シンガポール CCoP (CII向け)

要約

シンガポールで重要情報インフラ（CII）を運用していますか？ サイバーセキュリティ実務規範（CCoP）は提案ではなく、サイバーセキュリティ法に基づく法律です。

ガバナンス、検出、対応、OTセキュリティなど、さまざまな分野で最小限のセキュリティ制御を義務付けています。

要件を見落とすと、罰則の対象となります。これはシンガポールが重要サービスを厳重に保護するための戦略であり、一切の近道は許されません。

シンガポール サイバーセキュリティ実務規範（CCoP）スコアカード概要:

• 開発者の労力: 中程度（セキュアSDLC、アクセス制御、データセキュリティ、脆弱性管理、CIIシステムに対する監査のサポートに関連する特定の制御の実装が必要）。
• ツール費用: 中程度から高い（脆弱性管理、ロギング/SIEM、アクセス制御（PAM）、暗号化のためのツールが必要。OTセキュリティに特化したツールも必要となる可能性あり）。
• 市場への影響: 非常に重要（シンガポールの指定されたCII所有者に義務付けられています。不履行は重要インフラの運用能力に影響を与えます）。
• 柔軟性: 中程度（最低要件を規定していますが、確立された標準に基づいており、リスクに基づいた実装にある程度の柔軟性を許容します）。
• 監査の厳格度: 高（CCoPおよびサイバーセキュリティ法への準拠を確認するために、承認された監査人による定期的なサイバーセキュリティ監査が必要です）。

シンガポール サイバーセキュリティ実務規範（CCoP）とは？

シンガポール サイバーセキュリティ実務規範（CCoP）は、シンガポールのサイバーセキュリティ法2018に基づき、サイバーセキュリティコミッショナーが発行する、重要情報インフラ（CII）向けの法的拘束力のある最低基準のセットです。2018年に初めて発行され、2022年にCCoP 2.0に更新され（猶予期間を経て2023年7月施行）、CIIの指定所有者がシステムを保護するために実装しなければならないサイバーセキュリティ対策を概説しています。

重要情報インフラ（CII）：シンガポールにおける必須サービス（例：エネルギー、水、銀行、医療、交通、情報通信、政府、メディア）の継続的な提供に不可欠なコンピュータシステムを指します。指定されたCIIシステムの所有者は、CCoPを遵守する法的義務があります。

CCoP 2.0は、包括的なサイバーセキュリティプログラムを反映する主要なドメインを中心に構成されています。

• Governance: サイバーセキュリティのリーダーシップ、役割、責任、およびリスク管理フレームワークの確立。
• 識別: 資産管理、リスク評価、サイバーセキュリティ態勢の理解。
• 保護: アクセス制御、データセキュリティ（暗号化と鍵管理を含む）、ネットワークセキュリティ、脆弱性管理、セキュアな構成、物理セキュリティ、サプライチェーンリスク管理などの保護策を実装すること。特権アクセス管理（PAM）に関する特定の要件を含みます。
• 検出: サイバーセキュリティの脅威やインシデント（例：SIEM、IDS/IPS）を検出するための監視機能を実装します。
• 対応と復旧: インシデント対応計画および事業継続・災害復旧計画の策定。
• サイバーレジリエンス：システムが攻撃に耐え、回復できることを保証するための対策。
• サイバーセキュリティトレーニングと意識向上：人員への教育。
• 運用技術（OT）セキュリティ: 産業用制御システムおよびOT環境に関する特定の考慮事項で、CCoP 2.0で大幅に導入されました。

CCoPは、国際標準およびベストプラクティス（NIST CSF、ISO 27001など）を強く参考にしていますが、シンガポールのCIIの文脈に合わせて、特定の義務的な要件として調整されています。

