>
Insiktレポート

中国のサイバーセキュリティ法により、国家安全部は外国のテクノロジーに対して前例のない新たな権限を付与

投稿: 2017年8月31日
作成者 : Insikt Group

insikt-group-logo-alt.png

この記事では、中国の新しいサイバーセキュリティ法(CSL)の国家安全保障審査部分を支援するために起用された中国の情報セキュリティ組織について詳細な分析を行い、国家安全部が運営するオフィスの役割が拡大したことを明らかにします。

Executive Summary

2017年6月1日、長年にわたる国内外の議論の末、中国の 国家サイバーセキュリティ法 がついに施行されました。 法律の多くは中国のユーザーのデータの保護に焦点を当てていましたが、法律の評価では、外国の企業や技術に対する 潜在的な悪影響 と、面倒で曖昧で広範な新しい法的要件を遵守することの難しさが強調されていました。

Recorded Futureの調査は、サイバーセキュリティ法が中国の主要な対外情報機関である国家安全部(MSS)の事務所である 中国情報技術評価センター(CNITSEC)に与える広範な権限に焦点を当てています。 この法律は、CNITSECを含む「ネットワーク情報部門」に、外国企業が中国市場で使用または販売したい技術の「国家安全保障レビュー」(第35条を参照)を実施する権限を与えている。

MSSがCNITSECを通じて中国の情報セキュリティアーキテクチャに統合されることで、(1)中国が自国の諜報活動で悪用できる外国技術の脆弱性を特定できる可能性があり、(2)外国企業が自社の独自技術または知的財産をMSSに提供し、中国本土の情報技術市場から排除されるかという不可能な選択を生み出すことになる。 これは2018年に2,420億ドルに達すると予測されています。

china-cybersecurity-law-2a.jpg

背景

2017年5月のブログ記事では、脅威アクターグループAPT3を中国のMSSに帰属させ、MSSが実際に運営している中国の情報セキュリティ組織であるCNITSEC(この記事では「センター」とも呼んでいます)も特定しました。

china-cybersecurity-law-1.png

『China and Cybersecurity: Espionage, Strategy, and Politics in the Digital Domain』に掲載された 学術研究 によると、CNITSECはMSSによって運営されており、諜報機関の技術的なサイバー専門知識の多くを収容している。 CNITSECは、MSSが「脆弱性テストとソフトウェア信頼性評価を実施する」ために使用します。 2009年の米国国務省の公電によると、中国はCNITSECの活動から派生した脆弱性を諜報活動にも利用する可能性があると考えられている。CNITSECの元所長で現党書記のWu Shizhong氏は、2016年1月には中国の国家情報セキュリティ基準委員会の副委員長として働いていたことを含め、自らをMSSと名乗っています。

解析

新しい情報技術規制制度におけるCNITSECの役割は、中国政府がCSLを支援する規制を最終化し、公表し始めた最後の数か月で明らかになりました。

サイバーセキュリティ法は広範で、言葉遣いは曖昧です

CNITSECの役割を掘り下げる前に、まずCSLの関連セクションと外国企業が負う可能性のある義務を確認することが重要です(優れた英語の翻訳については、 China Law Translateを参照してください)。 CSLと2015年国家安全維持法には、中国当局が国家安全保障のレビュー、政府当局とのデータ共有、さらには専有技術や知的財産の検査を強制するために発動する可能性のある曖昧な文言が含まれているため、企業はその不正確さと幅広さに注意することが重要です。

2016年11月に可決されたとき、この法律の最も定義が不十分なセクションの1つは「第3章:ネットワーク運用のセキュリティ」でした。 第3章には、「ネットワークオペレータ」の「ネットワークセキュリティ保護」の責任と、「重要な情報インフラストラクチャ」を運用する企業に対する追加の法的責任を定義する18の記事が含まれています。

上記の3つの用語のうち、法律自体で定義されたのは1つだけでした。 CSL は、「ネットワーク運用者」とは、「ネットワークの所有者、管理者、およびネットワーク サービス プロバイダ」であると規定しています。 KPMGの法律分析によると、

ネットワークを通じてサービスを提供し、事業活動を行う企業や機関は、「ネットワークオペレーター」と定義されることもあります。 従来の通信事業者やインターネット企業に加えて、ネットワーク事業者には次のようなものも含まれます。
  • 銀行、保険会社、証券会社、財団など、市民の個人情報を収集し、オンラインサービスを提供する金融機関。
  • サイバーセキュリティ製品およびサービスのプロバイダー。
  • Web サイトを持ち、ネットワーク サービスを提供する企業。

これは、この用語の非常に広範な解釈であるため、中国でインターネットを使用したり、ユーザーデータを収集したりするあらゆるビジネスを包含する可能性があります。 さらに、「ネットワーク事業者」に分類される企業は、大量のユーザーデータを海外に転送することを希望する場合、政府の規制当局による審査の対象となります(第37条を参照)。

