シンガポール・スマートネーション2.0について

ホーム
インシデントレスポンス, クラウド, 情報ガバナンス, 情報セキュリティ, 重要インフラ防衛
シンガポール・スマートネーション2.0について

シンガポール・スマートネーション2.0について

2024.10.5
インシデントレスポンス, クラウド, 情報ガバナンス, 情報セキュリティ, 重要インフラ防衛
投稿者: Ikuo

デジタル戦略シンガポール刷新としてスマートネーション2.0を紹介する記事が出ています。日経新聞シンガポール、デジタル戦略刷新データ拠点、障害対応で新法　AI研究にも力

シンガポール政府は1日、国家のデジタル戦略を定めた「スマート国家」戦略を10年ぶりに刷新した。

ということで、Smart Nation 2.0といわれています。そのページは、こちらです。報告書は、こちらです。

副題は、「デジタルな未来をすべての人に繁栄させる」(A Thriving Digital Future for All)です

このプラン自体は、ビジョン、ゴール、マイルストーン、業績からできています。図示するとこのような感じでしょうか。

このビジョンが、SN2としてリフレシッシュされたということです。

スマート・ネイション2.0では、私たちの未来を変革し、ともに国を形成するために、テクノロジーをより効果的に活用することに焦点を絞っている。

ゴール

そこでは、「成長」、「コミュニティ」、「信頼（トラスト）」が3つの主要目標とされています。

トラストにおいては、

デジタル・インフラのセキュリティとレジリエンスの強化
有害なオンライン活動との闘いを強化する
信頼されるデジタル空間を共に拡大する

があげられています。

成長においては、

デジタル経済に力を与えること
企業と労働者に力を与えること
次世代への準備

があげられています。

コミュニティ(私たちを一緒に)においては、

誰一人取り残さない:インクルージョンの強化
地域社会の結束を強める
市民とのパートナーシップ強化

があげられています。

また、報告書においては、これらの柱のもと、世界的善のために技術の向上があげられています。このために、

デジタル開発のための包括的な国際コミュニティの育成
橋を架けること
グローバル・デジタル・セキュリティの課題に挑むこと
能力開発への貢献

がうたわれています。

マイルストーン

このマイルスートンでは、過去の進展をあげています。近時のものとしては、2022年の国家AI 戦略2.0、2023年のデジタル情報省(MDDI)設立、があります。

業績

この業績のところで、IMDスマートシティインデックスが5位(2024)、同国際競争力ランキング3位(2024)、WIPOクローバルイノベーションインデックス5位(2023)などの数値、また、統計があげられています。

また、このスマート・ネイション2.0では、デジタルインフラ法の創設が想定されています。

法的整備について

このデジタルインフラ法(DIA)については、詳細は、まだ、明らかになっていません。もともとば2024年3月にプレスリリースがでています。

このプレスリリースによるとDIA の適用範囲は、シンガポールのデジタルインフラのエコシステムを調査し、その機能が停止した場合にシンガポールの経済や社会にシステム的な影響を及ぼすものに対して適用されるものとなります。具体的には、データセンターやクラウドサービス、広く利用されている多くのデジタルサービス(例えば、銀行や決済、配車サービス、デジタルID)の提供をサポートするものなどが挙げられます。

障害の防止と、障害が発生した場合の効果的な復旧に貢献できる可能性の確保のもとDIA の下で規制対象となる事業体が満たすべき要件としては、欧州連合(EU)(NIS2指令)、ドイツ、オーストラリアなどの管轄区域では、規制対象事業者が順守すべきインシデント報告要件と基本的な耐障害性およびセキュリティ基準にならって、それに従うものとなります。

そのうえで、DIAのタスクフォースはシンガポールの法律を補完する非規制措置を検討しています。これには、事業継続性を確保するための耐障害性とセキュリティに関するベストプラクティスをデジタルインフラおよびサービスプロバイダーに指導することが含まれます。

なお、スマート国家2.0の枠からははずれるのか？もしれませんが、シンガポールにおいてはサイバーセキュリティ法の改正がなされている点も重要です。これについては、すでに改正が成立しています(厳密には、官報掲載された段階で指定された日から施行のようです)。サイバーセキュリティ法の条文は、こちら(リンク)です。サイバーセキュリティ改正法はこちら。

