TL;DR

シンガポールで重要情報インフラ（CII）を運用するには？サイバーセキュリティ規範（CCoP）は提案ではなく、サイバーセキュリティ法に基づく法律です。

ガバナンス、検知、対応、OTセキュリティなどにわたる最低限のセキュリティ管理を義務付けている。

要件を逃すと、罰則の対象となる。これは、シンガポールの重要なサービスをロックダウンするためのプレイブックであり、近道は許されない。

シンガポール・サイバーセキュリティ・コード・オブ・プラクティス（CCoP）スコアカードの概要：

• 開発者の労力：中程度（セキュアな SDLC、アクセス制御、データセキュリティ、脆弱性管理、CII システムの監査支援に関連する特定の管理を実施する必要がある）。
• ツールコスト：中～高（脆弱性管理、ロギング／SIEM、アクセス制御（PAM）、暗号化、潜在的に OT セキュリティに特化したツールのためのツールが必要）。
• 市場への影響：クリティカル（シンガポールの指定CII所有者に義務付けられている。）
• 柔軟性：中程度（最低限の要件を規定するが、確立された基準に基づいており、リスクに応じてある程度柔軟に実施できる）。
• 監査の強度：高（CCoPとサイバーセキュリティ法への準拠を確認するため、承認された監査人による定期的なサイバーセキュリティ監査を要求）。

シンガポール・サイバーセキュリティ行動規範（CCoP）とは？

重要情報インフラ（CII）のためのシンガポール・サイバーセキュリティ規範（CCoP）は、シンガポールのサイバーセキュリティ法2018に基づき、サイバーセキュリティ長官が発行する法的拘束力のある最低基準のセットである。2018年に初めて発行され、2022年にCCoP 2.0に更新された（猶予期間を経て2023年7月に発効）この規範は、CIIの指定所有者がそのシステムを保護するために実施しなければならないサイバーセキュリティ対策の概要を示している。

重要情報インフラ（CII）とは、シンガポールの重要なサービス（エネルギー、水、銀行、医療、交通、情報通信、政府、メディアなど）を継続的に提供するために不可欠なコンピュータ・システムを指す。指定されたCIIシステムの所有者は、CCoPを遵守する法的義務を負う。

CCoP 2.0は、包括的なサイバーセキュリティ・プログラムを反映する主要なドメインを中心に構成されている：

• ガバナンスサイバーセキュリティのリーダーシップ、役割、責任、リスク管理の枠組みを確立する。
• 識別資産管理、リスク評価、サイバーセキュリティ態勢の把握。
• 保護：アクセス制御、データセキュリティ（暗号化、鍵管理を含む）、ネットワークセキュリティ、脆弱性管理、安全な設定、物理的セキュリティ、サプライチェーンリスク管理などの保護措置を実施すること。特権アクセス管理（Privileged Access Management：PAM）の具体的な要件を含む。
• 検知：サイバーセキュリティの脅威やインシデントを検知するための監視機能を導入する（SIEM、IDS/IPSなど）。
• 対応と復旧：インシデント対応計画および事業継続／災害復旧計画の策定。
• サイバー・レジリエンシー：システムが攻撃に耐え、攻撃から回復できるようにするための対策。
• サイバーセキュリティのトレーニングと意識向上人材の教育
• 運用技術（OT）セキュリティ：CCoP 2.0で大幅に導入された、産業用制御システムとOT環境に特有の考慮事項。

CCoPは、（NIST CSFやISO 27001のような）国際的な標準やベスト・プラクティスを参考にしつつ、シンガポールのCIIの状況に合わせて具体的な必須要件に仕立てている。

なぜ重要なのか？

CCoPは、シンガポール国内においていくつかの理由から極めて重要である：

• 法的要件：サイバーセキュリティ法2018に基づき発行され、すべての指定CII所有者に遵守が義務付けられている。
• 重要サービスの保護シンガポールが依存している重要なサービス（エネルギー、水、銀行など）を、衰弱させる可能性のあるサイバー攻撃から守ることを目的としている。
• 国家安全保障：CIIのセキュリティ強化は国家安全保障の問題である。
• サイバーセキュリティのベースラインを引き上げる：すべての重要なセクターにおいて、一貫性のある高いサイバーセキュリティの最低基準を確立する。
• 進化する脅威への対応：CCoP 2.0は、特に教訓を取り入れ、洗練された戦術、技術、手順（TTP）、サプライチェーンのリスク、OTセキュリティの懸念など、新しい脅威に対応しています。
• 説明責任の強制：規制当局の監督と監査を受け、サイバーセキュリティ対策を実施・維持する責任を CII 所有者に明確に課す。

シンガポールでCIIを運営する組織にとって、CCoPの遵守は事業許可と国家の回復力への貢献の基本である。

何をどのように実施するか（技術・政策）

CCoPを実施するには、強固なサイバーセキュリティ・ガバナンスを確立し、定義されたドメインにわたって具体的な技術的・手続き的統制を展開する必要がある：

1. ガバナンスとリスク管理
   
   • 明確なサイバーセキュリティの役割、責任、経営陣のコミットメントを確立する。
   • CII特有のサイバーセキュリティリスクを特定、評価、対処するためのリスク管理フレームワークを導入する。
2. 保護措置：
   
