中国の新たなサイバーセキュリティ対策により、国家警察が企業のシステムにリモートアクセス可能に
Recorded FutureのInsikt Groupは、中国公安部が発行した新しいサイバーセキュリティ規定を分析しました。 このレポートは、中国国内でビジネスを行う企業にとって最も興味深いものとなるでしょう。
Executive Summary
2017年8月、Recorded Futureは、 中国のサイバーセキュリティ法が国際企業に与えるセキュリティとリスクへの影響を分析し、同法が中国の国家安全部(MSS)に新たな権限を与えたと評価しました。 特に、サイバーセキュリティ法は、いくつかのセクターに「国家安全保障レビュー」を義務付けており、これにより、MSSは、中国がその後のスパイ活動で悪用する可能性のある外国技術の脆弱性を特定できる可能性があります。
2018年11月1日、中国は「公安機関によるインターネットセキュリティ監督および検査に関する規制」(公安机关互联网安全监督检查规定)と題する法律に新たな規定を公布しました。 この規制は、中国の2017年サイバーセキュリティ法の一部を明確にするために発展したものと思われ、公安部(MPS)に中国企業のコンピューターネットワークに対する広範な権限を与えています。 これには、表向きは、中国で運営されているほぼすべての企業に対して侵入テストをリモートで実施し、検査中に見つかったユーザーデータやセキュリティ対策に関連する情報をコピーする権限が含まれています。
これらの新しい規定は、脆弱性またはセキュリティ検査の範囲に制限を設けず、企業への報告を極めて最小限にすることを要求しています。 さらに、この規制では、引き続き曖昧な用語が使用されており、ネットワークセキュリティテストのための対面またはリモートの検査の範囲は制限されていません。 既存のMSS規制とMPSのこれらの新しいサイバーセキュリティ法の規定の組み合わせは、中国政府が外国企業を検閲および監視しようとする試みを支援すると評価しています。
主な判断
- 新しい規制により、公安省(MPS)は、インターネットに接続された5台以上のコンピューターを持つ企業に対して、オンサイトおよびリモートの検査を実施する権限を与えられました。 この広い定義は、中国のほぼすべての外国企業を占めています。
- 2018年11月現在、MPSはユーザー情報のコピー、オンサイト検査中のセキュリティ対応計画のログ、脆弱性のチェックを許可されています。 この情報は、国家の監視機関や治安機関が、企業の内部の仕組みや顧客を監視するために活用することができます。
- 中国人民武装警察(PAP)は、企業が遵守していることを確認するために、現地検査に立ち会います。
- MPSは、脆弱性をチェックするために企業のリモート検査を実施することもできます。 これらの新しい規制により、遠隔検査は物理的な検査よりも簡単に実施でき、時間に縛られたり、範囲が制限されたりすることはありません。 リモートインスペクションの場合、MPSはサードパーティの「サイバーセキュリティサービス機関」を関与させることができるため、脆弱性の発見とデータ漏洩の両方のリスクが高まります。
- また、これらの規制により、MPSは中国の禁止コンテンツ法を執行する権限を与えられており、ネットワークセキュリティを正当化して検閲法の遵守を監視することができます。
背景
公安部(MPS)は、 中国の主要な警察および治安当局です。 この組織は、国境警備や国民IDカードの管理など、さまざまな内部セキュリティ業務を行っていますが、さまざまな国のサイバーセキュリティ規制により、大量のデータを処理および収集することも義務付けられています。
多くの責任の中で、MPSは、国家警察の 諜報評価と監視能力を向上させる ことを目的とした、中国のグレートファイアウォールを含む一連の法的および技術的イニシアチブである 中国のゴールデンシールドプロジェクト (金盾工程)を担当しています。この取り組みの一環として、全国規模の監視カメラシステムで使用される 顔認識ソフトウェアの拡大 が、 反対者の位置を特定し、取り締まるように設計されています。
2017年現在、 中国の国家サイバーセキュリティ法 (CSL)により、MPSは、公共および内部のセキュリティに関する問題を調査するというより大きな範囲において、「サイバーセキュリティの保護、監督、管理」を担当する組織の1つに任命され、MPSは特にCSLに違反するアクターを罰する任務を負っています。
MPS が作成した CSL の新しい規定である「Public Security Organs によるインターネット セキュリティの監督および検査に関する規則」は、CSL の下でサイバーセキュリティをより適切に保護、監督、および管理するために、郡レベル以上の支部が実施する必要がある措置を規定しています。 これはサイバーセキュリティ法に基づく追加の権限であり、すでに中国の国家安全部に外国技術の国家安全保障レビューを実施する権限を与えています。 しかし、新しい規定の条項には、現在中国で事業を行っている企業を警戒させるような抜本的な措置が含まれています。
解析
