「國產安心論」不再適用?日本推新資安標準「日本度」
日本國家網路安全準備中心(NCPC)近日推出一項全新的資安評估標準「日本度」(Nihondo),旨在重新定義日本資安產品的「國產」概念,並強調國內治理的自主性。這項標準的推出,反映了日本對過度依賴海外服務導致資安應變能力不足的擔憂。
NCPC 代表萩原氏指出,過去對「國產就是安全」的觀念已不再適用。許多海外服務商的日本分公司在重大資安事件發生時,往往需等待總部回應或日誌提供,無法獨立決策,這對日本的「國內自主性」構成挑戰。他強調,網路犯罪對策需要以資訊共享的信任關係為基礎,因此「日本度」要求參與評估的公司總部須設於已批准《網路犯罪公約》(Budapest Convention)的國家,日本正是該公約的簽署國。
「日本度」的評估內容並非產品的技術優劣,而是聚焦於「治理」面向,特別是國內可控範圍。總分最高為 2580 分,由五大類別(每類 500 分)加上過往實績的獎勵分數(80 分)組成。這五個評估類別包括:企業屬性與可靠性、治理、安全開發生命週期(SDLC)自主性、基礎設施與資料控制,以及緊急應變與事件管理。評估項目涵蓋智慧財產權是否由日本持有、是否適用日本法律、是否能在日本獨立決策修復漏洞,以及事件應變能否完全在日本境內完成等。考量到現行「政府資訊系統資安評估制度」(ISMAP)認證成本可能高達數千萬日圓,NCPC 設計「日本度」時也希望讓資歷較淺的新創公司有機會展現可靠性。
萩原氏強調,「日本度」不是旨在獲得滿分,也非用來評斷產品技術優劣的制度。NCPC 並未設定特定分數門檻來定義何謂「國產」,因為擔心分數會脫離其原始意義,被片面解讀。事實上,技術先進的海外產品可能會因其在日本的治理程度較低而獲得較低分數,反之,高分也不保證技術上的優越性。萩原氏指出,外國廠商若能在日本設立研發與支援據點,並賦予日本實體處理營運、故障排除與產品決策的權力,其「日本度」分數便能提高。同時,過度依賴海外開發、營運或資料管理的日本公司,也無法取得高分,這表明評估標準側重於國內治理的實務效力,而非公司國籍。
儘管「日本度」的初衷是提高資安自主性,但也面臨挑戰與批評。目前該標準仰賴企業的自我評估,且詳細計分邏輯並未公開,加上 NCPC 接受企業贊助,引發了潛在偏袒的質疑。萩原氏斷然否認贊助商能獲得較高分數的說法,並解釋內部審查機制會檢視自我評估報告的差異。他坦言,雖然理想上應實施第三方審核與實地調查,但目前仍以志願性質運作,未來計劃與政府合作並導入外部稽核,以提升客觀性。他表示,若企業出現虛假申報,責任將由企業方承擔。此外,也有人擔憂「日本度」這個名稱可能帶有排外主義色彩,建議使用「網路國內自給率」等詞彙。萩原氏解釋,最終選擇「日本度」是希望能簡潔有力,並反映日本數位產業的現狀。
展望未來,「日本度」計劃將評估範圍擴大至資安服務(如 SOC 安全營運中心)和教育訓練,並已鎖定東南亞國家協會(ASEAN)市場。萩原氏認為,鑑於美中關係緊張與地緣政治風險,ASEAN 地區對日本企業和服務的期望日益增高。他期待透過合作,將日本發展出的治理與品質經驗推向海外,提升整體競爭力。萩原氏意識到:「單靠一家公司無法取勝」,因此即使是競爭對手,也需團結合作,共同應對全球挑戰。