Bohan-ITによるワンストップサービス
BohanITは、ネットワークサービスプロバイダー、ネットワークアプリケーション開発者として、情報セキュリティシステムの開発からソフトウェアおよびハードウェアの保護強化など、企業の情報セキュリティサービスのセキュリティ管理(lǐ)について多(duō)くの経験を蓄積しており、お客様が等級保護認定を通(tōng)過するための総合ソリューションと対策を提供しています。
BohanlTは等級保護認定に関して、主にお客様に以下のサービスを提供しています。
インターネットをベースとしているサイトを含む情報システムに対して実施されている安全等級保護(略稱「等保」)は、「中華人(rén)民共和(hé)國サイバーセキュリティ法」に基づいて制(zhì)定されたサイバーセキュリティ制(zhì)度です。 現在実施されている等級保護の基準は2.0版で、通(tōng)稱「等保2.0」と呼ばれています。等級保護の基準に従って、より安全なインターネット上(shàng)の情報システム(Webサイトを含む)を構築することは、 中國政府の企業・事業機関に対する一般的な要求になっており、またウェブサイト運営者にとっても避けられない要求にもなっています。
本法の規定に違反し、違法な治安管理(lǐ)行(xíng)為を構成した場合、法により治安管理(lǐ)処罰が與えられます。犯罪に該當する場合は、法により刑事責任が追及されることもあります。 簡単に言えば、サイトの安全な運営を維持することは、ウェブサイトの所有(yǒu)者または運営者の責任であり、ウェブサイトにセキュリティ問題が発生(shēng)し、社會(huì)に危害が及ぶ場合、相応の処罰を受けることになります。
Bohan IT等保サービス
主なご提供対象
インターネット技(jì)術に基づく情報システム
Webサイトや情報管理(lǐ)システムなど
「サイバーセキュリティ法」第二十一條:國家(jiā)は網絡安全等級保護制(zhì)度を施行(xíng)する。
ネットワーク運営者は、ネットワークセキュリテイ等級保護制(zhì)度の要求に従って、ネットワークを妨害、
破壊または許可(kě)されていないアクセスから保護し、ネットワークデータの漏洩または盜難、改ざんを防止する。
「サイバーセキュリティ法」第五十九條:本法第二十一條、第二十五條に規定されたサイバーセキュリティ保護義務を履行(xíng)しない場合は、
改正を命じる上(shàng)、警告処罰を與える。改正を拒否したり、ネットワークの安全を害するなどの結果をもたらした場合は、
一萬元以上(shàng)十萬元以下の罰金を科し、直接責任を負う責任者に五千元以上(shàng)五萬元以下の罰金を科す。
等級保護制(zhì)度は、情報システムが破壊された場合の危害の程度などから、5つの等級に分けられており、一般企業のホームページやシステムには原則的に2等級が適用されています。
侵害される危険性がある客體(tǐ) | 各客體(tǐ)が受ける損害の程度 | ||
一般的な損害 | 重大(dà)な損害 | 特に重大(dà)な損害 | |
公民、法人(rén)及びその他組織の合法的な権益 | 第一級 | 第二級 | 第三級 |
社會(huì)秩序\公共利益 | 第二級 | 第三級 | 第四級 |
國家(jiā)安全 | 第三級 | 第四級 | 第五級 |
コンプライアンス
企業のセキュリティ責任と法的要件を満たす作(zuò)業方法の明(míng)確化
安全/規制(zhì)
企業セキュリティ対策を體(tǐ)系化・標準化することにより、企業情報資産のセキュリティを効果的に保護する
メリット
サイバーセキュリティ投資の合理(lǐ)的配分により、従業員のセキュリティ意識向上(shàng)コストを削減
等保の等級は評価リストに基づいて評価を行(xíng)い、ポイント制(zhì)を採用し、評価項目の達成狀況に対して採點を行(xíng)い、一定の點數(shù)に達成すれば、等級保護等級2級またはより高(gāo)い等級に認定することができます。いくつかの評価項目は高(gāo)得(de)點項目であり、必須項目と見なされます。
等保の評価において、該當等級の要求事項を満たすために、主要かつ重要な項目は以下の表をご參照ください。
等保評価項目 | 重要性/等級 | 一般的な対応措置 | 説明(míng)/備考 |
ファイアウォール(FW) | 必須/二級 | 生(shēng)産許可(kě)証があるハードウェアFWを使用 | ハイエンドタイプFWはその他多(duō)數(shù)機能あり |
WEBアプリファイアウォール(WAF) | 必須/二級 | 生(shēng)産許可(kě)証があるハードウェアWAFを使用 | 統合型ファイアウォールには該當機能あり |
侵入防止システム(IPS) | 必須/二級 | FWの中でIPSモジュールを追加、もしくは起用 | ハイエンドFWには通(tōng)常IPSあり |
サイト改ざん検出システム | 必須/二級 | サーバに商用の改ざん防止システムを導入 | 統合型FWには該當機能あり |
ウイルスソフト(アプリレベル) | 必須/二級 | サーバに有(yǒu)名なウイルス対策ソフトを導入 | 統合型FWには該當機能あり |
ウイルススキャン(ネットワークレベル) | 必須/二級 | ハイエンドFWを利用する場合、ウイルススキャンを起用 | ハイエンドFWには通(tōng)常該當機能あり |
ログ監査(システムレベル) | 必須/二級 | 獨立サーバで商用ログ監査システムを構築、システム関連ログをログ監査用サーバーに導入 | 統合型FWには該當機能あり |