2017年、 Recorded FutureはCSLの国家安全保障審査規定を分析し 、中国の国家安全保障組織に外国の技術、特に「重要な情報インフラ」を運営する企業に対して広範な権限が与えられていることを明らかにした。 新しいCSLの規制は、重要な情報インフラストラクチャには対応していませんが、ビジネス全体に焦点を当てています。
これらの2018年11月の更新により、MPS傘下の公安機関は、インターネットサービスプロバイダー(ISP)およびネットワークユニットの安全監督と検査を実施し、新規則の第2条に従って「法律および行政規則で定められたネットワークセキュリティ義務を果たしている」ことを確認することができます。 これらの規制の取り組みは、他の先進国が 制定したサイバーセキュリティ法 に似せて構成されていますが、決定的な違いは、データ保護ではなく、国家の制御を拡大することが最優先の目的であるということです。
MPSの傘下にある雲南省ネットワークセキュリティ隊によると、ネットワークユニットの定義は「固定IPを持つユニット、またはインターネットに接続された5台以上のコンピューターを持つユニット」であり、インターネットまたはインターネット関連の活動を行っています。同じ雲南省MPSのサイトによると、ネットワーク化されたユニットは、通常、 中国のサーバーでホスティング権を取得するためにMPSを通じて登録されますが、 市や県レベルの他のインターネットセキュリティ関連組織を通じても登録されます。
この法律では、郡レベル以上の公安部門が、インターネットアクセス、データセンター、コンテンツ配信、ドメインネームサービス、インターネット情報サービス、公共インターネットサービス、またはその他のインターネットサービスのいずれかを提供するネットワークユニットおよびISPに対して検査を実施できると規定されています。 この広範な権限は、SaaS 企業から従業員に内部インターネット サービスを提供する企業まで、あらゆる種類のインターネット関連サービスを提供するほぼすべての企業を網羅しています。ただし、インターネット接続にルーターを使用するコンピューターが少なくとも 5 台ある限りです。
対面検査
第15条によると、対面検査を実施する場合、MPSの支店は、ネットワークセキュリティのコンプライアンスについてコンピューターシステムをチェックするために、ネットワークユニット(联网使用单位)に関連するほぼすべての企業エリアに立ち入る権利があります。 MPSの役員は、事業所、コンピュータールーム、および職場に入ると、検査に関連する情報を表示またはコピーできます。 これには、すべてのユーザー情報、ネットワークの技術的対策、情報セキュリティ保護、ホスティング、またはドメイン名情報、および組織が実施する可能性のあるコンテンツ配布が含まれますが、これらに限定されません。
この検査は、 禁止情報の公開が防止または検閲されていないかどうかの検査など、より広範なCSL内の他の規定も対象としています。 第10条、第11条、第21条によると、中国政府が検査を通じて「禁止情報」と判断したコンテンツをホストしている企業は、サイバーセキュリティ法に基づいて起訴される可能性があります。 MPSは、企業が禁止されているコンテンツおよび検閲法を遵守していることを確認する手段として、この規定を使用すると考えています。 この規制による検査の範囲は非常に広いため、中国語のインターネット以外で公開されたコンテンツも適用されるかどうかは明らかではありません。 しかし、協力を拒否すると法律で罰せられるだけでなく、この規定では、人民武装警察(PAP)の少なくとも2人の隊員がすべての検査に協力し、署名することが義務付けられている。
第16条では、MPSの支店は、ネットワークセキュリティの抜け穴がないか、ネットワークユニットとISPのリモート検査を実施できると規定されています。 リモートインスペクションの範囲が何を伴うのかは、すぐには明らかではありません。これには、従来の侵入テストからシステムバックドアのインストールまで、あらゆるものが含まれます。 また、第18条には、遠隔検査は企業の許可を必要としないため、遠隔検査は立入検査よりも実施しやすいという文言が盛り込まれています。 実際、第16条では、MPSが検査を受けた企業に検査の日付と範囲を通知することのみが義務付けられています。 この規制は、検査の範囲や時間枠さえ制限していません。 最後に、第17条は、MPSがこれらの検査に第三者の「サイバーセキュリティサービス機関」を関与させる権限を与えており、脆弱性の発見とデータ漏洩のリスクを大幅に増加させます。
さらに、第6条では、MPSが検査のレポートを関連する政府部門と共有することが求められており、第19条では、MPSの支店が検査中に発見された隠れたネットワークセキュリティリスクを軽減するために組織を監督および指導することが義務付けられています。 この規定は、どの中国政府部門が「関連性」を持つかを特定していないため、理論的には、取得した情報は、中国政府または外国の監視部門が企業や顧客のデータを監視するために活用できる可能性がある。
