4. シンガポールのサイバー空間に関わる体制・能力等の実態
4.3. サイバーセキュリティ対策の戦略・法規
142
サイバー組織防衛部(Defence Cyber Organisation)は 2017 年 5 月に、国防大臣が設置 を発表した組織で、シンガポール武装軍のネットワークをモニタリングと防衛するために 24 時間体制での監視を任務とする。設置発表の 1 週間前に、国防省のインターネットシス テムがサイバー攻撃により、軍人 850 名の個人情報が流出した。この事件を受けてサイバ ーセキュリティ強化のため新しい組織を設置することになった。現在要員の募集と育成を しており、今後 10 年間で 2,600 名の専門スタッフを配置する計画である320 321。
2018 年 2 月 12 日、国防省はサイバーNSF(National Service Full-Time)スキームを設 置した。このスキームは、シンガポールの軍事ネットワーク防護能力を強化するため、NSF 要員の中から選抜して、シンガポール工科大学(SIT: Singapore Institute of Technology)
の協力を得てサイバー専門家を養成するものである322。
143
な関係者と協働で、重要情報インフラ(CII: Critical Information Infrastructure)
のレジリエントを強化して、国民への基本的なサービス提供を確実にする。
一例として、「インターネットサーフィング分離」イニシアティブを推進している。
これは、政府機関職員がニュースサイトなどをサーフィングする時と、E メールな ど業務を行う時で別々のネットワークとコンピュータを使用する政策である。業務 用はイントラネットを使い、外部ネットワークと遮断する。2017 年末までに全ての 省庁で実現する。これにより、政府の機能がサイバー攻撃により麻痺することを防 護する。
安全なサイバー空間の創造
ビジネスと社会に活力を与えるためには安全で信頼できるサイバー空間が欠かせな い。この戦略は各省庁のサイバー犯罪撲滅への挑戦を描く。例えば、内務省は 2016 年に「国家サイバー犯罪アクションプラン」を立ち上げたが政府機関だけでは十分 な成果が上がらなかった。今後は、地域社会とビジネス界との協働を推進して、サ イバーセキュリティへの認識向上とより良い事例の普及に努める。
活気に満ちたサイバーセキュリティエコシステムの開発
政府は、産業界パートナーと高等教育機関と共同で、サイバーセキュリティ従事者 を増加させる。「サイバーセキュリティ関係者と技術者プログラム(Cybersecurity Associates and Technologist Programme)」327などのイニシアティブを通じて、奨 学金制度と産業界主導のカリキュラムが導入し、若者のスキルアップと中高年者の 再教育の機会を提供する。
国際協力の強化
サイバー脅威は国境を越えて襲ってくる。これへの対応は国際協力が不可欠である。
政府は、シンガポール国際サイバー週間(SICW: Singapore International Cyber Week)328、サイバーセキュリティに関するアセアン閣僚会議(ASEAN Ministerial Conference on Cybersecurity)などの場において、サイバーセキュリティに係る、
規準、政策および法規の情報を交換して、シンガポールの強靭なサイバー空間構築 に資する。
【サイバーセキュリティ法】
2017 年 7 月、CSA(サイバーセキュリティ庁)が直近 2 ヵ年をかけて策定した「サイバー セキュリティ法案329」が公表され、パブリックヒアリングにかけられた。サイバーセキュリ ティ法案の主な狙いは、1)関係当局がサイバーセキュリティの脅威とインシデントに迅速 に応戦し、これを阻止及び管理委すること、2)シンガポールの重要情報インフラ(CII)の
327 https://www.csa.gov.sg/programmes/csat
328 https://www.sicw.sg/
329 https://www.csa.gov.sg/~/media/csa/cybersecurity_bill/draft_cybersecurity_bill_2017.ashx?la=en
144
オーナーを規制すること、3)サイバーセキュリティ情報の共有フレームワークを構築する こと、4)サイバーセキュリティサービスプロバイダーを規制することなどの措置を講じる ことを可能にすることにある。加えて、本法案では、重要インフラセクター横断的な情報 共有を促進する。重要な情報インフラは、水、保健医療、海事、メディア、インフォコム、
