インドのコンピュータ緊急対応チーム(CERT-In)は、国内の多くのIT部門に、緊急に取り組む必要のある大きな仕事を課した。それは、ランサムウェア攻撃であれ、ソーシャルメディアアカウントの単なる侵害であれ、20種類の情報セキュリティインシデントを検知後6時間以内に報告するよう組織に義務付ける新しい一連の規則に準拠することだ。
国家情報セキュリティ機関は、「インシデント分析の妨げとなる特定のギャップ」を特定したため、期限を短くする必要があると述べた。
組織は、電子メール、電話、またはファックスを使用してインシデントレポートを送信できます。アナログ媒体が分析ギャップをどの程度改善するかは不透明です。
規則[PDF]は、サービスプロバイダー、仲介業者、データセンター運営者、企業、政府機関に適用されます。
ニューデリー近郊のグルグラムにあるビジネス地区サイバーシティ(クリックして拡大)
合計20種類のインシデントがリストアップされており、ランサムウェア攻撃やデータ侵害などは明らかに迅速な報告が必要です。一方、非常に曖昧な表現のインシデントもあります。「クラウドコンピューティングシステム/サーバー/ソフトウェア/アプリケーションに影響を与える攻撃または悪意のある/疑わしい活動」という基準は、明確に説明されるべきです。ウェブサイトの改ざんやソーシャルメディアアカウントの不正使用など、報告が必要なインシデントは、他のインシデントほど深刻ではないようです。
6 時間の報告時間も短いです。欧州の一般データ保護規則では、データ侵害の報告を 72 時間以内に行うよう義務付けており、米国では政府機関に対して 24 時間の報告要件を検討しています。
この規則の対象となる組織には、すべての ICT システムのログを 180 日間保存および維持し、要求に応じて CERT-In に提出する義務も課せられます。
- インドの証券保管機関が4400万人の投資家の個人情報を2度にわたり公開
- インドの電力部門の安全保障に関する新政策は、エアギャップが「粉砕された」と述べている。
- インドは2023年までにRISC-Vの設計・製造の主要プレーヤーとなる計画を発表
- インド政府、インフォシスを召喚し競業避止条項の説明を求める
CERT-Inは、データセンター、仮想プライベートサーバー(VPS)プロバイダー、クラウドサービスプロバイダー、仮想プライベートネットワークサービス(VPNサービス)プロバイダーに対し、顧客データを登録するだけでなく、最低5年間保持する義務を課しました。保持対象となるデータには、顧客名、契約日、IPアドレス、メールアドレス、サービス、所有形態などが含まれます。
暗号資産セクターにも追加要件が課せられました。仮想資産取引所およびカストディアンウォレットプロバイダーは、顧客確認(KYC)記録と金融取引を5年間保存することが義務付けられており、これはインド当局がマネーロンダリングにおける暗号資産の利用を厳しく取り締まっていることを示していると考えられます。
もう一つの新たな要件は、インドの機関が国立情報科学センターまたは国立物理学研究所が提供するネットワーク・タイム・プロトコル・サーバー、もしくはこれらの組織に追跡・同期可能なNTPサーバーを使用することです。この要件の理由は説明されていません。
「これらの指示により、サイバーセキュリティ態勢全体が強化され、国内の安全で信頼できるインターネットが確保される」とCERT-Inは述べた。
そして、一番面白いのは、この規則が60日以内に施行されることです。6時間以内の報告に必要な手順を確立するには、これはあまりに短い時間です。
インドのシステム管理者の皆さん、頑張ってください。®