   • アクセス制御：強力な認証（MFA）、最小特権原則、セッション管理、堅牢な特権アクセス管理（PAM）ソリューションを導入し、CIIシステムとデータへのアクセスを制御する。
   • データ・セキュリティ：暗号化（静止時および転送時）と安全な暗号鍵管理を使用して機密データを保護する。データ損失防止対策を実施する。
   • ネットワークセキュリティネットワークをセグメンテーションし、ファイアウォール、IDS/IPSを実装し、安全なネットワーク設定を行う。
   • 脆弱性管理：システムやアプリケーションの脆弱性を特定し、定められた期間内に修正するためのプロセスやツール（スキャナー）を導入する。安全なソフトウェア開発の実践が不可欠である。
   • 安全な設定：システムの堅牢化、不要なサービス/ポートの無効化、設定の安全な管理。
   • サプライチェーンリスク：第三者ベンダーやサービスプロバイダーに関連するサイバーセキュリティリスクを評価し、管理する。
3. 検出：
   
   • セキュリティ情報・イベント管理（SIEM）システムやその他の監視ツールを導入し、異常や潜在的なセキュリティインシデントをリアルタイムで検出する。適切なロギングを確保する。
4. 対応と回復：
   
   • インシデント対応計画（IRP）および事業継続/災害復旧（BC/DR）計画を策定、維持し、定期的にテストする。安全なバックアップの実行とテストの実施
5. OTセキュリティー（該当する場合）：
   
   • 産業用制御システム特有のリスクに対応し、オペレーショナル・テクノロジー環境に合わせた特定のセキュリティ対策を実施する。
6. トレーニングと意識向上：
   
   • 関係者全員を対象としたサイバーセキュリティ研修を定期的に実施する。
7. 監査：
   
   • CSA 認定の監査人を雇用し、定期的なサイバーセキュリティ監査（少なくとも 2 年に 1 回）を実施し、CCoP と同法への準拠を確認する。

実装には、テクノロジー（PAM、SIEM、暗号化、脆弱性スキャナ）、明確に定義されたプロセス、明確なポリシー、継続的なトレーニング、定期的な監査を組み合わせた総合的なアプローチが必要です。Thales CipherTrust（データセキュリティ/鍵管理用）やBeyondTrust（PAM用）のようなソリューションは、特定のCCoP要件を満たすためによく使用されます。

避けるべき一般的な間違い

CCoPを実施する際、組織はこのような問題に遭遇するかもしれない：

1. 不十分なガバナンス／リスク重視：強力なガバナンス、リスク管理プロセス、経営監視を確立することなく、CCoPを純粋に技術的なものとして扱う。
2. 不適切な資産識別：指定された CII に関連するすべてのコンポーネントとデータの流れを正確に特定できず、保護が不完全になる。
3. 脆弱なアクセス制御：特に特権アクセスに関するもので、堅牢なPAMソリューションの導入や最小特権の徹底を怠っている。
4. OTセキュリティの無視：OT 環境を持つ組織の場合、これらのシステムに対する CCoP 2.0 で概説されている特定の要件とリスクに対処できない。
5. 脆弱性管理の不備：脆弱性を特定し、必要な期間内に是正するための効果的なプロセスやツールがない。
6. 統合監視／検知の欠如：セキュリティ管理策を導入しているが、インシデントを効果的に検知するために必要な集中的なロギングと監視（SIEM）が欠如している。
7. テストされていない対応/復旧計画：IRPやBC/DR計画を紙面上では策定しているが、定期的なテストを怠っているため、実際の危機では効果がない。
8. 不十分な文書化：コンプライアンス検証のために必要な、方針、手順、リスクアセスメント、コントロールの実施、監査証拠を適切に文書化していない。

監査役が尋ねそうなこと（デベロッパー・フォーカス）

CIIシステムのCCoPコンプライアンスを評価する監査員は、ソフトウェア開発とアプリケーション・セキュリティに関連するコントロールを調査する：

• (保護 - 脆弱性管理）「CII 内で使用されている特注のアプリケーションやサードパーティのソフトウェアコンポーネントの脆弱性を特定し、是正するためにどのようなプロセスが実施されているか」（SAST/SCA/DAST の結果、パッチ適用記録を示す。）
• (保護-アクセス制御）「CIIシステムやアプリケーションで作業する開発者のアクセスはどのように制御されていますか？特権的な開発活動はどのように記録され、監視されているか？"
• (保護-データ・セキュリティ）「CIIをサポートするアプリケーション内で、機密データはどのように扱われ、保護（暗号化など）されているか？
• (保護-セキュアな構成）"アプリケーションとそれを支えるインフラにセキュアな構成が適用されていることをどのようにして確認しますか？"
• (検知）"アプリケーション・ロギングは、CIIの全体的な監視・検知能力にどのように貢献しているか？"
• (対応／復旧）"CIIの事業継続計画や災害復旧計画において、アプリケーションの依存関係はどのように考慮されていますか？"