なぜそれが重要なのか

CCoPは、シンガポール国内においていくつかの理由で非常に重要です。

• 法的要件: サイバーセキュリティ法2018に基づいて発行されており、すべての指定されたCII所有者にとって遵守が義務付けられています。
• 必要不可欠なサービスを保護: シンガポールが依存する重要なサービス（エネルギー、水、銀行など）を、壊滅的なサイバー攻撃から保護することを目指します。
• 国家安全保障: CIIのセキュリティを強化することは、国家安全保障の問題です。
• サイバーセキュリティベースラインの向上: すべての重要セクターにおいて、一貫性のある高い最低限のサイバーセキュリティ基準を確立します。
• 進化する脅威への対応: CCoP 2.0は、特に教訓を組み込み、洗練された戦術、技術、手順 (TTPs)、サプライチェーンリスク、OTセキュリティの懸念を含む新たな脅威に対処します。
• 説明責任の強制: CII所有者に対し、サイバーセキュリティ対策の実装と維持に関する明確な責任を負わせ、規制当局の監視と監査の対象とします。

シンガポールでCIIを運用する組織にとって、CCoPコンプライアンスは、事業運営ライセンスと国家レジリエンスへの貢献にとって不可欠です。

何を、どのように実装するか (技術的側面とポリシー側面)

CCoPの実装には、堅牢なサイバーセキュリティガバナンスの確立と、定義されたドメイン全体にわたる特定の技術的および手続き的制御の展開が含まれます。

1. ガバナンスとリスク管理:
   
   • 明確なサイバーセキュリティの役割、責任、および経営陣のコミットメントを確立します。
   • CIIに特化したサイバーセキュリティリスクを特定、評価、対処するためのリスク管理フレームワークを導入します。
2. 保護対策:
   
   • アクセス制御: 強力な認証 (MFA)、最小権限の原則、セッション管理、および堅牢な特権アクセス管理 (PAM) ソリューションを実装し、CIIシステムおよびデータへのアクセスを制御します。
   • データセキュリティ: 暗号化（保存時および転送時）と安全な暗号鍵管理を使用して機密データを保護します。データ損失防止策を実装します。
   • ネットワークセキュリティ: ネットワークをセグメント化し、ファイアウォール、IDS/IPSを実装し、セキュアなネットワーク構成を行います。
   • 脆弱性管理：定義された期間内にシステムおよびアプリケーションの脆弱性を特定し、修正するためのプロセスとツール（スキャナー）を実装します。安全なソフトウェア開発プラクティスは不可欠です。
   • セキュアな設定: システムを強化し、不要なサービス/ポートを無効にし、設定をセキュアに管理します。
   • サプライチェーンリスク: サードパーティベンダーおよびサービスプロバイダーに関連するサイバーセキュリティリスクを評価し、管理します。
3. 検出：
   
   • 異常や潜在的なセキュリティインシデントをリアルタイムで検知するために、セキュリティ情報イベント管理 (SIEM) システムおよびその他の監視ツールを導入します。適切なロギングを確保します。
4. 対応と復旧:
   
   • インシデント対応計画（IRP）および事業継続・災害復旧（BC/DR）計画を策定、維持し、定期的にテストします。安全なバックアップが実行され、テストされていることを確認します。
5. OTセキュリティ（該当する場合）:
   
   • 産業用制御システムに固有のリスクに対処するため、オペレーショナルテクノロジー (OT) 環境に特化したセキュリティ対策を導入します。
6. トレーニングと意識向上:
   
   • すべての関係者に対して定期的なサイバーセキュリティトレーニングを実施します。
7. 監査：
   
   • CCoPおよび本法への準拠を確認するため、CSA承認の監査人を雇い、定期的なサイバーセキュリティ監査（少なくとも2年ごと）を実施します。

実装には、テクノロジー（PAM、SIEM、暗号化、脆弱性スキャナー）、明確に定義されたプロセス、明確なポリシー、継続的なトレーニング、および定期的な監査を組み合わせた包括的なアプローチが必要です。Thales CipherTrust（データセキュリティ/鍵管理用）やBeyondTrust（PAM用）のようなソリューションは、特定のCCoP要件を満たすためによく使用されます。

