ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

中国「ネットワーク製品セキュリティ脆弱性管理規定」試訳

中国ではセキュリティリサーチャーが脆弱性を政府に報告する義務がある、という誤解が一部にあるようなので、該当の法律「ネットワーク製品セキュリティ脆弱性管理規定」(2021/9/1施行)の全文を試訳する。

ひとことで言うと、政府に対する報告義務があるのはプロダクトの提供業者であって、しかもそれは政府が設置した脆弱性共有プラットフォームに対してである。

個人や組織が脆弱性を発見した場合は、提供業者に対する報告が奨励されているだけで、脆弱性を見つけたら政府に報告しろ、とはどこにも書かれていない。

「いや、中国は法治国家ではない」という意味不明の勘違いをしている人はまず中国の法執行の実態を勉強しよう。

なお「ネットワーク製品」はネットワークに接続されているソフトウェア、ハードウェア製品すべてのことなので、ネットワーク機器だけでなくIT製品全般を指す。

中国法 「依法治国」の公法と私法 (集英社新書) | 小口 彦太 |本 | 通販 | Amazon

例によって筆者は法律の専門家ではないので、この試訳をゆめゆめ実務に利用されぬよう。

ネットワーク製品セキュリティ脆弱性管理規定

第一条 ネットワーク製品のセキュリティ脆弱性の発見、報告、修正、公開などの行為を規則化し、サイバーセキュリティリスクを防止するため、「中国サイバーセキュリティ法」に基づき、本規定を制定する。

第二条 中国国内のネットワーク製品(ハードウェア、ソフトウェア含む)の提供者とネットワーク運営者、およびネットワーク製品のセキュリティ脆弱性の発見、収集、公開等の活動に従事する組織または個人は、本規定を遵守しなければならない。

(訳注:中国サイバーセキュリティ法の定義では「ネットワーク運営者」には通信事業者だけでなく、ネットワーク製品を利用する一般企業も含まれる)

第三条 中国サイバースペース管理局(CAC)はネットワーク製品のセキュリティ脆弱性管理業務の総合的な調整に責任を負う。工業情報化部はネットワーク製品のセキュリティ脆弱性の総合的な管理に責任を負い、電信・インターネット業界のネットワーク製品のセキュリティ脆弱性の監督管理を担当する。公安部はネットワーク製品のセキュリティ脆弱性の監督管理に責任を負い、法に基づいてネットワーク製品のセキュリティ脆弱性を利用して実施される違法な犯罪活動を取り締まる。

関連する主管部門は部門を跨いで協力を強化し、ネットワーク製品のセキュリティ脆弱性のリアルタイムの共有を実現し、重大なネットワーク製品のセキュリティ脆弱性リスクに対して共同で評価と処置を行う。

第四条 いかなる組織または個人もネットワーク製品のセキュリティ脆弱性を利用してネットワークセキュリティ活動に危害を加える活動に従事してはならず、不法にネットワーク製品のセキュリティ脆弱性情報を収集、販売、公開してはならない。他者がネットワーク製品のセキュリティ脆弱性を利用し、ネットワークセキュリティ活動に従事していることが明らかな場合、そのための技術支援、広告宣伝、決済などの支援をしてはならない。

第五条 ネットワーク製品提供者、ネットワーク運営者とネットワーク製品のセキュリティ脆弱性収集プラットフォームは、ネットワーク製品のセキュリティ脆弱性情報の健全な受理チャンネルを構築するとともにとどこおりなく運営を維持し、ネットワーク製品のセキュリティ脆弱性情報の受理履歴を少なくとも6か月間保存しなければならない。

第六条 関連する組織と個人はネットワーク製品提供者に対して、その製品に存在するセキュリティ脆弱性を通報することが奨励される。

第七条 ネットワーク製品提供者は以下のネットワーク製品のセキュリティ脆弱性管理義務を実施し、その製品のセキュリティ脆弱性がすみやかに修正され合理的に発表されることを確保するとともに、製品のユーザーに防護措置をとるよう指導指示しなければならない。

(一)提供されたネットワーク製品のセキュリティ脆弱性を発見または知り得た後、ただちに措置をとるとともに組織的にセキュリティ脆弱性に対する検証を実施し、セキュリティ脆弱性の危害の程度と影響範囲を評価しなければならない。その上流製品やモジュールにセキュリティ脆弱性が存在する場合、ただちに関連する製品提供者に通知しなければならない。

(二)2日以内に工業情報化部のネットワークセキュリティ脅威・脆弱性情報共有プラットフォームに関連する脆弱性情報を報告しなければならない。報告内容には、ネットワーク製品のセキュリティ脆弱性が存在する製品名称、型番、バージョンと脆弱性の技術的特徴、危害と影響範囲などを含めなければならない。

(三)ネットワーク製品のセキュリティ脆弱性に対する修正をすみやかに組織的に行わなければならず、製品を必要とするユーザー(下流ベンダーを含む)に対してソフトウェア、ハードウェアのバージョンアップなどの措置を行う場合は、すみやかにネットワーク製品のセキュリティ脆弱性リスクと修正方法を、影響を受ける可能性のある製品ユーザーに告知し、必要な技術サポートを提供しなければならない。

