« 英国 意見募集 消費者保護のためにアプリストアへの政府の介入は必要か (2022.05.04) | Main | 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律が成立 »

2022.05.11

インド サイバーインシデントが発生したら6時間以内にCERT-Inに報告しなければならない... (2022.04.28)

こんにちは、丸山満彦です。

インドのCERT-Inがインシデントが発生したら6時間以内にCERT-Inに報告しなければならないと指示をしていますね。。。

CERT-In

・2022.04.28 Directions by CERT-In under Section 70B. Information Technology Act 2000

・[PDF] Directions under sub-section (6) of section 70B of the Information Technology Act, 2000 relating to information security practices, procedure, prevention, response and reporting of cyber incidents for Safe & Trusted Internet

 

20220511-52423

本文...

 

Subject: Directions under sub-section (6) of section 70B of the Information Technology Act, 2000 relating to information security practices, procedure, prevention, response and reporting of cyber incidents for Safe & Trusted Internet.   件名:安全で信頼できるインターネットのための情報セキュリティの実践、手順、予防、対応、サイバーインシデントの報告に関する2000年情報技術法第70B条(6)の規定に基づく指示
Whereas, the Central Government in terms of the provisions of sub-section (1) of section 70B of Information Technology (IT) Act, 2000 (IT Act, 2000) has appointed “Indian Computer Emergency Response Team (CERT-In)” vide notification dated 27th October 2009 published in the official Gazette and as per provisions of sub-section (4) of section 70B of IT Act, 2000 The Indian Computer Emergency Response Team shall serve as the national agency for performing the following functions in the area of cyber security:-  2000年情報技術(IT)法(IT Act, 2000)の第70B条(1)の規定に基づき、中央政府は、官報に掲載された2009年10月27日付通知により「インドコンピュータ緊急対応チーム(CERT-In)」を任命し、2000年IT法第70B条(4)の規定に基づき、インドコンピュータ緊急対応チームがサイバーセキュリティの分野において以下の機能を果たす国家機関として機能するものとしている。
a) collection, analysis and dissemination of information on cyber incidents;  a) サイバーインシデントに関する情報の収集、分析、普及
b) forecast and alerts of cyber security incidents;  b) サイバーセキュリティインシデントの予測・警告
c) emergency measures for handling cyber security incidents;  c) サイバー・セキュリティ・インシデントに対処するための緊急措置
d) coordination of cyber incidents response activities;  d) サイバーインシデント対応活動の調整
e) issue guidelines, advisories, vulnerability notes and whitepapers relating to information security practices, procedures, prevention, response and reporting of cyber incidents;  e) 情報セキュリティの実践、手順、予防、対応及びサイバーインシデントの報告に関するガイドライン、勧告、脆弱性ノート及びホワイトペーパーの発行
f) such other functions relating to cyber security as may be prescribed.  f) サイバーセキュリティに関連するその他の機能で、規定されるもの
And whereas, “The Information Technology (The Indian Computer Emergency Response Team and Manner of performing functions and duties) Rules, 2013” were notified and published vide notification dated 16.01.2014 by the Central Government in exercise of the powers conferred by clause (zf) of sub-section (2) of section 87 read with sub-section (5) of section 70B of the IT Act, 2000.   2000年IT法第87条(2)と第70B条(5)により付与された権限を行使し、中央政府が2014年1月16日付通知により「情報技術(インドコンピュータ緊急対応チームと機能および義務の実行方法)規則2013」を通知・公表した。
