インド政府は、ポートスキャンや脆弱性スキャンであっても、6時間以内にサイバーセキュリティ・インシデントをCERT-INに報告するよう組織に義務付ける新たなガイドラインを発表しました。
https://www.cert-in.org.in/PDF/CERT-In_Directions_70B_28.04.2022.pdf
このガイドは、インドのコンピュータ緊急対応チーム(CERT-In)が推進したもので、セキュリティ・インシデントの分析と対応に困難をもたらすギャップを特定し、それに対処するために、より積極的な措置を講じる必要があるとしています。
これらの措置およびその他のさまざまな条項は公開され、インドの法律の一部となり、60日後に発効することになっています。
インシデントに関する即時の通知
最も注目すべきは、インターネットサービスプロバイダ、仲介業者、データセンター、政府機関は、これらのインシデントに気づいてから6時間以内にCERT-Inに報告しなければならないという新しい要件である。
これは、第三者によってこれらの機関に報告されたインシデントにも適用されるため、これらのサービス・プロバイダーは受信した情報が失われたり無視されたりすることなく、適時に処理され評価されるようにしなければなりません。
CERT-Inに報告しなければならないサイバーセキュリティインシデントの種類は以下の通りです。
- 重要なネットワーク/システムの標的型スキャン/プロービング
- 重要なシステム/情報の侵害
- ITシステム/データへの不正アクセス
- ウェブサイトの改ざんやウェブサイトへの侵入、外部ウェブサイトへの悪質なコードリンクの挿入などの不正な変更。
- ウイルス/ワーム/トロイの木馬/ボット/スパイウェア/ランサムウェア/クリプトマシーンの蔓延など、悪質なコード攻撃
- データベース、メール、DNSなどのサーバーやルーターなどのネットワーク機器への攻撃
- なりすまし、スプーフィング、フィッシング攻撃
- サービス妨害(DoS)攻撃、分散型サービス妨害(DDoS)攻撃
- 重要インフラ、SCADA、運用技術システム、無線ネットワークへの攻撃
- 電子政府、電子商取引などのアプリケーションに対する攻撃
- データ漏洩
- IoT(Internet of Things)機器および関連システム、ネットワーク、ソフトウェア、サーバーに対する攻撃
- デジタル決済システムに影響を及ぼす攻撃や事件
- 悪意のあるモバイルアプリを介した攻撃
- 偽モバイルアプリ
- ソーシャルメディアアカウントへの不正アクセス
- クラウドコンピューティングシステム/サーバ/ソフトウェア/アプリケーションに影響を及ぼす攻撃または悪意ある/不審な活動
- ビッグデータ、ブロックチェーン、仮想資産、仮想資産取引所、カストディアンウォレット、ロボティクス、3D・4Dプリンティング、積層造形、ドローンに関連するシステム/サーバー/ネットワーク/ソフトウェア/アプリケーションに影響を及ぼす攻撃または悪意ある/不審な行為
適切な連携のために、国立情報学研究所(NIC)または国立物理学研究所(NPL)のNTPサーバーに接続し、システム時刻を同期させる必要があります。
また前述のサービスプロバイダのすべてのシステムログは、インドの管轄内で180日間のローリング期間、安全に維持されなければならず、あらゆるセキュリティインシデント報告書とともに、または機関によって要求されたときに、CERT-Inに提供されるものとする。
ユーザーデータの保持
新ガイドラインには、VPS(仮想専用サーバー)およびVPN(仮想専用ネットワーク)サービスプロバイダーに関する項目も含まれており、今後はユーザーの記録を保持することが義務づけられる予定です。
データ取得期間は、ユーザー登録の取り消しまたは撤回から5年間、または将来の規制により義務付けられる場合はさらに長くなります。
管理されるデータには、以下のものが含まれます。
- サービスを利用した契約者/顧客の有効な氏名
- 日付を含むレンタル期間
- 会員に割り当てられた/会員が使用しているIP
- 登録時/利用開始時に使用された電子メールアドレス、IPアドレス、タイムスタンプ
- サービスを利用する目的
- 有効な住所と連絡先
- サービスを利用している契約者/顧客の所有形態
取引所やウォレット管理サービスを含む仮想資産(暗号通貨)サービスプロバイダーも同様に、今後は少なくとも5年間は顧客情報を保持することになります。
Comments