中国におけるセキュリティ脆弱性情報の取扱い規制('21年9月施行)
2022/01/05   情報セキュリティ, 中国法

 

GBL研究所理事・CIPP/E　浅井敏雄^[1]

2021年12月, 世界中のソフトウェア製品・サービスに組み込まれているオープンソースソフトウェア(OSS)ツールLog4jに, ハッカーが遠隔でコンピューターを乗っ取ることができる重大なセキュリティ上の脆弱性があることが公になり[2], 以来, 世界中の企業が自社の状況調査・対処に取組んでいます。この脆弱性は中国Alibaba のグループ内企業Alibaba Cloudが最初に発見したものですが, おそらく中国当局への報告が遅れたことにより, 同社は制裁的措置(セキュリティ情報共有への参加資格停止)を受けています。

これに関連し, 中国では, 「ネットワーク製品セキュリティ脆弱性管理規定」(网络产品安全漏洞管理规定)[3](以下「本規定」)が2021年9月1日施行され, ネットワーク製品のセキュリティ上の脆弱性の発見・報告・修復・公表が同法により規制されることになりました。

上記のAlibaba Cloudへの制裁的措置が本規定に基づくものか否かは不明ですが, 本規定は中国当局によるセキュリティ脆弱性情報の管理・規制姿勢を示したものであり, 中国ビジネスを行う日本企業・その中国関連会社等にも大いに関係します。そこで, 本稿では, Alibaba Cloud によるLog4Shell脆弱性報告の概要と, 本規定の概要を紹介します。

なお, 以下において, (　)内の数字は条文番号, [  ]内の内容は筆者による補足・追記(推測を含む)です。

【目　　次】 (各箇所をクリックすると該当箇所にジャンプします) I. Alibaba Cloud によるLog4Shell脆弱性報告 II. 本規定の概要 1. 法目的・根拠法(1条) 2. 法の適用範囲(2条) 3. 監督機関(3条) 4. 脆弱性情報の不正利用等の禁止(4条) 5. 企業の脆弱性情報収集・保存義務(5条) 6. 脆弱性発見者からネットワーク製品提供者への通知の奨励(6条) 7. ネットワーク製品の提供者の脆弱性対処義務(7条) 8. ネットワーク運営者の脆弱性対処義務(8条) 9. 脆弱性の公表条件(9条) 10. 脆弱性情報収集プラットフォーム(10条) 11. 脆弱性情報漏えい等防止義務(11条) 12. 本規定違反に対する制裁(12～15条)

 

I.  Alibaba Cloud によるLog4Shell脆弱性報告

関連の報道[4]を総合すると以下のようなことであったと思われます。

2021年11月24日, 中国Alibaba グループのAlibaba CloudのセキュリティチームのChen Zhaojun氏が, 世界中のソフトウェア製品・サービスに組み込まれているオープンソースソフトウェア(OSS)ツールLog4jに, ハッカーが遠隔でコンピューターを乗っ取ることができる重大なセキュリティ上の脆弱性があることを, Log4jの維持・管理を行っているApache Software Foundation(米国に本拠を置く非営利OSS組織)(以下「ASF」)にメールで通知した。直後から, ASFにボランティアで協力するプログラマー達が, 問題が一般に知られてしまうまでに脆弱性修復用パッチを開発することを目指し作業開始。

しかし, 12月8日, ASFのチームはChen氏から再びメールを受け取り, 誰かが中国のブログで脆弱性の詳細をインターネット全体に公表したことを知らされる。

12月9日, ASFのチームが脆弱性修復用パッチを公表。ハッカー達が脆弱性を大量に利用開始。専門家は, Log4jは非常に多数の製品・サービスに存在しているため, その全てが修復されるまでには数ヶ月または数年かかる可能性があると推測。

