サイバーセキュリティ庁（CSA）とサイバーセキュリティ戦略

シンガポールのサイバーセキュリティ戦略とその作戦、教育、エコシステム開発などを 担うのは、サイバーセキュリティ庁（CSA：Cyber Security Authority²⁹⁷）である。政府エ ージェンシーの CSA は首相府傘下に置かれ、通信情報省（MCI）がマネジメントを行ってい る。主な任務は、国家サイバーセキュリティ機能の監督と官民連携による重要インフラ防 護である。2015 年 4 月 1 日に創設され、様々な業界とステークホルダーと連携して、サイ バーセキュリティ認知を高める努力を払っている。CSA のトップは、David KOH 長官（Chief Executive）である。副長官は、Ms. Christina LEE と NG Hoo Ming などである²⁹⁸。

対外面では、CSA（サイバーセキュリティ庁）は、2017 年 9 月 18 日に日本の NISC（内閣 セキュリティセンター）と政策対話や情報交換、サイバーセキュリティアウェアネスの強 化、ベストプラクティスの共有等に関する協力覚書を締結²⁹⁹。英国（2015 年 7 月 29 日）、 インド（2015 年 11 月 24 日）、オランダ（2016 年 7 月 12 日）、米国（2016 年 8 月 3 日）、オ ーストラリア（2017 年 6 月 2 日）、ドイツ（2017 年 7 月 6 日）などともサイバーセキュリ ティ協力に関する MOU を締結し、ASEAN 諸国とのサイバー協力の強化を図りつつある。

国内外の民間プレーヤについては、CSA は、Singtel、Check Point Software Technologies FireEye、Microsoft、Palo Alto Networks、CREST International、Association of Information Security Professionals (AISP)等ともパートナーシップ協定を結び、人材研修、研究開発 や情報共有等の協力関係を推進中である³⁰⁰。

特に FireEye とは、CSA（サイバーセキュリティ庁）は、サイバー犯罪、サイバー脅威等 の情報共有の強化などで協力を得ている。また、Singtel とは、人材教育と資格認証などで 提携している³⁰¹。

シンガポール IDA(インフォコム開発庁)の傘下機関として 1997 年 10 月に創設された

297 https://www.csa.gov.sg/about-us/our-organisation

298

https://www.gov.sg/sgdi/ministries/mci/departments/csa

299

https://www.csa.gov.sg/news/press-releases/singapore-signs-memorandum-of-cooperation-on-cybersecu rity-with-japan-at-the-sidelines-of-sicw-2017

300

https://www.csa.gov.sg/news/press-releases/csa-inks-partnerships-with-local-and-foreign-industry-play ers

301 https://www.rsis.edu.sg/wp-content/uploads/2016/12/PR170217_Cybersecurity-in-Singapore.pdf

137

SingCERT（シンガポールコンピュータ緊急時対応チーム）は CSA の創設と同時に CSAni 移 管された。SingCERT はシンガポール国立大学（NUS）と連携しインターネット上のセキュリ ティ関連インシデントの検知・阻止等に関する活動を展開している³⁰²。

SingCERT（シンガポールコンピュータ緊急時対応チーム）は、官民双方から受けたイン シデント報告に対応し、助言と提言を行う。膨大な数のインシデント報告があり、対応で きる人材リソースにも限りがあることから、SingCERT は優先度合いと緊急性が最も高い次 のインシデント報告に対応している³⁰³。

 生命を危険にさらす脅威のある活動

 次のインターネットインフラへの攻撃

 ルートネームサーバー

 ドメインネームサーバー

 重要アーカイブサイト

 ネットワークアクセスポイント（NAP）

 インターネットサイトへの自動攻撃の拡散

 新タイプの攻撃または新脆弱性、

インシデント情報のリリースに関して、SingCERT（シンガポールコンピュータ緊急時対 応チーム）では、サイトオーナーの許可を得ないで情報開示することはしない方針である。

侵入者活動が検知された場合、サイトオーナーは SingCERT に対して侵入者のインシデント への関与をどの法執行当局と他の省庁に提供してほしいかを明確に述べる必要がある。ま た、SingCERT はターゲットとなる IP アドレス等の機微な情報を削除したうえで、当該省庁 へインシデント報告を行うことになる。こうして、SingCERT が仲介して、サイトオーナー と関係当局との連絡を迅速に推し進めている。すべてのインシデントは SingCERT の担当職 員が追跡し、モニタリングを行っている。