エネルギー、アビエーション等の 11 セクターとされている。パブリックヒアリングは当初 2017 年 8 月 3 日を期限としたが、意見が多く対応に時間がかかったので期限が 8 月 24 日ま で延期された。CSA は意見を集約した結果を 2017 年 11 月 13 日に発表した330。意見を反映 した最終的な法案が 2018 年 2 月 5 日に議会を通過して法律として成立した331。
成立したサイバーセキュリティ法(Cybersecurity Act, No.2/2018)は全 50 章からなり、
シンガポールのサイバー空間の安全保障に大きな役割を果たすと見られる。その要点は下 記の通りである。
【サイバーセキュリティ法の要点】332 333
スコープ
重要情報インフラ(CII)の所有者はしばしばベンダーと共に事業を行なうので、CII の境界を定める必要がある。CSA は各事業セクターの規制を管轄する省庁および CII 所有者と委員会を設置し、そこで審議して境界を設定する。CII 所有者は最終的に 彼らの CII のサイバーセキュリティに責任を負う。
必須サービスと重要情報インフラ(CII)の決定
必須サービス(Essential Service)の継続的な提供に必要なコンピュータとコンピ ュータシステムであり、それが失われ、あるいは機能低下した時に、シンガポール において必須サービスが提供されなくなるものが CII である。
CSA は、各事業セクターの規制を管轄する省庁および CII 所有者と委員会を設置し、
そこで審議して、各セクターにおける必須サービスと CII を決定し、CII 所有者へ 書面をもって通知する。CII 所有者は、CII であるか否か自ら評価する必要はない。
CII 所有者は陳述をコミッショナーへ提出することが出来る。コミッショナーは CSA の主席管理職員が任命される。
CII 所有者の報告義務
330
https://www.opengovasia.com/articles/mci-and-csa-to-refine-designation-of-critical-information-infrast ructures-ciis-and-duties-of-cii-owners-in-singapores-proposed-cybersecurity-bill
331
https://www.opengovasia.com/articles/singapores-cybersecurity-bill-passed-into-law-minister-addresse s-concerns
332 https://statutes.agc.gov.sg/Bills-Supp/2-2018/Published/20180108?DocDate=20180108
333
https://www.opengovasia.com/articles/singapores-cybersecurity-bill-passed-into-law-minister-addresse s-concerns
145
CII 所有者はサイバーセクリティ脅威と事故を検知するメカニズムと処理するプロ セスを構築し、事故を速やかに CSA へ報告しなければならない。CII に接続してい ない施設のサイバー事故については報告する義務はない。CII 所有者は CSA の調査 に協力しなければならない。調査に当たり、コミッショナーは問題となっているコ ンピュータシステムの保有者は犠牲者であることに配慮する。なお、CII 以外を含 めたすべてのサイバー事故については、SingCERT へ自発的に報告する仕組みとなっ ている。
コスト負担
国家レベルでのサイバーセキュリティ防護強化と、サイバー脅威と事故への対応強 化に係る費用は大部分を国が負担する。この費用は、国家レベルでのサイバーセキ ュリティインフラと要員、サイバーセキュリティ事故管理プロセスの認証のための 定期的なサイバーセキュリティ訓練、そして、国家サイバー事故対応チーム(NCIRT:
National Cyber Incident Response Teams)のサイバーセキュリティ事故への対応、
のそれぞれに掛かる費用を含む。CII の所有者はすでに規則に準拠してなすべき対 策に係る費用を負担している。これらの費用については可能な限り負担を低減する。
CII 所有者への支援
CII 所有者とその従業員がこの法律実施準備を支援するため、CSA はセクター導入サ イバーセキュリティ法開始プログラム(CLIPS: Cybersecurity Legislation Initialization Programme for Sector Leads)を開始した。CLIPS は、セクター規 制当局と CII 所有者との間の役割と責任を明確にし、当該セクターに関わる如何な る運用上の課題も確認し、解決する。