避けるべきよくある間違い

CCoPを実装する際、組織は以下の問題に直面する可能性があります。

1. 不十分なガバナンス／リスクへの焦点：強固なガバナンス、リスク管理プロセス、および経営陣の監視を確立することなく、CCoPを純粋に技術的なものとして扱うこと。
2. 不適切な資産識別: 指定されたCIIに関連するすべてのコンポーネントとデータフローを正確に識別できないため、保護が不完全になります。
3. 脆弱なアクセス制御: 特に特権アクセスに関して、堅牢なPAMソリューションの実装の失敗、または最小特権の厳格な強制の失敗。
4. OTセキュリティの無視: OT環境を持つ組織が、CCoP 2.0でこれらのシステムに対して概説されている特定の要件とリスクに対処しないこと。
5. 不十分な脆弱性管理: 必要な時間枠内で脆弱性を特定し修正するための効果的なプロセスやツールがないこと。
6. 統合された監視/検出の欠如: セキュリティ制御を導入しているにもかかわらず、インシデントを効果的に検出するために必要な一元的なログ記録と監視（SIEM）が不足しています。
7. 未テストの対応/復旧計画: IRPやBC/DR計画を文書上は持っているものの、定期的にテストしないこと。これにより、実際の危機においてそれらが無効になってしまいます。
8. 不十分な文書化：コンプライアンス検証に必要とされるポリシー、手順、リスク評価、コントロールの実装、および監査証拠を適切に文書化できていないこと。

監査人が尋ねる可能性のあること（開発者向け）

CIIシステムにおけるCCoPコンプライアンスを評価する監査官は、ソフトウェア開発およびアプリケーションセキュリティに関連するコントロールを調査します。

• (保護 - 脆弱性管理) 「CII内で使用される特注アプリケーションおよびサードパーティソフトウェアコンポーネントの脆弱性を特定し、修正するためのプロセスは何ですか？」（SAST/SCA/DASTの結果、パッチ適用記録を提示）
• (保護 - アクセス制御) 「CIIシステムまたはアプリケーションで作業する開発者のアクセスはどのように制御されていますか？特権的な開発活動はどのようにログに記録され、監視されていますか？」
• (保護 - データセキュリティ) 「CIIをサポートするアプリケーション内で、機密データはどのように処理され、保護されていますか（例：暗号化）？」
• (保護 - セキュアな構成) 「アプリケーションおよびサポートインフラストラクチャにセキュアな構成が適用されていることをどのように確認していますか？」
• (検知) 「アプリケーションのロギングは、CII全体の監視および検知能力にどのように貢献していますか？」
• (対応/復旧) 「CIIの事業継続計画および災害復旧計画において、アプリケーションの依存関係はどのように考慮されていますか？」

監査人は、安全な開発プラクティス、堅牢な脆弱性管理、安全な構成、適切なアクセス制御、およびCII環境に統合された効果的なロギングの証拠を期待しています。

開発チームのためのクイックウィン

CIIをサポートする開発チームは、CCoPコンプライアンスに貢献できます。

1. SAST/SCAの統合: CII関連アプリケーションのCI/CDパイプラインに、自動化されたコードおよび依存関係スキャンを組み込みます。
2. 脆弱性修正を優先する：CCoPの期待に沿ったタイムライン内で、特定された重大/高レベルの脆弱性の修正に注力します。
3. アプリケーションロギングの強化: アプリケーションがセキュリティイベントに関する意味のあるログを生成し、それらを中央SIEMシステムと統合することを確認します。
4. 安全なAPI開発: CIIシステムと連携するAPIに対して、強力な認証、認可、入力検証を実装します。
5. セキュアコーディング標準に従う: 一般的な脆弱性を最小限に抑えるため、認知されたセキュアコーディングガイドライン（例：OWASP）を遵守します。
6. データ処理の最小化: アプリケーションの機能に必要な、最小限の機密データのみを処理するように設計します。

これを無視すると...（非準拠の結果）

CII所有者がシンガポールサイバーセキュリティ法2018に基づくCCoPまたはその他の要件を遵守しない場合、CSAによって課される重大な結果につながる可能性があります。

• 罰金: 本法は不遵守に対する罰金を認めていますが、CCoPに直接関連する具体的な金額は、侵害の性質や発行された指令によって異なる場合があります。2024年の改正により、罰則の枠組みが強化される可能性があります。
• 委員からの指示: サイバーセキュリティ委員は、CII所有者に対し、CIIを保護するため、または不適合を是正するために特定の措置を講じるよう求める指示を出すことができます。指示に従わない場合は違反となります。
• CSAによる直接介入: インシデントが重大な脅威をもたらす深刻なケースでは、CSAはCIIに関するサイバーセキュリティの脅威を管理するために直接行動を取る権限を有します。
• 運用への影響: 必要な修復活動やCSAによる介入は、運用中断を引き起こす可能性があります。
• 評判の損害: コンプライアンス違反や、それによって発生する基幹サービスに影響を与えるインシデントは、世間の信頼と組織の評判に深刻な損害を与える可能性があります。
• 法的責任: 不遵守に起因するインシデントの影響に応じて、民事責任が発生する可能性があります。

シンガポールで重要なサービスを運営するためのライセンスを維持するには、コンプライアンスが不可欠です。

よくあるご質問

CCoPに準拠する必要があるのは誰ですか？

シンガポールの2018年サイバーセキュリティ法に基づき、サイバーセキュリティ委員によって重要情報インフラ（CII）に指定されたコンピューターシステムの所有者です。これらは、エネルギー、水、銀行、医療、交通などの分野で不可欠なサービスを継続的に提供するために必要なシステムです。

CCoPの現在のバージョンは何ですか？

2022年7月に発行されたCCoP 2.0は、以前のバージョンに取って代わる現行バージョンです。これには、特にOTセキュリティとサプライチェーンリスクに関する更新された要件が含まれています。

CCoPコンプライアンスは必須ですか？

はい、シンガポールで指定されたCIIの所有者にとって、CCoPへの準拠は、2018年サイバーセキュリティ法に基づく法的要件です。

CCoP監査はどのくらいの頻度で必要ですか？

CII所有者は、本法およびCCoPへの準拠に関するサイバーセキュリティ監査を、長官から別途指示がない限り、CSA承認の監査人によって少なくとも2年に1回実施しなければなりません。

CCoPはISO 27001やNIST CSFのような国際標準とどのように関連しますか？

CCoPは、ISO 27001、NIST CSFなどの概念を含む、確立された国際標準およびベストプラクティスから大きく影響を受けています。これらの原則を、シンガポールのCIIの状況に合わせた特定の義務的な要件に適用しています。ISO 27001の取得は多くのCCoP要件を満たすのに役立ちますが、CCoPへの準拠は個別に評価される必要があります。

CCoPとシンガポールのPDPAの違いは何ですか？

CCoPは、指定された重要情報インフラシステムのサイバーセキュリティに焦点を当てています。個人情報保護法（PDPA）は、シンガポールにおける組織による個人データの収集、使用、開示をより広範に規制しています。CCoPで義務付けられているサイバーセキュリティ対策は、CIIに存在する可能性のある個人データを保護するのに役立ちますが、PDPAには独自の特定のデータ保護義務があります。

公式のCCoP文書はどこで入手できますか？

公式の重要情報インフラ向けサイバーセキュリティ行動規範（CCoP 2.0）は、シンガポールサイバーセキュリティ庁（CSA）のウェブサイトで入手できます。