12月9日, 中国工業情報化部(MIIT)のセキュリティ情報共有プラットフォームにセキュリティ監視機関からLog4j の脆弱性の問題が報告された。

12月22日, Alibaba Cloudが上記プラットフォームへのパートナーシップとしての参加資格を6カ月間停止される処分を受けたと報じられる。これは, Alibaba Cloud がLog4j の脆弱性をASFに11月24日に通知したものの, MIITがその脆弱性の問題を知ったのは12月9日で, しかもAlibaba Cloud以外からの報告によったことをMIITが問題視したからと推測される。

page top

II.   本規定の概要

1 .  法目的・根拠法(1条)

ネットワーク製品のセキュリティ上の脆弱性(安全漏洞)(以下単に「脆弱性」)の発見, 報告, 修復(修补), 公表(发布)を規制し, ネットワークのセキュリティ上のリスクを防止するため, 中国サイバーセキュリティ法に基づき本規定を制定する。

【解　説】

【中国サイバーセキュリティ法(CSL)】(JETRO日本語訳はこちら) 同法には, セキュリティ上の脆弱性(原文：「安全漏洞」.JETROのCSL訳では「セキュリティホール」)について, ネットワーク製品・サービスの提供者の発見時対処・ユーザへの通知・当局への報告義務(22(1)), ネットワーク運営者の緊急対応マニュアル制定義務(25), 全ての者の一般公表に係る法令遵守義務(26)等が規定されている。

【ネットワーク製品】その意味については次の2参照。

【(脆弱性の)修復(修补)】一部修正(パッチ)の適用, バージョンアップ等が含まれると思われる。

page top

2. 法の適用範囲(2条)

中国内(中华人民共和国境内)における①ネットワーク製品(网络产品)(ハードウェアおよびソフトウェアを含む)の提供者および②ネットワーク運営者並びに③ネットワーク製品のセキュリティ上の脆弱性の発見, 収集, 公表等の業務に従事(从事)する組織または個人は, 本規定を遵守しなければならない。

【解　説】

【地理的適用範囲：「中国内(中华人民共和国境内)」】香港・マカオ・台湾を除く中国本土内という意味である。

【適用対象物：「ネットワーク製品(网络产品)」】CSL上定義・限定はない。ネットワークに連結され情報セキュリティに関連し得る全ての製品を含むと思われる。本規定上, 上記の通りハードウェア製品およびソフトウェア製品を含む。CSL上は全て「ネットワーク製品およびサービス」(网络产品和服务)としてサービスとセットで登場するが, 本規定では両者の内「ネットワーク製品」の提供者だけが登場する。従って, Alibaba Cloudのようなネットワークサービスの提供者は, 本法上の「ネットワーク製品」の提供者の義務は直接的には負わないことになる(但し脆弱性発見者, ネットワーク運営者等としての義務は負う)。

【適用対象主体①：「ネットワーク製品の提供者」】上記より, ネットワークに連結され情報セキュリティに関連し得る全てのハードウェア製品およびソフトウェア製品を中国本土内において提供する者ということになる。日本から中国にネットワーク製品を輸出する日本企業が含まれるかは不明(明確な域外適用規定はない)だが, その日本企業の中国販売会社は「ネットワーク製品の提供者」に当たるであろう。

【適用対象主体②：「ネットワーク運営者」】CSL上, 「ネットワーク運営者」とは, ネットワークの所有者, ネットワークの管理者またはネットワークサービスの提供者を意味する(CSL 76(3))。インターネットを利用している一般企業もネットワークの管理者として含まれる。要するに, 日本企業の中国関連会社を含め, 中国本土内のほとんど全ての企業を意味する。

【適用対象主体③：「ネットワーク製品のセキュリティ上の脆弱性の発見, 収集, 公表等の業務に従事(从事)する組織または個人」】セキュリティ専門の営利・非営利団体の他, Alibaba Cloudのようにセキュリティ部門を有する企業を含むと思われる。「従事(从事)する」とあるが, 個人も含まれるので, 脆弱性情報の発見・収集・公表に関係する限り, 全ての者が本規定の適用を受け得ると思われる。これには, 日本企業の中国関連会社は当然含まれ得る。

page top

3.  監督機関(3条)

