国)への期待」の質問項目を設定した。 表 5-2 国内ニーズ調査質問項目 質問項目 現状把握 リスクと対策 進出先・分野 Q1. ASEANのどの国で、どの様な事業を展開しているか。 現地の情報管理 Q2. どの様な情報を現地で取り扱うか。また、どこの地域・拠点と情報がやり取りされるか。 現地の情報システム Q3. どの様な情報システムを現地に置いているか。 人 Q4. 情報を取り扱う現地従業員の情報リテラシー等リスクを感じていることはあるか。 また、リスクに対してどの様な対策を行っているか。 システム Q5. 情報システムに対して、どのような情報セキュリティリスクを感じているか。 また、リスクに対してどの様な対策を行っているか。 情報管理 Q6. 現地の情報管理について、どのような点がリスクであると感じるか。 また、リスクに対してどの様な対策を行っているか。 情報連携 Q7. 進出先において、情報システムに対するリスクが発現した場合、問題解決のために他の組織 との連携することはあるか。 また、現地の組織と連携について、連絡先機関や手段について把握しているか。 Q8. 経済産業省(ASEAN各国) 今後、ASEAN地域への拠点展開を考える上で、経済産業省(ASEAN各国)に期待する事項 への期待 また、既に展開している拠点において情報セキュリティを強化する上で、経済産業省 (ASEAN各国)に期待したい事項 172 5.2.4. 調査結果 多くの企業がビジネス上の戦略的意義を見出して東南アジアへと進出しているが、進出 先の東南アジア諸国の情報セキュリティ対策状況は未だ不十分であり、日本に比べて情報 セキュリティ上のリスクが高いということを、多くの企業が認識している。 ASEAN 地域に進出する企業が認識している情報セキュリティ上の主なリスクは、「人」 「組織」「インフラ」に関する事項である。(付録エラー! 参照元が見つかりません。) また、上記リスクを低減するために、以下の施策が有効であるとの回答を多く得られ た。 ・ISMS の普及(認証取得企業の増加) ・域内共通の情報セキュリティに関するガイドライン 各企業とも ASEAN 地域における情報セキュリティのリテラシー向上や、セキュリティ レベルの底上げが必要だと感じている。ISMS 認証は、現地企業と取引や業務委託を行う際、 情報保護に取り組んでいる企業であることを客観的に判別できるため有用であるとの意見 が多くあった。また、ISMS や域内共通のガイドラインが普及することによって、情報セキ ュリティに関する共通言語が生まれるため、従業員教育や体制構築において有効であると の意見も見られた。 ISMS の普及に関しては、5.1.3 で述べたとおり、各国の政府機関も支援ニーズを感じて いるため、官民双方からのニーズがあるといえる。 域内共通の情報セキュリティに関するガイドラインに関しては、現在 ANSAC が策定に 取り組んでおり、策定後は各国が自国の事情を考慮した上で適用することが想定されてい る。 先述のとおり、ガイドラインの策定や各国の適用に際しては、我が国が支援を行うこと で、域内の情報セキュリティレベルの底上げに貢献できると考えられる。また、情報セキ ュリティレベルの底上げが、情報セキュリティ上のリスクの低減に繋がり、ひいては日本 企業の進出促進にも繋がると考えられる。 173 5.3. 国際連携機関に関する提言 一連の調査を通じ、ASEAN 全体での情報セキュリティ政策を統括する国際連携機関の設 立に関して一定のニーズがあることが分かった。しかし、それらのニーズは当初想定した ニーズとは一致しておらず、また、組織の設立に向けては解決すべき大きな課題が複数存 在している。 5.3.1. 東南アジア情報セキュリティ機関設置に向けた課題 ASEAN 全体での情報セキュリティ政策を統括する国際連携機関の設立を前提とした場 合、ENISA をモデルとした組織の設置が有効であると考えられる。しかしながら、新たに ENISA と同等の機能を持つ組織を設置する場合、以下 3 つの大きな課題が存在しており、 これらを解決または配慮した組織作りが求められる。 ① 情報セキュリティに関する既存の枠組の存在 ASEANにおいて、ANSACが設置された事により、ASEAN全体での情報セキュリティ政 策をANSACが提起、実現していくという雰囲気が醸成されている。また、ANSACの上部 組織に当たるATRCも研究開発の機能を果たしており、新たな国際連携機関を設置する場合、 既存機関との関係性に配慮しなければならない事が分かった。情報セキュリティ政策は既 存機関が担当しているという認識が強いため、新たな国際連携機関の設置を計画した場合、 各国の同意を得られない可能性が高いと考えられる。 ② ASEAN域内を規制する執行機関が未整備 前述のとおり、欧州のENISAをモデルとし、東南アジア地域における既存の取り組み状 況を検討した結果、東南アジア地域の既存の取り組みに不足しているのは「立法・規制機 能」に関する機能であると考えられる。 しかしながら、同機能に関して、欧州においてENISAが関与しうるのは、EU法が存在し、 EC(European Commission:欧州委員会)が執行機関として存在しているためである。 翻って、ASEANにはそのような執行機関が存在しない。また、2015年にASEAN共同体 が発足するが、強制力のある域内法や執行機関の設置等の将来の姿については2013年現在 において、明確には公開されていない。そのため、ASEAN域内の立法・規制に影響を及ぼ す機能を持つ組織の設置は困難である事が伺える。 また、現地調査を通じて、ASEAN各国の法整備状況、及び情報通信技術(IT)基盤の格 差に大きなギャップがあることから、「立法・規制機能」は現実的ではないという意見が大 勢を占めた。このことからも、ENISAと同等の域内各国の立法・規制に影響を及ぼす機能 を持つ組織の設置は困難である事が伺える。 ③ 各国における情報通信技術(IT)基盤の格差 174 EUと異なる点として、各国間の情報通信技術(IT)の発展度合いに大きな格差がある事 も、東南アジア情報セキュリティ機関を設置する上で考慮しなければならない。 ASEANにはシンガポール、マレーシアの様に高度に発達した高度なネットワーク基盤や 豊富な人材を保有し、情報通信技術(IT)基盤の発展した国(IS(Information Security) 先発国)と、ラオス、カンボジア、ミャンマーといった情報通信技術(IT)基盤が未だ発 展の途にある国(IS先導者育成課題国)が存在しており、両者の情報セキュリティ政策は 大きく異なるものとなる。IS先発国では発展した情報通信技術(IT)基盤を前提とした情 報セキュリティ政策が立案可能なのに対し、IS先導者育成課題国では情報セキュリティと は何かを教育するための普及啓発といった部分から取り組まなければならないためである。 この様に情報通信技術(IT)基盤に格差が存在する中、域内共通の規制・基準等を策定し た場合、IS先導者育成課題国において適用は困難であると考えられる。 以上の課題を踏まえると、新たに組織を設置するに当たっては、既存の組織に配慮する とともに、立法や規制といった強制力のある機能ではなく、まずはガイドライン策定とい った緩やかに各国のレベルの底上げを図る組織を思考することが有益である。 5.3.2. 東南アジア情報セキュリティ機関設置に対するニーズ ASEAN 全体での情報セキュリティ政策を統括する国際連携機関の設立に関して一定の ニーズはある。しかしながら、前項のとおり、それは当初想定していた「立法・規制」機 能とは異なるものである。 以下に、本調査を通じて把握することができた ASEAN における国際連携に関するニー ズを示す。 ① 域内におけるミニマムスタンダード策定の動向 ANSACにおいて、ASEAN域内のネットワークセキュリティや情報セキュリティに関す るミニマムスタンダードの策定が進んでいる。同スタンダードはISMSをベースとしており、 各国が自国の状況に応じて適用することが想定されている。 スタンダード策定においてISMSをベースとした政府基準・ガイドライン等を運用する日 本の知見が有効であるとともに、各国が自国のセキュリティレベルを底上げする際のコン サルテーションに対するニーズが潜在していると考えられる。 ② ISMS普及・促進に対する意欲 現地調査での政府機関訪問や経済産業省が実施したASEAN各国向けのISMSに関する研 修参加国からの意見として、各国内でのISMS普及・促進について意欲が高い事が分かった。 また、国内企業ニーズの調査においても、現地での委託先やパートナーを検討するに当 たってISMS認証の取得が一つの指標として活用できるとの意見が多くみられた。 175 ③ 域内の情報セキュリティ政策を推進する実体機関 既に述べたとおり、域内の情報セキュリティ政策に関する機能の大部分をANSAC、及び その上部組織のATRCが担っている。しかしながら、両組織は会議体であるため、我が国が 期待している域内の情報セキュリティレベルの底上げを図り、日本企業が進出しやすい環 境を整備して行くに当たっては実行力の面で不足していることが考えられる。 上記の様な情報セキュリティ政策を強力に実行、推進できる実体組織はASEANには存在 していないため、組織設立のニーズが潜在していると考えられる。 5.3.3. ASEAN 地域における情報セキュリティに関する支援のあり方(提言) 先に述べたとおり、ASEAN全体での情報セキュリティ政策を統括する国際連携機関の設 立に関して一定のニーズがある。しかしながら、各国間の情報通信技術(IT)基盤発展の ギャップが激しいため、ASEAN全体での情報セキュリティ政策を統括する国際連携機関を 直ちに設立することは実現性が低いといえる。加えて、ANSACが既にその機能を持ってい るという認識が政府機関等において顕著であるため、同じ機能をミッションとした組織の 設置を計画した場合、各国の同意を得られず、影響力を行使できない可能性が高いと考え られる。 一方で、ANSACが策定中であるミニマムスタンダードや、域内におけるISMS認証の普 及・促進等、現時点で支援可能な部分も見られる。国際専門機関設置の是非に関わらず、 これらに対する支援を行うことが、ASEAN地域の情報セキュリティ強化のために有効であ る。 我が国産業において、機密情報を保護し、競争力を維持するという観点から、情報セキ ュリティリスクはASEAN地域への進出を検討する際の重要なリスクの一つとなっている。 そのため、ASEAN地域における情報セキュリティレベルの底上げを支援することは、日系 企業の進出を促進するとともに、日-ASEANの関係強化にも資すると考えられる。この点に おいて、ASEAN域内の情報セキュリティ政策を推進する実体機関の必要性を説くことが我 が国に求められていると考えられる。 以上のことを踏まえて、ASEAN地域における情報セキュリティに関する支援のあり方と して、以下三つの提言を行う。 提言①: 共通的なミニマムスタンダードの作成支援 提言②: ISMS普及・促進のための支援 提言③: ANSACを母体とした国際連携機関設置の検討 提言①:共通的なミニマムスタンダードの作成支援 176 関係者へのヒアリングから、現在 ANSAC において、域内におけるネットワークセキュ リティのための共通的なミニマムスタンダードを策定していることが分かった。このスタ ンダードは、ISO/IEC 27001 や IT ガバナンスやマネジメントのためのビジネス・フレーム ワークである COBIT(Control Objectives for Information and Related Technology)等を 参考として、セルフアセスメントシートとして取りまとめる予定とのことである。 我が国として、同様のガイドライン策定やその普及については経験があり、提供できる ノウハウを豊富に有している。これらの強みを活かして ANSAC に協力し、ASEAN 地域全 体の情報セキュリティレベルの底上げを図ることは同地域の情報セキュリティ政策推進に 資するものである。 また、ミニマムスタンダード作成後は、各国への適用作業が想定される。各国の適用作 業に当たり、コンサルテーションを必要とする国を支援する事で、より高い効果が期待で きる。 提言②:ISMS普及・促進のための支援 ASEAN 各国の政府機関、及び日本企業のニーズとして、ISMS の普及・促進が挙げられ ている。このため、現在行っている ASEAN 各国への ISMS 普及・促進に関する支援を拡 大する事が有益である。 