And whereas, as per provisions of sub-section (6) of section 70B of the IT Act, 2000, CERT-In is empowered and competent to call for information and give directions to the service providers, intermediaries, data centres, body corporate and any other person for carrying out the activities enshrined in sub-section (4) of section 70B of the IT Act, 2000.   2000年IT法第70B条(6)の規定により、CERT-Inは、2000年IT法第70B条(4)に規定された活動を行うために、サービスプロバイダー、仲介業者、データセンター、法人、その他の者に情報を求め、指示を与える権限と能力を有している。
And whereas, various instances of cyber incidents and cyber security incidents have been and continue to be reported from time to time and in order to coordinate response activities as well as emergency measures with respect to cyber security incidents, the requisite information is either sometime not found available or readily not available with service providers/data centres/body corporate and the said primary information is essential to carry out the analysis, investigation and coordination as per the process of law.    サイバーセキュリティインシデントに関する対応活動や緊急措置を調整するために、必要な情報がサービスプロバイダー、データセンター、団体から入手できなかったり、容易に入手できなかったりすることがあり、法の手続きに従って分析、調査、調整を行うためには、上記の主要情報が不可欠である。
And whereas, it is considered expedient in the interest of the sovereignty or integrity of India, defence of India, security of the state, friendly relations with foreign states or public order or for preventing incitement to the commission of any cognizable offence using computer resource or for handling of any cyber incident, that following directions are issued to augment and strengthen the cyber security in the country:   インドの主権や一体性、防衛、国家の安全保障、外国との友好関係、公序良俗、コンピュータ資源を用いた認知可能な犯罪の実行の扇動防止、サイバー事件の処理のために、国内のサイバーセキュリティを増強し強化するために以下の指示が出されることが望ましいと考えられる。
(i) All service providers, intermediaries, data centres, body corporate and Government organisations shall connect to the Network Time Protocol (NTP) Server of National Informatics Centre (NIC) or National Physical Laboratory (NPL) or with NTP servers traceable to these NTP servers, for synchronisation of all their ICT systems clocks. Entities having ICT infrastructure spanning multiple geographies may also use accurate and standard time source other than NPL and NIC, however it is to be ensured that their time source shall not deviate from NPL and NIC.  (i) すべてのサービスプロバイダー、仲介業者、データセンター、企業、政府機関は、すべてのICTシステムの時計を同期させるために、国家情報学センター(NIC)または国家物理研究所(NPL)のネットワークタイムプロトコル(NTP)サーバーに接続するか、これらのNTPサーバーに追跡できるNTPサーバーに接続しなければならない。複数の地域にまたがるICTインフラを有する事業者は、NPLおよびNIC以外の正確かつ標準的な時刻情報源を使用することもできるが、その時刻情報源がNPLおよびNICから逸脱しないことが確保されなければならない。
(ii) Any service provider, intermediary, data centre, body corporate and Government organisation shall mandatorily report cyber incidents as mentioned in Annexure I to CERT-In within 6 hours of noticing such incidents or being brought to notice about such incidents. The incidents can be reported to CERT-In via email (incident@cert-in.org.in), Phone (180011-4949) and Fax (1800-11-6969). The details regarding methods and formats of reporting cyber security incidents is also published on the website of CERT-In www.cert-in.org.in and will be updated from time to time.  (ii) サービスプロバイダ、仲介業者、データセンター、法人および政府機関は、附属書Iに記載されたサイバーインシデントを、当該インシデントに気付いた時または当該インシデントについて知らされた時から6時間以内にCERT-Inに報告することを義務とする。インシデントは、電子メール(incident@cert-in.org.in)、電話(180011-4949)、ファクス(1800-11-6969)を通じてCERT-Inに報告することができる。サイバーセキュリティインシデントの報告方法とフォーマットに関する詳細は、CERT-Inのウェブサイト(www.cert-in.org.in)でも公開されており、随時更新される。