①CAC(Cyberspace Administration of China：国家ネットワーク情報弁公室(国家互联网信息办公室)：本規定に関する総合的な計画・部門(省庁)間の調整を担う。 — CACは, CSL, データセキュリティ法(DSL)および個人情報保護法(PIPL)を含む中国における情報・データ関連規制を統括する最高行政機関であり, 共産党の中央サイバーセキュリティ・情報化委員会の事務局を兼ねる[5]。

②工業情報化部[MIIT]：電気通信・ネットワーク産業分野(スマホアプリ等を含む)の主管官庁である。

③公安部：主に脆弱性を利用して行われる違法・犯罪行為の取り締まりを担う。

④関連管轄部門：関連産業等の分野ごとの管轄官庁。脆弱性情報のリアルタイム共有を実現するため部門(官庁)横断的な連携・協力を強化／リスクの共同評価・対処実施。

page top

4.  脆弱性情報の不正利用等の禁止(4条)

いかなる組織・個人も以下の行為をしてはならない。

①脆弱性を利用してネットワークセキュリティに危害を生じさせる行為

②脆弱性情報を不正に収集, 販売または公表すること。

③他の者が脆弱性を利用してネットワークセキュリティに危害を生じさせる行為を行っていることを知りながら, 技術的支援, 広告宣伝, 代金決済等の支援を行うこと。

page top

5.  企業の脆弱性情報収集・保存義務(5条)

ネットワーク製品の提供者, ネットワーク運営者および脆弱性情報を収集するプラットフォーム(平台)[の運営者]は, 以下の義務を負う。

①脆弱性情報を収集するルートを確立・維持・開放(オープンに)しておくこと。

②収集した脆弱性情報を収集後少なくとも6ヶ月以上保存すること。

【解　説】

【脆弱性情報を収集するプラットフォーム(平台)[の運営者]】政府管掌のプラットフォーム(後記7参照)以外の, 民間の脆弱性情報収集・共有組織と思われる。

【脆弱性情報収集ルート確立・同情報保存義務の主体】「ネットワーク運営者」が含まれるから, 日本企業の中国関連会社を含め, 一般の会社もほぼ全て上記①(脆弱性情報を収集・管理・対処・保存する部門および外部からの情報提供受付窓口・手段の構築・維持)および②(収集脆弱性情報の保存)を実施しなければならない。

page top

6.  脆弱性発見者からネットワーク製品提供者への通知の奨励(6条)

ネットワーク製品に脆弱性があることを発見した者(組織・個人)は, その旨当該ネットワーク製品の提供者に知らせることが奨励される。

page top

7.  ネットワーク製品の提供者の脆弱性対処義務(7条)

ネットワーク製品の提供者は, その製品に脆弱性がある場合, 以下の義務を履行し, 当該脆弱性が適時に修復され, 合理的な時期・方法で公表されるようにし, かつ, ユーザが予防措置を講じられるうように指導・支援しなければならない。

(1) 脆弱性を自ら発見しまたは他から知らされた後, 直ちにその対策を講じるともに, 当該脆弱性を検証し, 当該脆弱性による被害の程度・影響の範囲を評価しなければならない。

また, その脆弱性が[当該製品の]川上(上游)製品・部品[当該ネットワーク製品の部品等]の脆弱性に起因する場合は, 直ちにその部品等の提供者に通知しなければならない。

(2) 当該脆弱性情報を, 2日以内に「工業情報化部ネットワークセキュリティ脅威・脆弱性情報共有プラットフォーム」(「工业和信息化部网络安全威胁和漏洞信息共享平台)」(以下「MIITプラットフォーム」)に報告しなければならない。

その報告内容には, 当該脆弱性が存在する製品の名称・型番・バージョンの他, 脆弱性の技術的特性・危険性・影響範囲を含めなければならない。

(3) 当該製品のユーザ(川下(下游)製品[最終製品等]のメーカを含む)が, ソフトウェア, ファームウェア等の更新等を行う必要がある場合には, 影響を受ける可能性のあるユーザに対し, 脆弱性のリスクおよび修復方法を速やかに伝え, 必要な技術サポートを提供しなければならない。

