インド政府のムチャブリ:インシデント検知の6時間後には CERT-In に報告せよ!

Indian Govt Orders Organizations to Report Security Breaches Within 6 Hours to CERT-In

2022/04/28 TheHackerNews — 木曜日にインドのコンピュータ緊急対応チームである CERT-In は、サービスプロバイダ/仲介業者/データセンター/政府機関に対して、データ漏洩を含むサイバーセキュリティ・インシデントの検知後6時間以内での報告を義務化する新しいガイドラインを発表した。

「サービスプロバイダ、仲介業者、データセンター、法人、政府機関は、サイバーインシデントに気づいたとき、またはそのようなインシデントについて知らされたとき、6時間以内に CERT-In に強制的に報告しなければならない」と政府はリリースで述べている

この範囲に含まれるインシデントの種類には、重要なシステムの侵害/標的型スキャン/コンピューターや SNS への不正アクセス/Web サイトの改ざん/マルウェアの展開/個人情報の窃取/DDoS 攻撃/データ漏洩/不正モバイルアプリ/通信と IoT デバイスへの攻撃などがある。

この、インド政府の措置は、法的プロセスに従った分析/調査/調整を実施するために、セキュリティ事象における重要な Indicators of Compromise (IoC) を、迅速に利用するためのものだと言われている。

また、National Informatics Centre (NIC) および National Physical Laboratory (NPL) の NTP サーバーと、ICT システムのクロックを同期させ、そのシステムログを 180日間にわたり保持するよう指示している。

また、VPN サービスプロ・バイダーに対しては、加入者の名前/住所/電話番号/電子メール/IP アドレスなどの情報を、最短で5年間は保持するよう指示している。仮想資産に関する取引所および、サービスとウォレットのプロバイダーに対しては、Know Your Customer (KYC) と金融取引に関する記録を、5年間にわたり保存するよう求めてい。

この、60日後に発効する規則について、インドの Ministry of Electronics and Information Technology (MeitY) は、「これらの指示は、サイバーセキュリティの全体的な姿勢を強化し、国内における安全で信頼できるインターネットを確保するものである」と述べている。

インシデントを検知した後の報告義務ですが、6時間以内というのは、かなりのハードルの高さだと思います。似たような話としては、2021年11月の「米国の金融規制当局:銀行に対して 36時間以内でのサイバー攻撃の報告を要求」と、10月の「米国のランサムウェア報告法案:48時間以内に身代金支払い情報の提供を義務付ける」があります。問題が見つかったとき、セキュリティ・スタッフは調査や分析に追われることになります。そして、報告をすると、追加の問い合わせなどが入り、さらに大変になると、聞いたことがあります。それにしても、インドはスゴイです。

%d bloggers like this: