中国政府が義務化するゼロデイ脆弱性情報の報告とは?

China’s New Law Requires Vendors to Report Zero-Day Bugs to Government

2021/07/17 TheHackerNews — 中国の Cyberspace Administration of China (CAC) は、脆弱性開示に関する厳格な規則を新たに発布し、重大な欠陥の影響を受けたソフトウェア/ネットワークのベンダーは、政府当局に対して2日以内にダイレクトに開示することを義務付けた。この Regulations on the Management of Network Product Security Vulnerability 規則は、2021年9月1日から施行される予定であり、セキュリティ脆弱性の発見/報告/修復/公開を標準化し、セキュリティ・リスクを低減することを目的としている。

同規則の第4条では、「いかなる組織または個人も、ネットワーク製品のセキュリティ上の脆弱性を利用して、ネットワーク・セキュリティを危険にさらす活動を行ってはならず、また、ネットワーク製品のセキュリティ上の脆弱性に関する情報を、不正に収集/販売/公開してはならない」と規定されている。また、これまで知られていなかったセキュリティ上の弱点を販売することを禁止するとともに、製品メーカー以外の「海外の組織または個人」に対して、脆弱性を公開することを禁止し、公開と同時に修復策や予防策を発表することを明記している。

また、「ネットワーク製品のセキュリティ脆弱性の被害やリスクを意図的に誇張してはならず、また、悪意の推測や詐欺/恐喝などの違法/犯罪行為に、ネットワーク製品のセキュリティ脆弱性情報を利用してはならない」と第9条第3項に規定されている。さらに、脆弱性を悪用してネットワークをセキュリティ上のリスクにさらす、プログラムやツールの公開も禁止している。

ひとことで言って、とても中国的な政策です。すべての脆弱性情報は、原則として、政府により管理されるというふうに読めます。先日にも、「中国のビッグテックが直面する新たなデータ保護法とは?」という記事をアップしましたが、これまで順調に成長してきた中国のソフトウェア産業は、大きな曲がり角に差し掛かっているようです。それと、GitHub などを見ていると、中国語での説明がメインとなっている、OSS がたくさんありますが、アレなんか、いったいどうなるのでしょうか? 中には、脆弱性を公表しているプロジェクトもあるので、とても心配です。

%d bloggers like this: