中国政府の脆弱性報告 Web サイトは4つの分野に対応する

Beijing launches websites for reporting cybersecurity vulnerabilities in systems, apps and smart cars

2021/09/01 SCMP — この水曜日に中国政府は、ネットワーク/アプリ/産業用制御システム/スマートカーなどの脆弱性を報告させるための、4つの Web サイトを立ち上げた。それにより、北京政府がインターネットのセキュリティを、さらに重視するようになってきたことが示される。

これらの Web サイトは、正式には Cyberspace Security and Vulnerability Professional Databases と呼ばれ、脅威アクターたちに悪用される可能性のある、国内のモバイル・アプリ/コネクテッド・カー/オートメーション・システムおよび、一般的なインターネット製品のセキュリティ・ホールに関する最新情報を、北京へ向けてリアルタイムで提供させることを目的としている。

この4つのサイトは、Ministry of Industry and Information Technology (MIIT) より開設され、国家機関により運営される。1つのデータベースでは、コンピューター/通信機器/人工知能/ブロックチェーンなどの製品に潜在する、脆弱性の報告を受け付けている。もう1つは、産業分野に関連するものであり、素材/電子機器/防衛/エネルギー/輸送/民間原子力施設などの幅広い問題を扱う。また、このデータベースを運営している国家支援機関 China Industrial Control Systems Cyber Emergency Response Team (CICS-CERT) は、ソリューション策定を支援していく。

その一方で、アプリの脆弱性データベースは、政府組織の傘下である China Software Testing Centre と China Centre for Information Industry Development が運営する。また、コネクテッド・カーの潜在的な脆弱性を報告するためのプラットフォームは、天津の国有企業である China Automotive Technology & Research Centre が運営する。

対象者は、主にアプリ開発者などの業界関係者となるが、一般ユーザーも登録すれば、4つのプラットフォームで報告することは可能だ。この4つのプラットフォームは、水曜日に Ministry of Industry and Information Technology (MIIT) および、Cyberspace Administration of China (CAC)、Ministry of Public Security が発効した、新しい規則に基づくものとなる。この規則では、オンライン事業者にはバグを修正する義務があり、また、無関係の外国組織などに抜け道を教えてはならないと規定されている。これは、中国のサイバー・セキュリティ法を執行するための、詳細なガイドラインを提供するものだ。

2017年6月に施行された同法は、インターネットにおけるプロダクト/サービスの提供者がシステムの脆弱性を、ユーザーや関連規制当局に報告する方法を規定している。この新しい報告データベースは、ハイテク企業におけるデータの取り扱いについて、北京政府が監視を強化していることを受けたものだ。2021年11月に施行される個人情報保護法と、水曜日に施行されたデータ・セキュリティ法は、中国国内のデータ・サービス・プロバイダーに対して、より厳しい法的要件を課すことになる。先月に北京政府は、サイバー・セキュリティ法に含まれているが、具体的な指針のない「重要情報インフラ」を定義する新規則を可決した。それにより、重要と思われるデータの安全性を確保し、企業による個人データの収集/使用に関する制限を設けた。

中国における法体系は、Cybersecurity Law / Data Security Law (DSL) / Personal Information Protection Law (PIPL) となりますが、DSL は米国の Clarifying Lawful Overseas Use of Data Act への対応であり、PIPL は欧州の GDPR 基準に追いつくための対応という、見方がされているようです。また、先日の「中国企業トップの発言:共産党によるデータの把握は必要不可欠」にあるように、世論形成も並行して進めていますね。一連の動きは、以下のリストから追えると思います。

8月18日:中国政府が推進する新たなルールと重要情報インフラの保護
7月17日:中国政府が義務化するゼロデイ脆弱性情報の報告とは?
7月11日:中国のビッグテックが直面する新たなデータ保護法とは?
6月16日:中国とロシアの選択肢:戦略と軍事の関係を強化して G7 と NATO に対峙
6月10日:中国の新しい Data Security Law により国外へのデータ転送は禁止される

%d bloggers like this: