TokyoBlackHatNews

darkreading.com 4分で読了

中国、重大サイバーインシデントに対し1時間以内の報告義務を導入

地球儀上の中国とネットワークポイントのデジタルイラスト

出典:Ran Sinee(Shutterstockより)

中国のインフラプロバイダーは、最も重要なネットワークに関わるセキュリティインシデントについて、11月1日よりわずか60分以内に報告することが中国政府の新たな規制により義務付けられます。

中国サイバースペース管理局が発表した通知によると、中国およびその領土でネットワークを構築、運用、またはサービスを提供するネットワーク運営者は、あらゆるセキュリティインシデントを所管省庁に報告する必要があります。この通知では、ネットワーク運営者がインシデントを評価し、「重要インフラ」に影響を及ぼしたセキュリティイベントの場合は1時間以内に報告することが求められています。「重大または特に重要なネットワークセキュリティインシデント」の場合は、30分以内に通知することが規定されています。

その他の種類のインシデントについては、ネットワークの重要度に応じて2~4時間以内の報告が認められています。

「業界に特別な規定がある場合、ネットワーク運営者はその業界の主管監督当局の要件に従って報告しなければならない」と通知の翻訳版(「国家ネットワークセキュリティインシデント報告管理措置」)に記載されています。「犯罪の疑いがある場合、ネットワーク運営者は速やかに公安当局に通報しなければならない」とも述べられています。

中国が自国のネットワーク強化に注力しているのは、自国による世界的なネットワークへの大規模攻撃を受けてのことです。中国軍情報機関と関連するSalt Typhoon脅威グループは、衛星通信事業者Viasatのシステムを侵害したと、6月に公開された情報で報告されています。8月にはFBIが80カ国600組織に対し、Salt Typhoonグループがそのネットワークに関心を持っている(もしくは実際に行動した)と通知しました。

これらの攻撃を受けて、中国は自国のサイバーセキュリティを強化していると、サイバーセキュリティリスク管理組織HiTrustのサイバーリスク担当副社長トム・ケラーマン氏は述べています。

「西側の通信事業者に対するサイバー諜報活動が成功した後、彼らは自国の国家安全保障に対するシステミックリスクを認識しています」と彼は言います。「これはクアッド同盟によるサイバー作戦の増加によってさらに深刻化しています。」

中国の運営者への圧力強化

新たな報告規則は、中国国内のネットワーク運営者に対する圧力を高めています。期限内に報告しなかったネットワーク運営者は処罰され、インシデントを隠蔽したり、詳細を偽った場合は「法律に基づきより厳しく処罰される」と通知には記載されています。

中国における「特に重大なネットワークセキュリティインシデント」の定義には、国家安全保障や社会の安定に危険をもたらす可能性のある重要データや大量の市民データの漏洩、または大規模な業務停止や損失につながるシステムへの影響が含まれます。国家が承認していない内容を6時間以上表示した情報サイトやニュースサイトへの攻撃、100万回以上の閲覧・クリック、またはSNSで10万回以上拡散された場合は、広範な攻撃と見なされ、より厳しく扱われると通知には記載されています。

重要なネットワークへの攻撃は近年急増しており、特に中国関連グループによるものが目立ちます。CrowdStrikeの「2025年グローバル脅威レポート」では、中国関連の活動が150%増加したことが強調されています。さらに、サプライチェーン攻撃は欧州で3倍に増加し、政府は民間企業に対し、より迅速な攻撃検知と対応を求めているとケラーマン氏は述べています。

欧州や米国では、72時間以内の通知義務が一般的だと彼は言います。

「この厳しい現実を踏まえ、私は72時間が妥当だと考えますが、組織のサイバーセキュリティ成熟度には差があります」と彼は述べています。「横方向の移動やアイランドホッピングの速さを考えると、72時間が標準となるべきだと思います。」

対応への異なるアプローチ

中国のより短い報告時間要件は、そのネットワークをより安全にするのでしょうか?必ずしもそうではないと、クラウドソーシング型サイバーセキュリティ企業Bugcrowdのチーフストラテジー&トラストオフィサー、トレイ・フォード氏は述べています。この違いは、各国政府がその後の調査にどれだけ関与するかを浮き彫りにしていると彼は言います。早期報告は調査の徹底よりもスピードを優先するため、政府が積極的に調査に協力する場合にのみ機能すると彼は主張します。

「西側ビジネスのパラダイムでは、政府は民間部門の説明責任と透明性を推進するために通知されます」とフォード氏は言います。「西側のタイムラインは、内部調査や法的・専門的なフォレンジック対応を行うための時間と余地を与えます。一方で、2時間や4時間のタイムラインでは政府が関与し、対応を支援することが期待されます。」

西側諸国にとっては、中国モデルは特に民間企業にとってうまく機能しない可能性が高いとフォード氏は述べます。企業にあまりにも早く違反を報告させることは、重大なミスを招く恐れがあると彼は言います。

「過度に緊急な初期報告は悪いアイデアです」と彼は言います。「それは無駄であり、すでにストレスが多く複雑な民間部門の運用環境にさらなる緊張を与えます。」

翻訳元: https://www.darkreading.com/cybersecurity-operations/china-one-hour-reporting-rule-major-cyber-incidents

ソース: darkreading.com
#AI in Cybersecurity #AI Regulations #AI-in-cyberattacks #China #China-linked Salt Typhoon #Critical Infrastructure #Cyber Incident Reporting #data breaches #enterprise network security #government policy

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開