MIITプラットフォームは, 当該脆弱性情報を以下に通知しその保有情報を同期させなければならない。

①国家ネットワーク・情報セキュリティ情報通報センター(国家网络与信息安全信息通报中心)

②国家コンピュータネットワーク緊急対処技術対処調整センター(国家计算机网络应急技术处理协调中心)

(以下上記をまとめて「政府管掌三プラットフォーム」という)

ネットワーク製品の提供者は, 自社製品の脆弱性を通知した組織・個人に対する報奨制度を構築することが奨励される。

page top

8.  ネットワーク運営者の脆弱性対処義務(8条)

ネットワーク運営者は, 自己のネットワーク, 情報システムまたは設備に脆弱性があることを自ら発見しまたは知らされた場合, 速やかに脆弱性の検証を行い修復措置を講じなければならない。

page top

9.  脆弱性の公表条件(9条)

ネットワーク製品の脆弱性の発見・収集に従事する組織または個人は, オンラインプラットフォーム, メディア, 会議, [情報セキュリティ]コンテスト等を通じ, 脆弱性情報を一般に公表しようとする場合, その必要性・真実性・客観性およびネットワークセキュリティリスク防止に役立てるという原則を遵守するとともに, 以下の条件に従わなければならない。

(1) ネットワーク製品の提供者が脆弱性修復措置を提供する前に脆弱性情報を公表してはならない。

脆弱性修復措置が提供される前に公表する必要があると判断した場合でも, 事前に, 当該ネットワーク製品の提供者と共同で評価・協議を行い, 工業情報化部および公安部に報告しなければならず, この場合, 両部が当該脆弱性情報を評価の上公表する。(＊)

(2) ネットワーク運営者が使用中のネットワーク, 情報システム, 機器のセキュリティ上の脆弱性の「詳細」は, これを公表してはならない。

(3) 脆弱性の脅威・リスクを意図的に誇張し, またはこれに関する情報を利用して悪意のある憶測・扇動をしまたは詐欺・恐喝等の違法・犯罪行為をしてはならない。

(4) 脆弱性を悪用するために特別に設計された[攻撃用]プログラムまたはツールを公表または利用可能にしてはならない。

(5) 脆弱性の公表と修復・予防措置の公表が同時になるようにしなければならない。

(6) 国が行う重要活動[国家行事等]の実施期間中は, 公安部の同意なく脆弱性情報を公表してはならない。

(7) 未公表の脆弱性情報をネットワーク製品の提供者以外の中国国外の組織・個人に提供してはならない。

(8) その他関連する法令の規定[に従わなければならない]

【解　説】

上記より, 具体的ケースを想定すると次のようになると思われる。

脆弱性を発見した者は, 先ず, それを該当のネットワーク製品の提供者に通知し(前記6), 当該ネットワーク製品の提供者が修復措置を開発・提供できるようにし(前記7), 脆弱性情報の公表とその修復・予防措置の公表が同時になるようにしなければならない(上記(1),(5))。また, 脆弱性発見者は, そのように公表される前に脆弱性情報が漏えい等しないようにしなければならず(後記11)[Alibaba Cloudはこれに違反した可能性がある], 脆弱性を誇張してはならず(上記(3)), ネットワーク製品の提供者以外の外国の組織・個人に未公表の脆弱性情報を提供してはならない(上記(7))。

国家行事等の期間中は, 公安部の同意がない限り[修復措置開発済みでも]脆弱性情報の公表は禁止される(上記(6))。

正規公表する場合でも[特にハッカー等に悪用される可能性のある]詳細情報は含めてはならない(上記(2))。

— 上記によれば, 日本企業の中国関連会社がその使用中のネットワーク等に脆弱性があることを発見した場合, 条文上は, 上記の手順でそれが正規に公表されるまではその日本企業にも報告できないことになるがその合理性は疑問である(脆弱性への対処のためという理由付けができれば条理上許されるとの解釈はあるかもしれないが)。