ログ監査(アプリレベル) | 必須/二級 | WEBアプリのバックヤード管理(lǐ)システムに対して、ログ監査機能を追加開発 | ウェブサイトのバックヤード管理(lǐ)システムにて管理(lǐ)者の操作(zuò)行(xíng)為を記録し、監査を実施 |
SSL VPN | 建議/二級 | 安全なSSL VPNを利用してアプリのバックヤード管理(lǐ)システムにアクセス | 一般的に各種のFWを利用して、VPN回線を構築 |
データベース監査 | 推奨/二級
必須/三級 |
データベースログをログ監査サーバにインポート | |
踏み台サーバー | 推奨/二級
必須/三級 |
獨立した踏み台サーバーを構築か、第三者サービスを利用 | 踏み台サーバーを通(tōng)してサーバーにログイン |
サーバ管理(lǐ)システム (サーバ管理(lǐ)コントロールパネル) |
建議/二級 | 世界的有(yǒu)名なサーバシステム管理(lǐ)ツールPleskを導入して、日常的なサーバ運用・管理(lǐ)をPleskのコントロールパネルを通(tōng)して実施することでサーバシステム管理(lǐ)の安全性を高(gāo)めることができます。 Pleskには他に豊富なセキュリティ関連機能も多(duō)數(shù)あります。 | 既存稼働中のサーバにPleskを導入するにはサーバシステムやアプリの再インストールが必要となり、所要日數(shù)は約1~3日となります。 |
登録・ログイン身分認証 (應用層) |
必須/二級 | アプリの登録・ログイン等の関連畫(huà)面に畫(huà)像認識、SMによる認証コード発行(xíng)、ログイン失敗処理(lǐ)仕組み等の機能を追加開発 | 外來(lái)自動登録申請及びパスワードの暴力解読を防止 |
インターネット利用行(xíng)為管理(lǐ) | 推奨/二級
必須/三級 |
お客様の仕事環境における業務用インターネット行(xíng)為管理(lǐ)システムを有(yǒu)効にする | IDCとオフィスが一緒となっている場合のみ必要 |
*項目の重要性:必須>推奨>選択。二級の必須項目は三級の必須項目でもあります。
*統合型ファイアウォールは、次世代ファイアウォール(通(tōng)稱等保一體(tǐ)機、All-In-One機)とも呼ばれ、伝統的なファイアウォール機能(ファイアウォール、IPS、ウイルススキャン)に基づき、WAF、Webサイトの防衛、ログ監査などの機能とシステムを組み合わせた、情報システムのセキュリティ保護レベルを全面的に向上(shàng)させる新しいタイプのファイアウォールであり、等保評価による有(yǒu)効な安全防護手段です。
*等保の必選項目は通(tōng)常費用が高(gāo)く、項目の合理(lǐ)的な組み合わせとソフトハードウェアの適用によって、コストパフォーマンスの良い方案を最適化することができます。
*等保評価の主な項目にはネットワークやシステムレベルの項目もあれば、アプリケーションレベルの項目(水(shuǐ)色で表示の項目)もあります。
等保申請と評価の全過程において、運用・使用企業、公安當局、BohanIT、評価機関の4つの異なる役割が関與しています。 等級保護評価の実施には通(tōng)常4〜6ヶ月を要し、作(zuò)業の流れや所要時間は以下の通(tōng)りです。
等保の評価・認証に合格するということは、Webサイトのセキュリティ強化に投資することです。コンサルティング會(huì)社及び評価機関に依頼し、セキュリティ上(shàng)の問題點を評価した後、多(duō)くの場合は、セキュリティ是正措置を実施するための投資を増やす必要があります。 これは一般企業にとって大(dà)きな投資であり、等保認証を導入しようとする企業様のご參考となるよう、一般的な費用の內(nèi)訳は以下のとおりです。
コンサルティングと評価実施費用
BohanITは、當社のお客様に対し安価なコンサルティングサービスを中國語と日本語の二か國語(文書翻訳別途)で提供しています。ウェブサイトの性質と規模によって10-14萬元(上(shàng)海地區(qū)の場合)でご提供しています。
セキュリティ改善方案の実施費用
等級保護のセキュリティ評価をした後、通(tōng)常はウェブサイトに対してセキュリティ面の改善措置を実施する必要があります。大(dà)きく2つの部分に分けられます。
A. ネットワークと基本システム層の改善措置 ファイアウォール、システムログ監査、ウェブサイトの改ざん防止など、要求の高(gāo)い評価項目への対応が求められます。必要な費用は、元のウェブサイトのセキュリティ対策の狀況によって異なりますが、通(tōng)常2-6萬元前後です。
B. アプリケーション層の改善措置 一般的なクロスサイト攻撃、SQL注入などのセキュリティホールを除いて、通(tōng)常はサイトのバックグラウンドの操作(zuò)ログ監査機能とウェブサイト登録時の身分識別機能を追加する必要があります。この部分の費用もウェブサイトの複雑さと規模によって異なります。必要な費用は數(shù)千元から2-3萬元前後となっています。
以下の項目をご選択・ご記入ください。* 印は必須項目です。
ご連絡先を入力ください。確認後、速やかに連絡いたします
既に弊社のweb&メールホスティングサーバ/サーバのユーザーですか?
*弊社サイトをお知りになったきっかけを教えてください ?
認証コード
ネットワークエラーです。後でもう一度お試しください
ネットワークエラーです。後でもう一度お試しください