CSL第28条によれば、「ネットワーク事業者」は、公的および国家の治安機関に対して「国家の安全を維持し、犯罪を調査する」ための支援を提供する義務もある。 これにより、企業は、西側諸国では犯罪と見なされないユーザーや活動、特に「インターネット関連の犯罪」に関する情報を中国の法執行機関や国家安全保障機関に提供しなければならない立場に置かれる可能性があります。 これらの「インターネット関連の犯罪」には、インターネットを使用して「事実を捏造または歪曲する、噂を広める、社会秩序を乱す」、「他人を侮辱または中傷する」、「有害な情報」を広めるなどが含まれます。 「ネットワーク事業者」の一部は、法律によって「重要な情報インフラストラクチャ」を運用していると分類され、さらに厳しい規制や見直しの対象となります。 CSLのテキストでは、「重要な情報インフラストラクチャ」を次のように分類しています。

公共通信および情報サービス、電力、交通、水、金融、公共サービス、電子政府(e-gov)、およびその他の重要な情報インフラストラクチャは、破壊、機能の損失、またはデータの漏洩により、国家安全保障、国民経済、国民生活、または公共の利益を深刻に危険にさらす可能性があります。

中国国家の「国家安全」の定義は、2015年7月の「国家安全維持法」で次のように正式に規定されました。

国家の統治権、主権、統一と領土の一体性、人々の福祉、持続可能な経済社会開発、その他の主要な国益、および継続的な安全状態を確保する能力に対する国際的または国内的な脅威が相対的に存在しないこと。

この分野の企業、および彼らが購入した製品やサービスは、政府が「コンピュータプログラムのソースコードを要求する」ことや「企業の知的財産を掘り下げる」ことを可能にする「国家安全保障レビュー」の対象にもなると フィナンシャル・タイムズ紙は報じ ています。 また、記事は「ファーストフードの配達会社でさえ重要なインフラと見なすことができる、上海の規制当局は法律の試験運用中に裁定した」と述べているが、これはおそらく彼らが何百万人もの中国人ユーザーの個人情報を所有しているからだろう。

CLSにおけるCNITSECの役割は、MSS収集の機会を提供しますAPT3とMSSに関するブログで概説し、上記でも詳述したように、CNITSECはMSSとの関係を公式に認めたことはありませんが、中国の国家、党、政府機関にサービスを提供し、CSLの下でレビューを実施するというセンターの使命は十分に文書化されています。

  • CNITSECのウェブサイトでは、センターは中央政府から与えられた広範な権限を持ち、党および政府の情報ネットワークのセキュリティ脆弱性評価とリスク評価を実施すると説明されています。情報技術、製品、およびシステムのセキュリティテスト。「ファーストクラス」の脆弱性分析リソースと機器を誇っています。専門の研究開発技術研究所。
  • 2017年6月、中国語の新聞「南方都市」のインタビューで、CNITSECのチーフエンジニアである王俊(Wang Jun)氏は、CNITSECがCSLの下で国家安全保障レビューを実施するために中国政府によって認定されたことを確認した。 王氏はさらに、レビューは関連する国家部門、国内産業、またはユーザーと一般市民を含む市場によって開始される可能性があると説明した。
  • 同月後半の会議で、王氏は同じトピックに関する基調講演を行い、国家安全保障の見直しと外国の商業投資、技術、製品、サービスの監督に関する法的要件を確立した2015年国家安全維持法第 59条 との間に明確な関連性を持たせた。中国の第13次5カ年計画の下で義務付けられたセキュリティレビュー。CSLの下で義務付けられている国家安全保障レビュー。

王外相(下の写真)は、この演説で、CSLの国家安全保障レビューは、国家安全保障、安全保障リスク、安全保障の信頼性、制御、安全保障メカニズム、および技術的透明性に対する可能性のある影響に焦点を当てることを強調した。 彼は、レビューは表面上は客観的で独立した専門の「第三者」によって行われると主張し続けたが、MSS内の事務所であるCNITSECが認定国家安全保障審査員として浮上したことで、同じく認定された他の組織に疑問を投げかけることになった。

china-cybersecurity-law-3.png

CNITSECは、国家の情報セキュリティ評価センターである China National Vulnerability Database of Information Security (CNNVD)も運営しており、国家情報セキュリティ脆弱性データ管理プラットフォームの構築、運用、保守を担当しています。

china-cybersecurity-law-4.png

明らかに、CNNVD は、米国国土安全保障省 (DHS) 内の部門によって運営され、ソフトウェアの脆弱性の公開、報告、およびパッチの作成を任務とする米国政府の 国立標準技術研究所 (NIST) NVD などの他の National Vulnerability Databases (NVD) と同様に動作します。 中国には正確なDHSに相当するものはありませんが、公安部(MPS)の任務と範囲は最も類似しており、中国のDHSの対応物と広く考えられています。 MSSの最も類似した米国のカウンターパートは、中央情報局(CIA)です。ただし、MSSは中国国内で情報を収集する権限も与えられており、一部の機能は連邦捜査局(FBI)に似ています。 比較のために、CNNVD を実行する MSS は、NIST NVD を実行する CIA とほぼ同等になります。

CNITSECとCNNVDを運営するMSSの根本的な問題、そしてより広義には、中国の情報セキュリティ組織インフラにおけるMSSの役割は、MSSが中国の「主要な民間情報機関」であり、対外諜報活動と防諜活動の両方を担当していることである。 「China's Security State: Philosophy, Evolution, and Politics」によると、MSSは「国家安全保障に関連する民間情報の収集と評価、および外国に対する対スパイ活動の実施を担当している」という。

これは、MSSが中国のサイバーセキュリティ法の広範な文言と新しい権限を使用して、外国の技術の脆弱性にアクセスし、それを自国の諜報活動で悪用できる可能性があることを意味します。 MSSには、脆弱性がCNNVDを介して報告される声があります。また、ソフトウェアやハードウェアの重大な弱点を簡単に特定して公衆から隠し、それを自分たちの業務に利用することもできました。

MSSがCNNVDを実行する方法と、CIAまたはNSAがNIST NVDシステムと対話する方法には、2つの決定的な違いがあります。 まず、ETERNAL シリーズの NSA ツールによって悪用された脆弱性は、ShadowBrokers グループに買収される前に Microsoft や NIST NVD によって特定されていなかったことが 広く文書化 されていますが、NSA は NIST NVD に登録されておらず、データベースからこれらの脆弱性を積極的に検閲していませんでした。 MSS は (CNITSEC を介して) CNNVD を実行し、一般に報告される脆弱性を抑制または制御することを選択できます。

第二に、MSSはCNNVDが実施した研究を活用して、その運営を支援することができる。 NSAやCIAなどの米国の諜報機関は、独自の調査に基づいて脆弱性を特定しており、NIST NVDの非公開研究を活用することは許可されていません。

インパクト

CSLの定義の曖昧さと不透明性は、多くの外国企業、特に「重要な情報インフラストラクチャ」の一部と見なされている企業が、独自の技術/知的財産をMSSに提供するか、中国本土市場から排除されるかという厳しい選択を迫られることを意味します。 彼らの技術がMSSによるセキュリティレビューを受けることを許可すれば、現在の顧客やユーザーが中国の国家支援型サイバー攻撃のリスクを高めるという二次的な影響が生じる可能性があります。

中国でビジネスを行おうとしている外国企業、特に「重要情報インフラ」分野の企業は、中国での事業運営について、これまで考えられなかった多くの技術的、法的、倫理的な決定に直面しています。 これらの決定は、幅広い業界の企業の戦術的および戦略的な計画と運営の両方に影響を与えます。

まず、MSSが独自の製品やサービスの脆弱性を発見し、運用できるという知識を持つ企業は、次の3つのリスクシナリオを評価する必要があります。

  • 企業自身のマシンまたはネットワークに対するリスク。
  • 企業の製品またはサービスに対するリスク。
  • 世界中の顧客、クライアント、またはユーザーに対する派生リスク。

中国で利用されているほとんどの製品とサービスは、世界中の製品と完全に異なるわけではないため、MSSによって発見された脆弱性が、これらのマシン、ネットワーク、製品、およびサービスの国際的なユーザーを悪用するために利用されるリスクが高まります。 この大まかに定義された「重要な情報インフラストラクチャ」セクターの企業は、最大のリスクにさらされています。 これらには、ソフトウェアおよびハードウェアのベンダーが含まれる可能性があります。SaaS(Software as a Service)、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)企業。クラウド、セキュリティ、およびネットワークプロバイダー。などなど。

第2に、中国当局に協力して国内調査のテーマに関する情報を提供することで、企業はヨーロッパや北米で世論の批判や訴訟、そして複数の政府レベルからの非難にさらされる可能性がある。 2007年、ヤフーは、反体制派ジャーナリストの投獄に関連する情報を中国当局に 提供 した後、超党派の議会公聴会の照準に照準を合わせていることに気づきました。 同社のCEOと一般評議会は、下院外交委員会の委員長から「道徳的なピグミー」で「無責任」の烙印を押され、事件以来、公民権団体からその評判を守ることを余儀なくされている。 ヤフーは、中国政府との協力から生じた私的訴訟の 和解 を余儀なくされた。 今後、さらに多くの企業が、中国の規制の遵守と欧米のビジネス倫理の遵守との間で目立った変化を強いられ、将来同様の困難を回避することを余儀なくされるでしょう。

編集者注

これは、法律上の助言や助言に代わるものではありません。 中国のサイバーセキュリティ法に関するその他の懸念事項については、必ず現地の法律顧問にご相談ください。

関連