最も憂慮すべきことは、この規制には、MPSがリモートまたはオンサイト検査の全結果を企業自身に開示する義務が含まれていないことです。 第18条では、検査を受ける組織内の監督者は、現地検査中にMPSが作成した検査報告書に署名しなければならないと規定されています。ただし、リモート検査中に MPS が組織にレポートを提供する必要はありません。 リモート検査の前にMPS支店と組織の間で必要なコミュニケーションは、検査時間、範囲、および「その他の事項」の発表だけです。 したがって、リモート検査の対象となる企業は、MPSの担当者がネットワーク内のどこで検査を行っているかを正確に把握していない場合があり、検査結果を完全に知らない可能性があります。
これらの新しい規制では検査の範囲が限定されていないため、第16条は、MPSの役員が中国の領土に関連しない、または中国の領土内にさえ関係のない会社の企業の一部にアクセスする権限も与える可能性があります。 国際企業のネットワーク上での無制限のリモート検査への影響は広範囲に及び、顧客や国際的な事業に重大なリスクをもたらす可能性があります。
中国で事業を展開する企業への影響
これらの新しい規制によってMPSに付与された検査権限の幅広さは、中国で活動するほぼすべての外国企業に影響を与える可能性があります。 この規制には極めて広範な基準と詳細性の欠如があるため、中国で事業を行うほとんどの企業は、いつでも、いかなる理由でもMPSの検査を受ける可能性があります。 さらに、オンサイト検査とリモート検査の両方の範囲が不明確であるため、検査対象の企業の国際的な事業と顧客は、中国政府やセキュリティサービスにさらされるリスクもあると評価しています。 したがって、ほとんどすべての外国企業は、対面式の施設検索、企業のユーザーデータのコピー、「違法に公開された資料」の侵襲的なチェック、および企業ネットワークのリモート検査の対象となります。
Recorded Futureが以前に発表した中国のサイバーセキュリティ法 の分析 で推奨されているように、企業は次の3つの可能なリスクシナリオを評価する必要があります。
- 企業独自のマシンまたはネットワークに対するリスク
- 企業の製品、サービス、および知的財産に対するリスク
- 世界中の顧客、クライアント、またはユーザーに対するデリバティブリスク
これらの新しい規制により、企業のネットワークインフラストラクチャ、データ、および専有情報は、MPSの侵入および監視操作のリスクが高くなります。 企業のネットワークや製品は、「違法な素材」について広範な検査を受ける可能性があり、そのような素材が見つかった場合、企業は起訴される可能性があります。 中国領土内の顧客、データ、システムは、中国政府にデータを保持されるリスクがあるだけでなく、第三者によるデータ侵害や中国政府の監視を受けるリスクも高まっています。
Recorded Futureの以前の分析で示された企業のリスクは、これらの新しいCSL条項によってさらに悪化しています。 中国で販売されているほとんどの企業の製品とサービスは、国際的な同等品と似ていないため、MPSによって発見された脆弱性は、国内外のユーザーを悪用するために利用される可能性があります。 しかし、企業が新しい規定を遵守しないことを選択した場合、4つ目のリスクシナリオ、つまり従業員の安全に対するリスクを評価する必要があるかもしれません。 査察に対するいかなる反発も、その場にいた人民武装警察官によって注目され、反応される可能性がある。
Recorded Futureは、中国で事業を行うすべての国際企業が、法律の影響を最小限に抑え、MPSの検査を受けた場合の最悪のシナリオに効果的に対処するために、中国国内での技術フットプリント、避難および政府関係のポリシー、およびシステムアーキテクチャを評価する措置を講じることを推奨しています。 中国の事業と国際的な事業間の接続を可能な限りセグメント化するために、企業のシステムアーキテクチャを変更することは、検査が中国の領土に接続されていない企業ネットワークやデータベースに波及するのを防ぐために重要です。 さらに、従業員の安全を確保し、検査について情報を提供することは、国内で事業を行う企業にとって引き続き最優先事項であるべきです。
ベースラインとして、企業は既知の脆弱性についてシステムを適切に検査する必要があります。 グローバルオペレーションに対するリスクを定量化するために、中国国内で事業を行うオフィスは、インフラストラクチャのどの部分がすでにネットワークユニット(联网使用单位)として登録されているかを確認し、システムの更新とセグメント化の際にこれらのユニットを優先する必要があります。 これらの新しい規制により、MPSの役員が会社のシステムを調査する法的権限が与えられた一方で、既知の脆弱性にパッチを適用することで、検査官が簡単に不要なアクセスを取得したり、権限を昇格させたりするのを防ぐことができます。 また、中国で事業を行う組織や企業は、自社の製品やサービスが、中国政府が公開を違法とみなす可能性のある資料をホストしているかどうかを判断し、法律の影響を最小限に抑えるために、このデータをどこでどのようにホストするかを決定する必要があります。
編集者注:これは、法律上の助言や助言に代わるものではありません。 組織に影響を与える可能性のある規制や法律に関する懸念やアドバイスについては、必ず最寄りの法律顧問にご相談ください。
関連