— 上記(＊)に関しては, 例えば, 脆弱性修復措置開発に時間を要するかまたは開発が困難・不能である一方, ハッカー等が既に悪用を開始しているような状況では, 一刻も早く公表してそのネットワーク製品の利用自体の中止を呼び掛ける必要がある状況もあり得ると思われる。しかし, 上記(＊)によれば, この場合, 先ず最初に工業情報化部と公安部に報告し脆弱性情報の公表を両部の判断に委ねなければならないが, 公安部は, CSLの下位法令である「公安機関インターネット安全監督検査規定」に基づきネットワーク運営者に対し遠隔検査(システム侵入テスト等)を行う権限を有している[6]ところ, そのために脆弱性情報が利用されないかが懸念される。

page top

10.  脆弱性情報収集プラットフォーム(10条)

いかなる者(組織・個人)も, 脆弱性情報を収集するプラットフォームを構築する場合, その旨工業情報化部に届け出なければならない。 工業情報化部は, その届出の事実を公安部およびCACに通知するとともにこれを公示する。

脆弱性を発見した者(組織・個人)は, その脆弱性情報を前記「政府管掌三プラットフォーム」および「中国情報セキュリティ評価センター」脆弱性データベースに報告することが奨励される。

page top

11.  脆弱性情報漏えい等防止義務(11条)

ネットワーク製品のセキュリティ上の脆弱性の発見・収集に従事する組織は, その内部管理を強化し, 脆弱性情報の漏洩・不正公表を防止するための措置を講じなければならない。

page top

12.  本規定違反に対する制裁(12～15条)

①ネットワーク製品の提供者が本規定に従い脆弱性の修復・報告を行わない場合：工業情報化部・公安部が対処。CSL 60条に該当する場合同条に基づき処罰。(12)。

②ネットワーク運営者が本規定に従い基づき脆弱性の修復・防止措置を講じない場合：各分野の管轄部門(官庁)が対処。CSL 59条[ネットワーク安全保護義務違反]に該当する場合同条に基づき処罰。(13)

③[いかなる者も]本規定に違反して脆弱性情報を収集・公表した場合：工業情報化部・公安部が対処。CSL 62条に該当する場合同条に基づき処罰。(14)

④[いかなる者も]脆弱性を悪用・その技術的支援等をした場合：公安機関が対処。CSL 63条に該当する場合同条に基づき処罰。犯罪に該当する場合は刑事責任追及。(15)

page top

以　上

【注】

 

[1] 【本稿の筆者】 一般社団法人GBL研究所理事／IAPP CIPP/E (Certified Information Privacy Professional/Europe)／UniLaw企業法務研究所代表 浅井敏雄(Facebook)

[2] 【Log4j 脆弱性】(日本での報道例)(1)高槻芳「Javaライブラリーに深刻な脆弱性　様々なアプリ影響」2021年12月14日, 日本経済新聞. (2)大森 敏行 『インターネットが崩壊？システム管理者を絶望させる最凶の脆弱性「Log4Shell」の正体』2021.12.16, 日経クロステック

[3] 【「ネットワーク製品セキュリティ脆弱性管理規定」(网络产品安全漏洞管理规定)】 (参考) 英訳：China Law Translate “Provisions on the Management of Network Product Security Vulnerabilities”

[4] 【Alibaba Cloud によるLog4j 脆弱性発見とMIITの処分】 (1)William Turton, Jack Gillum, and Jordan Robertson "Inside the Race to Fix a Potentially Disastrous Software Flaw" December 13, 2021, Bloomberg L.P. (2) Qi Xijia "Alibaba Cloud suspended from security platform for failing to report software glitch" Dec 22, 2021, Global Times

[5] 【CAC】百度百科「一个机构两块牌子」では「一个机构两块牌子」(国家の組織としての名称と共産党の組織としての名称を有する同一組織)の一例として挙げられている。

[6] 【「公安機関インターネット安全監督検査規定」に基づく監督検査】 (参考) 浅井敏雄『中国の国家安全保障と「中国サイバーキュリティー法」の執行規定 ～「公安機関インターネットセキュリティー監督検査規定」の概要～』企業法務ナビ, 2020/09/24