具体的には、既に好評を得ている研修の開催の他に、各国において ISMS 認証制度を普 及・促進するに当たってのコンサルテーションが考えられる。我が国は世界で最も ISMS 認証制度が普及している国であり、そのノウハウ提供に対するニーズが現地調査において も多く聞かれた。 ASEAN 地域で ISMS 認証制度を普及させることにより、同地域の情報セキュリティレベ ルの底上げを図ることができる。また、同地域に進出しようとする日系企業がパートナー 企業や委託先を選定する際の客観的な基準として活用が図る事ができ、日本と同じビジネ ス環境を整えることで、同地域への日本企業の進出促進に資すると考えられる。 ISMS 認証制度の普及・促進という分野において、我が国が有するノウハウを積極的に提 供することが可能である。 提言③:ANSACを母体とした国際連携機関設置の検討 今回の調査を通じて、ANSAC を含め ASEAN 内の情報通信技術(IT)に関連する組織 はすべて会議体であることが分かった。ANSAC はそのようなバーチャルな中において、ネ ットワークセキュリティに関するミニマムスタンダードの作成を進めている等、意欲的に 取り組みが行われており、各国から ASEAN 全体の情報セキュリティを統括する組織とし て認識されている。 しかしながら、会議体であるが故に、我が国が期待している域内の情報セキュリティレ ベルの底上げを図り、日本企業が進出しやすい環境を整備して行くに当たっては実行力の 177 面で不足している。そこで、ASEAN 全体の情報セキュリティ政策を統括し、各国のセキュ リティレベルの底上げを図ることを目的とした、実行力を備えた実体組織が必要である。 ANSAC が各国から ASEAN 全体の情報セキュリティ政策を統括する組織として認識さ れていることを踏まえ、実体組織の設立に当たっては、ANSAC を母体とした組織構成の国 際連携機関を検討することが有効であると考えられる。即ち、バーチャルな組織体である ANSAC を、人員・拠点等を持つバイタル(実体のある)組織へと移行させる事は、ANSAC が情報セキュリティ政策を統括する機関であるという認識の各国に対し、最も受容れ易い 方法であると考えられる。 当該組織の所掌業務としては、①ASEAN における情報セキュリティ戦略及び政策の立案、 ②情報セキュリティに関する種々のガイドラインの策定、③各国政府機関の情報セキュリ ティ政策に関する情報共有、④現在 ANSAC・ATRC が所掌する機能(研究開発、普及・啓 発、人材育成)が想定されよう。 また、当該組織のスタートアップメンバーとしては、今回の海外調査で訪問した ASEAN 地域の政府関係者や有識者もその候補として挙げられると考えられる。 更に、当該組織を実体組織として ASEAN 内の既存の枠組みの中に位置づけるにあたっ ては、ATRC のプロジェクトとして実施される必要があり、また最終的には、母体となる ANSAC と同様に、TELMIN、TELSOM からのオーソライズが必要となると考えられる。 これらのプロセスを経て、実体組織として活動が可能となるが、ANSAC、ATRC ともに現 時点の予算規模が小さいことが課題といえる。また、人員数等によって予算規模が変わり 得ることにも留意する必要がある。 以上の施策に関して、将来的な実体組織設立を想定した短期的なワークアイテムとして 提言①、②を実施する必要がある。そして、提言①、②の実施によって、ASEAN との協力 関係をより強固なものとすることで、中長期的に提言③のバイタル組織への移行を円滑に 進めることのできる下地作り、環境醸成を図ることが有効であろう。 その際には、ANSAC を含め ASEAN 各国が実体組織の必要性を認識しなければならず、 実体化の必要性について説く事が課題であると考えられるため、我が国としては、その必 要性を説き、組織立上げの初期段階から積極的に関与することで、ASEAN 地域における安 心・安全な情報セキュリティ環境整備に繋げることができると考えられる。 