しかしながら、SingCERT（シンガポールコンピュータ緊急時対応チーム）は捜査当局で もなければ、法執行機関でもない。したがって、個々の侵入者を操作し、侵入者情報を保 持または開示することなく、犯罪捜査を行うこともない。主たる任務は、コンピュータセ キュリティインシデントに対応して迅速なコミュニケーションの促進とテクニカル支援を 提供することである。

2016 年 10 月 10 日、Lee Hsien Loong（リー・シェンロン）首相はシンガポールの「サイ

302 https://www.csa.gov.sg/singcert/about-us/faqs#A1

303 https://www.csa.gov.sg/singcert/about-us/faqs#A1

138

バーセキュリティ戦略³⁰⁴」の概要を発表した、本戦略はサイバーセキュリティ分野における ビジョン、目標、重点課題などを明らかにし、シンガポールのレジリエントで信頼性のあ るサイバー環境構築へのコミットメントを示している。本戦略の 4 本柱は、次の通りであ る。

 シンガポールの重要情報院のレジリエンス強化

 サイバー脅威への防戦とサイバー犯罪との戦いおよび個人データの保護によるより 安全なサイバースペースの創造

 活気に満ちたサイバーセキュリティエコシステムの開発

 国際協力の強化によるレジリエントなインフラの整備である。

2017 年 7 月、CSA（サイバーセキュリティ庁）が直近 2 ヵ年をかけて策定した「サイバー セキュリティ法案³⁰⁵」が公表され、パブリックヒアリングにかけられている。パブリックコ ンサルテーションは 2017 年 11 月 13 日に終了³⁰⁶し、本法案は 2018 年に議会の審議に付託さ れることになる³⁰⁷。

サイバーセキュリティ法案の主な狙いは、1)関係当局がサイバーセキュリティの脅威と インシデントに迅速に応戦し、これを阻止及び管理委すること、2)シンガポールの重要情 報インフラ（CII）のオーナーを規制すること、3)サイバーセキュリティ情報の共有フレー ムワークを構築すること、4)サイバーセキュリティサービスプロバイダーを規制すること などの措置を講じることを可能にすることにある。加えて、本法案では、重要インフラセ クター横断的な情報共有を促進する。重要な情報インフラは、水、保健医療、海事、メデ ィア、インフォコム、エネルギー、アビエーション等の 11 セクターとされている。

Nanyang 大学による 2016 年 12 月の政策提言レポート³⁰⁸では、CSA（サイバーセキュリテ ィ庁）は、政府内に情報共有会議を設置して情報共有の調整を主導すべきであると主張し ている。特に政府内部と省庁間、官民ならびに公的部門と対外パートナー国と間の情報共 有を強化する必要性を強調している。

シンガポールでもサイバーセキュリティインシデント問題に対応するために、情報共有 を促進する ISAC(情報共有分析センター)の設立が重要だとの認識が高まっている。2017 年

304 https://www.csa.gov.sg/news/publications/singapore-cybersecurity-strategy

305 https://www.csa.gov.sg/~/media/csa/cybersecurity_bill/draft_cybersecurity_bill_2017.ashx?la=en

306 https://www.csa.gov.sg/news/press-releases/close-of-public-consultation

307

https://www.channelnewsasia.com/news/singapore/singapore-s-cybersecurity-bill-delayed-to-2018-922 5622

308 https://www.rsis.edu.sg/wp-content/uploads/2016/12/PR170217_Cybersecurity-in-Singapore.pdf

139

11 月 14 日のニュースリリース³⁰⁹によると、シンガポールの金融サービス ISAC（FS-ISAC）

と通貨当局はアジア太平洋の 9 ヵ国の情報共有を促進する目的で地域分析センター

（FS-ISAC Asia Pacific Regional Analysis Centre）のオフィスをシンガポールに同年 11 月 14 日に設置してオペレーションを行うことを決めている。

2017 年 7 月、国連の ITU（国際通信連合）は、GCI（グローバルサイバーセキュリティイ ンデックス）をリリースし、2014 年版の改善ポイントが大きいとしてシンガポールをトッ プにラインキングしている。CSA の創設（2015 年）や新サイバー戦略（2016 年）の実施等 のシンガポール政府のサイバーセキュリティイニシアティブを高く評価している³¹⁰。