(iii)When required by order/direction of CERT-In, for the purposes of cyber incident response, protective and preventive actions related to cyber incidents, the service provider/intermediary/data centre/body corporate is mandated to take action or provide information or any such assistance to CERT-In, which may contribute towards cyber security mitigation actions and enhanced cyber security situational awareness. The order / direction may include the format of the information that is required (up to and including near real-time), and a specified timeframe in which it is required, which should be adhered to and compliance provided to CERT-In, else it would be treated as non-compliance of this direction. The service providers, intermediaries, data centres, body corporate and Government organisations shall designate a Point of Contact to interface with CERT-In. The Information relating to a Point of Contact shall be sent to CERT-In in the format specified at Annexure II and shall be updated from time to time. All communications from CERT-In seeking information and providing directions for compliance shall be sent to the said Point of Contact.  (iii) サイバーインシデント対応、サイバーインシデントに関する保護・予防措置を目的として、CERT-Inの命令・指示により要求された場合、サービスプロバイダー、仲介業者、データセンター、法人は、サイバーセキュリティ軽減措置とサイバーセキュリティ状況認識強化に寄与する可能性のある措置、情報、またはそのような援助をCERT-Inに行うことが義務づけられている。命令/指示は、要求される情報の形式(準リアルタイムまで含む)、および要求される特定の時間枠を含むことができ、これを遵守し、CERT-Inに遵守を提供しなければならず、そうしなければ、この指示の非遵守として扱われる。サービスプロバイダー、仲介業者、データセンター、法人および政府機関は、CERT-Inと連絡を取るための連絡窓口を指定するものとする。連絡先に関する情報は、附属書Ⅱで指定された形式でCERT-Inに送付され、随時更新されるものとする。情報を求め、準拠のための指示を提供するCERT-Inからの全ての通信は、当該連絡先に送られるものとする。
(iv) All service providers, intermediaries, data centres, body corporate and Government organisations shall mandatorily enable logs of all their ICT systems and maintain them securely for a rolling period of 180 days and the same shall be maintained within the Indian jurisdiction. These should be provided to CERT-In along with reporting of any incident or when ordered / directed by CERT-In.  (iv) すべてのサービスプロバイダー、仲介業者、データセンター、法人および政府機関は、すべてのICTシステムのログを有効にし、180日間安全に維持することを義務付けられ、同じものがインドの管轄内に維持されるものとする。これらは、あらゆる事故の報告とともに、またはCERT-Inの命令/指示により、CERT-Inに提供されなければならない。
(v) Data Centres, Virtual Private Server (VPS) providers, Cloud Service providers and Virtual Private Network Service (VPN Service) providers, shall be required to register the following accurate information which  must be maintained by them for a period of 5 years or longer duration as mandated by the law after any cancellation or withdrawal of the registration as the case may be:  (v) データセンター、仮想専用サーバー(VPS)プロバイダー、クラウドサービスプロバイダー、仮想専用ネットワークサービス(VPNサービス)プロバイダーは、以下の正確な情報を登録する必要があり、場合によっては登録の取消または撤回後、5年間または法律で義務付けられた期間以上維持しなければならない。
a. Validated names of subscribers/customers hiring the services  a. サービスを利用する加入者/顧客の有効な氏名
b. Period of hire including dates  b. 日付を含む利用期間
c. IPs allotted to / being used by the members  c. 会員に割り当てられた/使用されているIPアドレス