工業情報化部のネットワークセキュリティ脅威・脆弱性情報共有プラットフォームは並行して、国家ネットワーク情報セキュリティ通報センター、国家コンピュータネットワーク緊急対応技術処理コーディネーションセンター(訳注:二つまとめてCNCERT/CCのこと)に関連する脆弱性情報を報告する。

ネットワーク製品提供者はネットワーク製品のセキュリティ脆弱性報告奨励制度を構築し、ネットワーク製品のセキュリティ脆弱性を発見ならびに報告した組織または個人に報奨を与えることが奨励される。

第八条 ネットワーク運営者はそのネットワーク、情報システムとその設備にセキュリティ脆弱性が存在することを発見した後、ただちに措置を講じ、すみやかにセキュリティ脆弱性に対する検証と修正を完了させなければならない。

第九条 ネットワーク製品のセキュリティ脆弱性の発見、収集に従事する組織または個人は、ネットワーク上のプラットフォーム、メディア、会議、競技大会などの方法で、社会に対してネットワーク製品のセキュリティ脆弱性情報を公開する場合、必要、真実、客観性およびネットワークセキュリティリスク防止の原則を遵守するとともに、以下の規定を守らなければならない。

(一)ネットワーク製品提供者がネットワーク製品のセキュリティ脆弱性修正措置を提供する前に、脆弱性情報を公表してはならない。提供前に脆弱性を公表する必要があると認識した場合は、関連するネットワーク製品提供者と共同で評価と協議を行うとともに、工業情報化部、公安部に報告し、工業情報化部、公安部が組織的に評価を行った後に公表しなければならない。

(二)ネットワーク運営者は利用するネットワーク、情報システムとその設備に存在するセキュリティ脆弱性の詳細な状況を公表してはならない。

(三)ネットワーク製品のセキュリティ脆弱性の危害とリスクを故意に誇張してはならず、ネットワーク製品のセキュリティ脆弱性情報を利用して悪意のデマの拡散、詐欺、脅迫など違法な犯罪活動を行ってはならない。

(四)ネットワーク製品のセキュリティ脆弱性を利用してネットワークセキュリティに危害をおよぼす活動専用のプログラムとツールを公表してはならない。

(五)ネットワーク製品のセキュリティ脆弱性を公表する際は、同時に修正または防護措置を発表しなければならない。

(六)国家が重要な活動を行っている期間は、公安部の同意を経ずして、ネットワーク製品のセキュリティ脆弱性情報を勝手に公表してはならない。

(七)未公開のネットワーク製品のセキュリティ脆弱性情報をネットワーク製品提供者以外の国外の組織または個人に提供してはならない。

(八)法律法規その他関連する規定

第十条 いかなる組織または個人もネットワーク製品のセキュリティ脆弱性情報収集プラットフォームを構築する場合は、工業情報化部に申請しなければならない。工業情報化部はすみやかに公安部、サイバースペース管理局に関連する脆弱性情報収集プラットフォームを報告するとともに、申請を通過した脆弱性情報収集プラットフォームを公開する。

ネットワーク製品のセキュリティ脆弱性を発見した組織または個人は、工業情報化部のネットワークセキュリティ脅威・脆弱性情報共有プラットフォーム、国家ネットワーク情報セキュリティ通報センター、国家コンピュータネットワーク緊急対応技術処理コーディネーションセンター、中国情報セキュリティ評価センター脆弱性データベース(訳注:CNVデータベースのこと)にネットワークセキュリティ脅威と脆弱性情報を報告することが奨励される。

第十一条 ネットワーク製品のセキュリティ脆弱性発見、収集に従事する組織は内部管理を強化し、ネットワーク製品のセキュリティ脆弱性情報の漏えいと規則に反した公表を防止する措置をとらなければならない。

第十二条 ネットワーク製品提供者が本規定に基づくネットワーク製品のセキュリティ脆弱性の修正または報告措置をとらない場合、工業情報化部、公安部が各自の職責と法に基づいて処分を行う。「中国サイバーセキュリティ法」第六十条の規定する状況を構成する場合、同規定に基づき処罰する。

十三条 ネットワーク運営者が本規定に基づくネットワーク製品のセキュリティ脆弱性の修正または防止措置をとらない場合、関連する主管部門が法に基づいて処分する。「中国サイバーセキュリティ法」第五十九条の規定する状況を構成する場合、同規定に基づき処罰する。

第十四条 本規定に違反してネットワーク製品のセキュリティ脆弱性情報を収集、公表した場合、工業情報化部、公安部は各自の職責と法に基づいて処分を行う。「中国サイバーセキュリティ法」第六十二条の規定する状況を構成する場合、同規定に基づき処罰する。

第十五条 ネットワーク製品のセキュリティ脆弱性を利用してネットワークセキュリティに危害を加える活動に従事した場合、または他者がネットワーク製品のセキュリティ脆弱性を利用してネットワークセキュリティに危害を加える活動に従事するために技術支援を提供した場合、公安機関が法に基づいて処分する。「中国サイバーセキュリティ法」第六十三条の規定する状況を構成する場合、同規定に基づき処罰する。犯罪を構成する場合、法に基づいて刑事責任を追及する。

第十六条 本規定は2021年9月1日より施行する。

以上、試訳でした。

中国のこととなると国家安全保障上の枠組みでしか考えられなくなるのは、中国の脅威を適切に把握する妨げにしかならない。