このような形で包括的に地域全体のセキュリティ環境を強化するために連携を進めるこ とは、ASEAN 各国の情報セキュリティに関する体制整備や対外的な信頼性の向上等につな がる。これは、現地のビジネス環境の向上に直接貢献するものであり、また、翻れば同地 域へ進出中若しくは進出を検討中の我が国企業にも資するものであることから、本調査報 告書冒頭の調査の意義部分で触れた日 ASEAN 間の経済的関係の深化にも鑑みれば、双方 にとって大きな戦略的意義を持つものであると言えよう。 178 付録A. 海外現地調査 A.1. 調査結果 A.1.1. 検討① ENISA が持つ国際連携機能をベースとして考えた場合、ASEAN 地域において国際連 携を行ううえで必要と考えられる機能に対する過不足感の確認 海外現地調査の結果、ENISA が持つ国際連携機能をベースとして考えた場合、ASEAN 地域において国際連携を行ううえで必要と考えられる機能に対して大きく過不足感を感じ るという意見はなく、当初の仮説どおりの状況であった。 「立法・規制機能、域内標準、域内条約の立案」機能に関しては、ASEAN としての国際 組織が欠けているのは事実であり、実現可能性を除けば、国際連携組織のニーズは存在し ていると考えることもできる。実現可能性については付録 A.1.3 に記述する。 A.1.2. 検討② ENISA が持つ国際連携機能に対応する ASEAN 地域の国際組織の対応付けの確認 ENISA が持つ国際連携機能に対する ASEAN 地域の国際組織の対応付けについて、 ASEAN 事務局におけるヒアリングの際、以下のように当初仮定していた対応付けと一部異 なる箇所があるとの指摘を受けたため図 3-1 に示す修正を行った。なお、図 3-1 に関しては 表 A-1 国際連携機能が持つべき機能に対応する ASEAN 地域の国際組織の対応付けに記 載されている最終的な対応付けを反映した状態で図示している。 表 A-1 国際連携機能が持つべき機能に対応する ASEAN 地域の国際組織の対応付け 想定される機能 ASEAN 地域において対応する組織 当初の想定機関 実際の対応機関 テクニカルリサーチ ASEAN 事務局内各機関 各国のコンサルテーション 研究リコメンデーション機関 ERIA ANSAC 脅威情報の共有・訓練 ANSAC ATRC 179 A.1.3. 検討③ 新たな国際機関として「立法・規制機能、域内標準・域内条約の立案」機能を担う組織 の必要性の確認 海外現地調査の結果、ENISA のような「立法・規制機能、域内標準・域内条約の立案」 を担うような機関についてはニーズとしてはあるものの、実現が困難であり現実的ではな いという意見が多く見られた。 これは、ASEAN は EU とは違い共通の法律や規制、条約等を作成する枠組みがなく、ま た、法律も既に各国で作成されているものが存在するため、強制力を持った ASEAN 共通 の法律や規制、条約等を立案していくための国際組織の設立については ASEAN 諸国には 受け入れがたいものであるという意見が大半であった。 一方で、「域内のガイドライン的な位置づけとなる情報セキュリティ標準の策定」を担う ような機関の設立については多くの肯定的な意見が見られた。 A.1.4. 検討④ 新たな国際機関が必要となった場合、新規組織の設立もしくは既存組織の拡張のどちら が実現性が高いかの確認 ANSAC は ASEAN 諸国においてネットワークセキュリティに関する共通的なミニマム スタンダードを定義することが AIM 2015 において定められている。この共通的なミニマ ムスタンダードを作成するうえで、 ISO/IEC 27000 シリーズを活用していくことは ASEAN 諸国間で合意されている。 そのため、 「域内のガイドライン的な位置づけとなる情報セキュリティ標準の策定」を担 う組織として ANSAC が候補として考えられるが、海外現地調査の結果、ANSAC 自体は年 1 回会議を開く程度の会議体(Council)であり、年間予算も US$10,000 程度であることから、 実際に ASEAN 諸国に対して情報セキュリティマネジメントスタンダードを定義し普及し ていく組織としては難しいという意見が見られた。 ASEAN における情報通信技術(IT)事業の予算は ASEAN ICT Fund から配賦されてお り、申請は ANSAC の上位組織である ATRC から行われている。ATRC は TELMIN 配下 の組織であり、同じく TELMIN 配下の組織である TELSOM と共同で ASEAN ICT Fund の予算を立案・申請を TELMIN に対して行っている。ANSAC の機能拡張等を検討するの であればその上位組織である ATRC に、ANSAC とは異なる実態組織を新規に構築する場 合は ATRC もしくは TELSOM に対して相談することが有益であるとの意見があった。 180 A.1.5. 検討⑤ 情報セキュリティに関して日本に期待する支援内容の確認 情報セキュリティやサイバーセキュリティの普及・啓発活動については既に日本と連携 して推進しているが、日本が持つ普及・啓発活動に関する豊富なノウハウ・知識・経験に ついては、今後も継続的な支援を望む声が見られた。 また、日本が持つ ISMS 普及における知識・経験については非常に参考となるため、今 後一層の情報共有を望む意見や過去に日本で実施された ISMS に関する研修については非 常に有益であったという意見も見られた。 ISMS 認証取得に向けた活動は情報セキュリティレベルの底上げを図るには有効な手段 として認識されている一方、ISMS 認証取得に向けた活動には経済面での負担が生じること から、特に情報セキュリティレベルの底上げが必要とされる、これから情報セキュリティ 対策に取り組む国に対する経済面での支援を日本に対しては期待しているという意見があ った。 それ以外に、ASEAN 全体で情報セキュリティに関する情報集約・情報共有をするための 仕組みがないことを指摘する意見も見られた。情報セキュリティに関する情報集約・情報 共有をするための仕組みを構築しようとなると、ASEAN 地域の各国が個別に調整して他国 と情報共有する仕組みを構築することは難しく、外部からのコンサルテーションのもと仕 組みを構築することは可能であることから、日本には ASEAN 地域全体で情報セキュリテ ィの情報を集約・共有する仕組みを構築する際の支援を期待しているとのことだった。 181 付録B. 国内ニーズ調査 B.1. 調査結果 国内ニーズ調査により得た、経済産業省に期待する事項を以下に示す。 大きく「人」に関する事項、「組織」に関する事項、「インフラ」に関する事項が経済産 業省に期待する支援対策案であった。 「人」に関しては現地従業員の IT リテラシーや情報セキュリティに関する基本的な知識 レベルの向上の期待、また、IT 専門員を現地で採用する場合の判断材料として資格制度な どが充実されることを期待する意見も見られた。これについては既に経済産業省としても 国際的な支援の取り組みが行われていることから、今後も継続的に取り組むことは重要で あると考えられる。 また、 「組織」に関しては、日系企業が ASEAN 地域に進出するにあたり理解しておくべ き事項や留意点等に関するセミナーは啓発活動を期待する声が見られた。 ニーズ 人 組 織 イン フラ 図 B-1 • • • • • 支援対策案 ITリテラシーを高めたい 情報セキュリティへの意識を高めたい 退職時の持出しについてリスクを軽減したい 管理者の意識を高めたい インシデント発生時の対応の感覚を合わせたい • 現地のITリテラシー、情報セキュリティへの 意識向上のための施策の実施 • 現地採用する場合のスキルの見極めが困難 • ITに関する資格試験等の整備 • 現地の情報管理状況のリスクを軽減したい • ASEAN地域に進出する企業に対する啓発活動 やセミナーの開催 • セキュリティの共通の言語がほしい • IT・情報セキュリティに関する基準の整備 • 現地ベンダーのセキュリティレベルを把握したい • ISMS認証制度等の整備 • 他社の対策状況について知りたい • 情報共有の場の提供 • 各国間の通信インフラを活用したい • インフラの物理セキュリティのリスクを軽減したい • 各国間の通信インフラの整備、インフラ活用 のための支援 国内ニーズ調査における日系企業からの経済産業省に期待する支援対策案 182