コミッショナーの権限へのセーフガード
法によりコミッショナーへ付与されている幅広い調査権限は、個人のプライバシー への干渉を制限している。サイバー事故の重大性の程度により、個人のプライバシ ー保護と法執行権限のバランスを考慮する。
サイバーセキュリティ人材の養成
産業界と協働でサイバーセキュリティ人材の育成を促進する。例えば、CSA は、サ イバーセキュリティ関係者と技術者プログラム(CSAT: Cybersecurity Associates and Technologist Programme)、サイバーセキュリティ専門家スキーム(CSPA: Cyber Security Professional Scheme)を産業界と協働で推進する。
国際展開と規準
サイバーセキュリティ法案作成に当たっては、海外の類似法を参考にした。今後も、
新しく出現するサイバー脅威に対応するため、国際的な協力関係を推進する。
公共教育と中小企業支援
政府は、サイバーセキュリティ認識連盟(CAA: Cybersecurity Awareness Alliance)、
CSA の GoSafeOnline、そして、毎年発行されるサイバー概覧報告書、などにより一
146
般市民へのサイバーセキュリティ啓蒙教育を行う。一方、中小企業に対しては、情 報通信開発庁(IMDA: Info-communication Media Development Authority)が推進 する中小企業デジタル化プログラムを通じて、サイバーセキュリティに関する技術 と情報を提供する。
【コンピュータ不正利用とサイバーセキュリティ(改定)法】
サイバー空間を安全に信頼性高く利用するために、シンガポールでサイバーセキュリテ ィ法と並んで重要な役割を果たすのが、サイバー犯罪を取り締る「コンピュータ不正利用 とサイバーセキュリティ(改定)法(CMCA: Computer Misuse and Cybersecurity(Amendment)
Act, No. 22 of 2017)」である。この法律は従来あった 2007 年版の法律を大幅に改定して、
2017 年 5 月 11 日に公布、6 月 1 日施行されたものである。近年のサイバー犯罪の多様化・
複雑化、すなわち、IoT への攻撃、多量の個人情報の流出が頻繁に発生、そして、盗まれた 個人情報の搾取・詐欺への利用などへの対応が必要になった。CMCA の要点は下記の通りで ある。
【コンピュータ不正利用とサイバーセキュリティ(改定)法(CMCA)の要点】334 335 336 337 改定前の 2007 年版では、コンピュータシステムへ権限なしで侵入し、そしてコンピュータ システムの変更、コンピュータサービスの利用を行うことを違法行為として規制し、これ らについては未遂や 教唆も同様に犯罪としていた。2017 年の改定でさらに次の行為も違法 とした。
ハッキングされた個人情報での取引は違法行為である。
犯人がハッキングされた個人情報と知っていた場合、あるいは知っていたと判断され る正当な理由がある場合、この個人情報を使った取引は違法行為である。
ハッキングツールによる犯罪を意図した取引は違法行為である。
当初からコンピュータ犯罪を意図して作られた、またはこのような使い方が可能なツ ールによる取引は違法行為である。
CMCA に基づく刑罰の統合を許容する。
検察に対して、同一のコンピュータを使った、比較的軽微な懲役 12 ヶ月未満の複数の 違法行為を統合して一つの違法行為として扱って刑罰を課することを認める。これに より、統合されて大きな違法行為となってより重い刑罰を課することが出来る。
334 https://www.singaporecriminallawyer.com/cybercrimes-in-singapore/
335 https://sso.agc.gov.sg/Acts-Supp/22-2017/Published/20170511?DocDate=20170511
336
https://www.channelnewsasia.com/news/singapore/changes-to-singapore-s-cybercrime-law-passed-871 2368
337
http://www.allenandgledhill.com/pages/publications.aspx?list=LBulletinAreas&pub_id=1391&view=d