d. Email address and IP address and time stamp used at the time of registration / on-boarding  d. 登録時/利用開始時に使用した電子メールアドレス、IPアドレス、タイムスタンプ
e. Purpose for hiring services  e. サービスを利用する目的
f. Validated address and contact numbers  f. 有効な住所と連絡先
g. Ownership pattern of the subscribers / customers hiring services   g. サービスを利用する加入者/顧客の所有形態
(vi) The virtual asset service providers, virtual asset exchange providers and custodian wallet providers (as defined by Ministry of Finance from time to time) shall mandatorily maintain all information obtained as part of Know Your Customer (KYC) and records of financial transactions for a period of five years so as to ensure cyber security in the area of payments and financial markets for citizens while protecting their data, fundamental rights and economic freedom in view of the growth of virtual assets.   (vi) 仮想資産サービスプロバイダー、仮想資産交換プロバイダー、カストディアンウォレットプロバイダー(財務省が適宜定義)は、仮想資産の成長に鑑み、国民のデータ、基本的権利、経済的自由を保護しつつ、決済及び金融市場の分野におけるサイバーセキュリティを確保するため、顧客確認(KYC)の一環として取得したすべての情報及び金融取引記録を5年間にわたり強制的に保持しなければならない。
For the purpose of KYC, the Reserve Bank of India (RBI) Directions 2016 / Securities and Exchange Board of India (SEBI) circular dated April 24, 2020 / Department of Telecom (DoT) notice September 21, 2021 mandated procedures as amended from time to time may be referred to as per Annexure III.  KYCの目的のために、インド準備銀行(RBI)指令2016/インド証券取引所(SEBI)2020年4月24日付回覧/電気通信省(DoT)2021年9月21日通知で義務付けられた手続きは、随時改正されるため、附属書Ⅲを参照することができる。
With respect to transaction records, accurate information shall be maintained in such a way that individual transaction can be reconstructed along with the relevant elements comprising of, but not limited to, information relating to the identification of the relevant parties including IP addresses along with timestamps and time zones, transaction ID, the public keys (or equivalent identifiers), addresses or accounts involved (or equivalent identifiers), the nature and date of the transaction, and the amount transferred.  取引記録に関しては、正確な情報が、タイムスタンプと時間帯を伴うIPアドレス、取引ID、公開鍵(または同等の識別子)、関係する住所または口座(または同等の識別子)、取引の性質と日付、送金額などの関連当事者の識別に関する情報を含むが、これらに限らず、個々の取引を再構築できるような方法で維持されなければならない。
And whereas, the meaning to the terms ‘cyber incident’ or ‘cyber security incident’ or ‘computer resource’ or other terms may be ascribed as defined in the IT Act, 2000 or “The Information Technology (The Indian Computer Emergency Response Team and Manner of performing functions and duties) Rules, 2013” as the case may be.   サイバーインシデント」、「サイバーセキュリティインシデント」、「コンピュータリソース」等の用語の意味は、2000年IT法又は2013年情報技術(インドコンピュータ緊急対応チーム及び機能及び義務の履行方法)規則で定義されたとおりに解釈される場合がある。
And whereas, in case of any incident, the above-referred entities must furnish the details as called for by CERT-In. The failure to furnish the information or non-compliance with the ibid. directions, may invite punitive action under subsection (7) of the section 70B of the IT Act, 2000 and other laws as applicable.  また、何らかのインシデントが発生した場合、上記の事業者は、CERT-Inの求めに応じて詳細を提出しなければならない。情報を提供しないこと、または上記の指示に従わないことは、2000年IT法第70B条(7)および適用される他の法律に基づく懲罰的措置を求めることができる。
This direction will become effective after 60 days from the date on which it is issued. この指示は、発行された日から60日後に有効となる。

