Opinion Brawte nfaq 0 Comments

インド、情報セキュリティログ記録規則の遵守期限を90日間延長

Table of Contents

インド、情報セキュリティログ記録規則の遵守期限を90日間延長

インドの電子情報技術省(MeitY)と地元のコンピュータ緊急対応チーム(CERT-In)は、4月28日に導入され、昨日発効予定だったサイバーセキュリティ指示への準拠期限を延長した。

この指示は、VPNおよびクラウドにおけるユーザー活動の詳細なログ記録、情報セキュリティインシデントの検知後6時間以内の報告(異常なポートスキャンといった些細な事象も含む)、インドネットワークタイムプロトコルサーバーの専用使用など、多くの煩雑な要件を要求している。この指示は、現地組織のセキュリティ向上と、インドへの脅威評価に活用できる情報をCERT-Inに提供するという趣旨だった。しかし、この指示はインシデント報告をファックス(古き良きファックス)でCERT-Inに送信することを許可していた。CERT-Inは、この指示に従う組織から送られてくる数百万件ものインシデント報告を取り込み、分析できるインフラを運営しているという証拠も示していなかった。

この指示は、クラウドサービスに顧客の活動ログの保存を義務付けるといった要件は、クラウドサービスが顧客がレンタルしたリソース内で何が行われているかを記録していないため、無駄だと指摘するテクノロジー系ロビー団体から激しく批判された。VPNプロバイダーは、ユーザー活動のログを記録しないことがビジネスモデル全体を占めているため、ユーザーログの保存は不可能だとして、インドから撤退し、サーバーを海外に移転した。VPN事業者が海外に移転するということは、インド政府がこれらの事業者に影響を与える力が弱まることを意味する。

DDoS攻撃

マレーシアと関係のあるドラゴンフォースのハクティビストがインドの標的を攻撃

続きを読む

インド政府と関係大臣は、指示事項を説明するFAQ(よくある質問)で苦情を認めたものの、その文書は曖昧な表現で事態を混乱させ、有益な説明を与えるどころか、事態をさらに悪化させる結果となった。政府は、指示事項のもう一つの異例な側面、すなわち60日以内に遵守しなければならないという期限についても、一切譲歩しなかった。

しかし昨日、政府は方針を転換し、中小企業のコンプライアンス遵守期限を9月25日まで、つまりさらに90日間延長する文書[PDF]を発表しました。クラウドサービスにも、顧客情報の記録開始期限が同様に延長されました。

それでもインドの組織には非常に重要な作業を実施するためにわずか 150 日しか残されておらず、ほぼすべての他の管轄区域が 72 時間の対応時間枠を好んでいるにもかかわらず、インド政府が妥当であると主張する 6 時間以内の報告要件が維持されています。

この延期は、指示に対する抗議が続く中で行われた。インターネット協会、世界暗号化連合、インターネット自由財団などの情報セキュリティ専門家が署名した6月27日付の公開書簡[PDF]は、指示への遵守の延期を求めている。

インドのインターネット自由財団は、この指示を撤回するよう求めている。

昨日、別のVPN事業者であるPureVPNが、コンプライアンスが不可能であるとしてインドから撤退した。

  • インド政府、職員に機密情報セキュリティガイダンスを発行 - 漏洩
  • インド、マスターカードによる新規カードの発行を再開
  • インフォシスは、不具合のあるインドの税務ポータルの1周年を、別のバグを修正して祝う

登録局は、大手クラウド企業が既にこの指示を遵守しているか、あるいはこの文書に概説されている要件についてインド政府に申し立てを行っているかを確認しようと試みた。本稿執筆時点で、Microsoft、Google、Alibaba、Oracleは我々の問い合わせに回答していない。AWSは「事業を展開している国におけるすべての適用法を遵守している」と回答した。

実は、この指示への遵守期限の延長は、ここ数日インドで発令された唯一の延期ではありませんでした。インド準備銀行は2020年、決済サービスプロバイダーに対し、クレジットカード取引記録をトークン化することを義務付け、加盟店がクレジットカードデータを保管する必要がないようにしました。遵守期限は先週、9月まで延期されました。これは、当初の期限内での遵守は不可能であるという業界からのフィードバックを受けて、3度目の延期となりました。

このアプローチは、業界との単独協議を実施し、その場で詳細な説明を行わなかった MeitY および CERT-In のアプローチとは対照的です。

インドのIT大臣ラジーブ・チャンドラセカール氏は、ソーシャルメディアで協議セッションの宣伝を行ったものの、この指令の遵守期限延長については沈黙を守っている。その代わりに、テクノロジー系スタートアップ企業を奨励する活動を強調している。これらのスタートアップ企業はいずれもこの指令を遵守しなければならず、世界中の競合他社よりも高い規制負担を抱えて事業を開始することになる。®

6月28日 23:10 UTC 更新:インド政府はプレスリリースを発表し、指示の実施期限の変更は「期限延長の要請」に応え、中小企業に「サイバーセキュリティ指示の実施に必要な能力構築」のための時間を与えるためであると説明しました。また、指示に関するFAQ(よくある質問)が近日中に公開されるとのことです。

Opinion

Smart Recommendations

Discover More