解説のブログがあるので、それをもとにまとめると、同法の具体的な改正事項としては、

コンピュータおよびコンピュータシステムの意味の拡張（仮想コンピュータシステムが含まれる）
CIIが依存する第三者が所有する不可欠なサービスプロバイダーに対する規制の導入
CII関連のより広範なサイバーセキュリティインシデントを報告するための規定の制定
3つの新規の規制対象システム/事業体（一時的なサイバーセキュリティ上の懸念あるシステム(「Systems of Temporary Cybersecurity Concern-STCC」、特別サイバーセキュリティ利害関係者(「Entities of Special Cybersecurity Interes-ESCI」)、主要基盤デジタルインフラサービスプロバイダー(「 Major Foundational Digital Infrastructure service providers-FDIs」）への規制の導入

となります。具体的には、

コンピュータおよびコンピュータシステムのより広い意味

法案以前の現行法では、CIIsは物理的なシステムとみなされていましたところ、法第3条(j)項では、現行法の特定の箇所における「コンピュータ」および「コンピュータシステム」の定義を拡大し、「仮想コンピュータ」および「仮想コンピュータシステム」を含めることとしました。このような仮想コンピュータまたはコンピュータシステムの所有者は、CIIの運用とセキュリティを独占的に管理する者であり、その基盤となる物理的インフラストラクチャ(データセンタープロバイダーなど)を提供するその他の当事者ではないことを明確にしています。

第三者が所有するCIIに依存する不可欠なサービスプロバイダーの規制

法第14条では、第三者が所有するCIIに依存して不可欠なサービスを継続的に提供する不可欠なサービスプロバイダーを規制するための新たな規定(第3A条)も導入しています。この新たな規定により、不可欠なサービスを継続的に提供するために第三者のコンピュータシステムに依存している場合でも、当該プロバイダーは、提供する不可欠なサービスのサイバーセキュリティおよびサイバーレジリエンスに対する責任を負うことが確保されます。とりわけ、第三者が所有する重要情報資産に依存する重要サービスプロバイダーは、当該の第三者が所有する重要情報資産のベンダーから、インシデント報告、監査、リスク評価など、重要情報資産に適用されるサイバーセキュリティ基準および要件を満たすための法的拘束力のある確約(契約上の義務など)を取得することが義務付けられます。結局、サイバーセキュリティ要件がサプライチェーン全体に等しく適用されることを意味し、重要サービスに対するデジタルによる混乱のリスクがどこに存在するかに関わらず、適用されることになります。

より広範なサイバーセキュリティインシデントを報告するためのCII関連規定の更新

悪意のあるサイバー犯罪者の巧妙さに対処するため、法ではより広範なサイバーセキュリティインシデントの報告も義務づけています。現行法では、CIIの所有者は通常、CII、またはCIIと相互接続されている、あるいはCIIと通信を行うコンピューターやコンピューターシステムに関連するサイバーセキュリティインシデントの報告のみが義務づけられています。法第12条では、現行法を改正し、第3項に基づき、CIIの所有者はさらに、 (i) その所有者の管理下にある他のコンピュータ、および (ii) そのプロバイダーが所有する、CIIと相互接続されているか、またはCIIと通信しているサプライヤーの管理下にあるコンピュータの報告義務を負ってています(ただし、CIIが不可欠なサービスのプロバイダーによって所有されている場合に限る)。

これらの変更は、隣接するシステムへの攻撃が発生した場合、またはCII所有者の直接のサプライヤーが侵害された場合に、不可欠なサービスへの潜在的な混乱を未然に防ぐために、CIIを保護するための積極的な措置を講じることを目的としている。

新規システムおよび事業体の規制

上記に加え、本法案では、改正法の第7条または新設の第16A条でCIIに指定されていないシステムや事業体が使用するシステムであっても、以下の3つの新規の規制対象システム/事業体を導入しています。これらの規制対象事業体/システムは、CSAのサイバーセキュリティ担当長官(以下、「担当長官」)が書面通知により指定します。