 

ちなみに報告義務があるインシデントは、附属書Iに記載があります。。。

Annexure I  附属書 I 
Types of cyber security incidents mandatorily to be reported by service providers, intermediaries, data centres, body corporate and Government organisations to CERT-In:  サービスプロバイダ、仲介業者、データセンター、企業、政府組織が CERT-In に報告することが義務付けられているサイバーセキュリティインシデントの種類。
[Refer Rule 12(1)(a) of The Information Technology (The Indian Computer Emergency Response Team and Manner of Performing Functions and Duties) Rules, 2013]  [2013 年情報技術(インドコンピュータ緊急対応チームおよび機能・職務の遂行方法)規則 12(1)(a) 参照] 
i. Targeted scanning/probing of critical networks/systems  i. 重要なネットワーク/システムの標的型スキャン/プロービング 
ii. Compromise of critical systems/information  ii. 重要なシステム/情報の危殆化 
iii. Unauthorised access of IT systems/data  iii. ITシステム/データへの不正アクセス 
iv. Defacement of website or intrusion into a website and unauthorised changes such as inserting malicious code, links to external websites etc.  iv. ウェブサイトの改ざん、ウェブサイトへの侵入、悪質なコードの挿入や外部ウェブサイトへのリンクなどの不正な変更。
v. Malicious code attacks such as spreading of virus/worm/Trojan/Bots/ Spyware/Ransomware/Cryptominers  v. ウイルス/ワーム/トロイの木馬/ボット/スパイウェア/ランサムウェア/クリプトマインダーの蔓延などの悪質なコード攻撃 
vi. Attack on servers such as Database, Mail and DNS and network devices such as Routers  vi. データベース、メール、DNSなどのサーバーやルーターなどのネットワーク機器への攻撃 
vii. Identity Theft, spoofing and phishing attacks  vii. 個人情報窃盗、なりすまし、フィッシング攻撃 
viii. Denial of Service (DoS) and Distributed Denial of Service (DDoS) attacks  viii. サービス妨害(DoS)および分散型サービス妨害(DDoS)攻撃 
ix. Attacks on Critical infrastructure, SCADA and operational technology systems and Wireless networks  ix. 重要インフラ、SCADA、運用技術システム及び無線ネットワークに対する攻撃 
x. Attacks on Application such as E-Governance, E-Commerce etc. xi. Data Breach  x. 電子政府、電子商取引等のアプリケーションに対する攻撃 xi. データ漏洩 
xii. Data Leak  xii. データ漏洩 
xiii. Attacks on Internet of Things (IoT) devices and associated systems, networks, software, servers  xiii. IoT機器および関連するシステム、ネットワーク、ソフトウェア、サーバに対する攻撃 
xiv. Attacks or incident affecting Digital Payment systems  xiv. デジタル決済システムに影響を及ぼす攻撃または事件 
xv. Attacks through Malicious mobile Apps  xv. 悪意のあるモバイルアプリを通じた攻撃 
xvi. Fake mobile Apps  xvi. 偽モバイルアプリ 
xvii. Unauthorised access to social media accounts  xvii. ソーシャルメディアアカウントへの不正アクセス 
xviii. Attacks or malicious/ suspicious activities affecting Cloud computing systems/servers/software/applications  xviii. クラウドコンピューティングシステム/サーバー/ソフトウェア/アプリケーションに影響を与える攻撃または悪意ある/疑わしい活動 
xix. Attacks or malicious/suspicious activities affecting systems/ servers/ networks/ software/ applications related to Big Data, Block chain, virtual assets, virtual asset exchanges, custodian wallets, Robotics, 3D and 4D Printing, additive manufacturing, Drones  xix. ビッグデータ、ブロックチェーン、仮想資産、仮想資産取引所、カストディアンウォレット、ロボット、3D・4Dプリンティング、積層造形、ドローンに関連するシステム/サーバ/ネットワーク/ソフトウェア/アプリケーションに影響を与える攻撃または悪意ある/不審な行為。
xx. Attacks or malicious/ suspicious activities affecting systems/ servers/software/ applications related to Artificial Intelligence and Machine Learning  xx. 人工知能や機械学習に関連するシステム/サーバー/ソフトウェア/アプリケーションに影響を与える攻撃や悪意ある/不審な活動 
The incidents can be reported to CERT-In via email (incident@cert-in.org.in), Phone (1800-11-4949) and Fax (1800-11-6969). The details regarding methods and formats of reporting cyber security incidents is also published on the website of CERT-In www.cert-in.org.in and will be updated from time to time. インシデントは、メール(incident@cert-in.org.in)、電話(1800-11-4949)、ファックス(1800-11-6969)でCERT-Inに報告することができる。サイバーセキュリティインシデントの報告方法とフォーマットに関する詳細は、CERT-Inのウェブサイト(www.cert-in.org.in)でも公開されており、随時更新される予定である。

 

報告時の記載項目は、附属書IIに記載されています。

といっても、、、住所とか法人名、連絡窓口を書けという内容です。。。

 

附属書IIIにKYCのルールが参考として記載されています。。。


 

これに関しては、米国に本部があるThe Information Technology Industry Council (ITI)がコメントをだしています。。。

早急に報告するように義務付けても、企業に負担がいくだけで、企業の対応を遅らせかえって良くないということだと思います。インシデント報告を受け取ったCERT-Inが何をしてくれるのか?ということだと思います。きっとファイルするだけでしょう。。。

なので、まずは適用開始時期を遅らせ、内容を再考してくださいという要望ですかね。。。

 

The Information Technology Industry Council (ITI)

・2022.05.06 ITI Raises Concerns that India’s Proposed Cybersecurity Directive Could Undermine Security Goals

 

 

|

« 英国 意見募集 消費者保護のためにアプリストアへの政府の介入は必要か (2022.05.04) | Main | 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律が成立 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 英国 意見募集 消費者保護のためにアプリストアへの政府の介入は必要か (2022.05.04) | Main | 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律が成立 »