監査人は、セキュアな開発プラクティス、強固な脆弱性管理、セキュアなコンフィギュレーション、適切なアクセス制御、CII環境に統合された効果的なロギングの証拠を期待している。

開発チームのクイックウィン

CIIをサポートする開発チームは、CCoPの遵守に貢献できる：

1. SAST/SCAの統合：CII関連アプリケーションのCI/CDパイプラインに、自動化されたコードと依存性のスキャンを組み込む。
2. 脆弱性修正の優先順位付け：CCoPが期待する期限内に、特定された重要/高レベルの脆弱性を修正することに重点を置く。
3. アプリケーションロギングの強化アプリケーションがセキュリティイベントに対して意味のあるログを作成し、中央の SIEM システムと統合できるようにする。
4. 安全なAPI開発：CIIシステムと相互作用するAPIに対して、強力な認証、認可、入力検証を実装する。
5. セキュアコーディング標準に従う：一般的な脆弱性を最小化するために、認知されたセキュアコーディングガイドライン（OWASPなど）を遵守する。
6. データの取り扱いを最小限にする：アプリケーションは、その機能に必要な最小限の機密データを扱うように設計する。

これを無視すれば...（コンプライアンス違反の結果）

CIIの所有者がCCoPまたはシンガポールサイバーセキュリティ法2018に基づくその他の要件に従わない場合、CSAによって強制される重大な結果につながる可能性がある：

• 罰金：CCoPに直接関連する具体的な金額は、違反の性質や発行された指令によって異なる。2024年の改正により、罰金の枠組みが増える可能性がある。
• コミッショナーからの指示：サイバーセキュリティ担当長官は、CIIの所有者に対して、CIIを保護するための特定の措置を講じること、またはコンプライアンス違反を是正することを求める指示を出すことができる。指示に従わない場合は違反となる。
• CSA の直接介入：インシデントが重大な脅威をもたらす深刻な場合、CSA は CII に関するサイバーセキュリティの脅威を管理するために直接行動を起こす権限を有する。
• 運用への影響：必要な是正活動や CSA による介入は、運用の中断を引き起こす可能性がある。
• 風評被害：コンプライアンス違反や、それに起因する重要なサービスに影響する事故は、社会的信用と組織の評判を著しく損なう可能性がある。
• 法的責任：コンプライアンス違反に起因する事故の影響によっては、民事責任を問われる可能性がある。

シンガポールで重要なサービスを運営するライセンスを維持するためには、コンプライアンスが不可欠です。

よくあるご質問

誰がCCoPを遵守する必要があるのか？

シンガポールのサイバーセキュリティ法2018に基づき、サイバーセキュリティ長官が重要情報インフラ（CII）として指定したコンピューターシステムの所有者。これらは、エネルギー、水、銀行、医療、運輸などの分野で必要不可欠なサービスを継続的に提供するために必要なシステムである。

CCoPの現在のバージョンは？

2022年7月に発行されたCCoP 2.0は、旧バージョンに取って代わる現行バージョンである。特にOTセキュリティとサプライチェーンリスクに関する要求事項が更新されている。

CCoPの遵守は義務か？

はい、シンガポールの指定CII所有者にとっては、CCoPの遵守はサイバーセキュリティ法2018に基づく法的要件です。

CCoP監査はどのくらいの頻度で必要ですか？

CIIの所有者は、コミッショナーの別段の指示がない限り、少なくとも2年に1度、CSA公認の監査人によるサイバーセキュリティ監査を実施し、同法とCCoPの遵守状況を確認しなければならない。

CCoPは、ISO 27001やNIST CSFのような国際標準とどのような関係があるのか。

CCoPは、ISO 27001やNIST CSFなどの概念を含む、確立された国際規格やベスト・プラクティスから多大な影響を受けています。CCoPはこれらの原則を、シンガポールのCIIの状況に合わせて具体的な必須要件に適合させています。ISO 27001の達成はCCoPの多くの要件を満たすのに役立ちますが、CCoPへの準拠は具体的に評価する必要があります。

CCoPとシンガポールのPDPAの違いは？

CCoPは、指定された重要情報基盤システムのサイバーセキュリティに焦点を当てている。個人データ保護法（PDPA）は、シンガポールにおける組織による個人データの収集、使用、開示について広く規定している。CCoPが要求するサイバーセキュリティ対策は、CIIに存在する可能性のある個人データの保護に役立ちますが、PDPAには独自のデータ保護義務があります。

CCoPの公式文書はどこにありますか？

重要情報インフラのための公式サイバーセキュリティ規範（CCoP 2.0）は、シンガポールのサイバーセキュリティ庁（CSA）のウェブサイトで見ることができる。