📊 3行サマリー

  • シンガポールのサイバーセキュリティ庁(CSA)が2026年3月、CIIO・監査人・ライセンス事業者の3カテゴリにCyber Trust Mark(CTM)認証取得を段階的に義務化した。
  • 監査人とライセンス事業者は2026年12月末、CIIOは2027年末が猶予期限。事業者向けはCTMプロモーター(Tier 3)、CIIOは最高位のLevel 5を要求する。
  • シンガポールでマネージドSOC・ペネテスト事業を展開するNEC・NTT・日立など日本系サービスプロバイダーも、現地法人として認証取得対象に含まれる。

📝 シンガポール、サイバー事業者にCyber Trust Mark認証を義務化(2026年3月発表)

シンガポール・サイバーセキュリティ庁(Cyber Security Agency of Singapore、以下CSA)は2026年3月2日、デジタル開発情報省(MDDI)の歳出委員会2026の場で、サイバーセキュリティ事業者と重要情報インフラ運用者(CIIO)に対して、自国の認証制度「Cyber Trust Mark(以下CTM)」の取得を段階的に義務化すると発表した。具体的には、CIIO本体は2027年末までにCTMの最高位「Level 5」、CIIOの監査を行う認定監査人は2026年末までにLevel 5、ペネトレーションテスト・マネージドSOC監視サービスを提供するライセンス事業者は2026年末までに「CTMプロモーター(Tier 3)」を、それぞれ取得しなければならない。これまでCTMは事業者の任意取得が原則だったが、今回の改正で実質的な業界参入条件に格上げされる。

📰 CSA公式発表、3カテゴリに段階的な認証義務化を明記

元ネタCSA to Raise Cybersecurity Standards for Critical Information Infrastructure Owners(Cyber Security Agency of Singapore / 2026-03-02)

CSA mandates Cyber Trust Mark certification for Critical Information Infrastructure Owners (Level 5 by end-2027), CII auditors (Level 5 by end-2026), and licensed cybersecurity service providers (Level 3 by end-2026).

CSAは2025年9月22日から10月21日にかけて4週間の公開意見公募を実施し、17件の回答を受けて2026年2月に枠組みを改定した。サイバーセキュリティ法第49条のもとライセンスを必要とする「ペネトレーションテスト」「マネージドSOC監視サービス」の2業種が今回の対象で、CSAは「サプライチェーン上の相互依存リスクを下げる」と狙いを明示している。

🔥 サプライチェーン経由の侵害急増、政府が下流の事業者基準を引き上げ

背景にあるのは、シンガポールが過去2年で経験したサプライチェーン経由の大規模侵害だ。2024年の通信大手4社への中国系APT「UNC3886」侵入(秘密作戦CYBER GUARDIANで対処)や、CIIO周辺の保守ベンダー経由のランサムウェア感染事例が相次ぎ、CSAは「CIIO本体の防御を固めても、監査人や外部委託のセキュリティ事業者が脆弱なら意味がない」との結論に至った。CTMは元々2022年導入の自主認証だったが、2025年4月にクラウド・運用技術(OT)・AIセキュリティの観点を取り込んで強化されており、今回の義務化はその実装フェーズに位置づけられる。Level 5は5段階の最高位で、3年有効・年次監査・年間最大3,600シンガポールドルの補助金を伴う。

🇯🇵 NEC・NTT・日立のシンガポール拠点も認証取得を迫られる

義務化対象の「ライセンス・サイバーセキュリティ事業者」には、シンガポールでマネージドSOC事業を展開する日本企業の現地法人が複数含まれる。NEC Asia Pacificは既にCSRO(Cybersecurity Services Regulation Office)からマネージドSOC監視サービス・ライセンスを取得済みで、CTMプロモーター(Tier 3)を2026年12月末までに取得する必要がある。NTT(NTT DATA/NTT Security Holdings)は2024年にCSAと三者間MoUを締結し、シンガポール拠点でセキュリティサービスを提供しており、同じく対象となる。日立サイバー(Hitachi Cyber)もアジア向けマネージドSOCを展開しており、ライセンス保有状況に応じて対応が必要だ。日本企業にとっての含意は二重で、(1)シンガポール子会社が認証コストと年次監査を負担すること、(2)シンガポール市場でCIIO案件を受注する際は、日本本社の品質管理体制ではなく現地法人のCTM取得状況が事実上の入札要件になること、の2点である。

🏁 2026年末は事業者の選別ライン、認証なしの委託が実質不可に

2026年12月末という締切は、ライセンス保有のセキュリティ事業者と監査人にとって「市場残存」の試験紙になる。Tier 3またはLevel 5を取得できなかった事業者は、CIIOからの新規案件を獲得できなくなる可能性が高く、シンガポール市場のサイバーセキュリティ事業者は「認証取得済み」と「未取得」に二極化していく。日本のCISO・調達担当者がシンガポール拠点のセキュリティ委託先を選ぶ際、来年からはCTM認証保有の確認が必須になる、と見ておくべきだ。