
中国のサイバーセキュリティ法により、国家安全部は外国のテクノロジーに対して前例のない新たな権限を付与
この記事では、中国の新しいサイバーセキュリティ法(CSL)の国家安全保障審査部分を支援するために起用された中国の情報セキュリティ組織について詳細な分析を行い、国家安全部が運営するオフィスの役割が拡大したことを明らかにします。
Executive Summary
2017年6月1日、長年の国内外の議論の末、中国の 国家サイバーセキュリティ法 がついに施行されました。この法律の多くは中国のユーザーのデータの保護に焦点を当てているが、法律の評価では、外国企業や技術への 潜在的な悪影響 と、煩雑で曖昧で広範な新しい法的要件を遵守することの難しさが強調された。
Recorded Futureの調査は、サイバーセキュリティ法が中国の主要な対外情報機関である国家安全部(MSS)の事務所である 中国情報技術評価センター(CNITSEC)に与える広範な権限に焦点を当てている。この法律は、CNITSECを含む「ネットワーク情報部門」に、外国企業が中国市場で使用または販売したい技術について「国家安全保障審査」(第35条参照)を実施する権限を与えている。
MSSがCNITSECを通じて中国の情報セキュリティアーキテクチャに参入することで、(1)中国が自国の諜報活動に悪用できる外国技術の脆弱性を特定できる可能性があり、(2)外国企業が独自の技術または知的財産をMSSに提供するか、中国本土の情報技術市場から切り離されるかの間で不可能な選択を生み出します。 2018年には2,420億ドルに達すると予測されています。
背景
2017年5月のブログ記事では、脅威アクターグループAPT3を中国のMSSに帰属させ、MSSが実際に運営している中国の情報セキュリティ組織であるCNITSEC(この記事では「センター」とも呼んでいます)も特定しました。
「中国とサイバーセキュリティ:デジタル領域におけるスパイ活動、戦略、政治」に掲載された学 術研究 によると、CNITSECはMSSによって運営されており、諜報機関のサイバー技術的な専門知識の多くを収容しています。CNITSECは、MSSが「脆弱性テストとソフトウェアの信頼性評価を実施」するために使用しています。2009年の米国国務省の電報によると、中国はCNITSECの活動から派生した脆弱性を諜報活動に利用する可能性があると考えられている。CNITSECの元所長で現党書記の呉世忠氏は、2016年1月には中国の国家情報セキュリティ基準委員会の副委員長を務めていたことを含め、MSSを自認している。
解析
新しい情報技術規制制度におけるCNITSECの役割は、中国政府がCSLを支援する規制を最終化し、公表し始めた最後の数か月で明らかになりました。
サイバーセキュリティ法は広範で、言葉遣いは曖昧です
CNITSECの役割を掘り下げる前に、まずCSLの関連セクションと外国企業が負う可能性のある義務を確認することが重要です(優れた英語翻訳については、 中国法翻訳を参照してください)。CSLと2015年の国家安全維持法には、中国当局が国家安全保障レビュー、政府当局とのデータ共有、さらには独自技術や知的財産の検査を強制するために発動する可能性のある曖昧な文言が含まれているため、企業にとっては不正確さと広さに注意することが重要です。
2016年11月に可決されたとき、この法律の最も定義が不十分なセクションの1つは「第3章:ネットワーク運用のセキュリティ」でした。 第3章には、「ネットワークオペレータ」の「ネットワークセキュリティ保護」の責任と、「重要な情報インフラストラクチャ」を運用する企業に対する追加の法的責任を定義する18の記事が含まれています。
上記の3つの用語のうち、法律自体で定義されているのは1つだけです。CSL では、「ネットワーク事業者」とは「ネットワーク所有者、管理者、およびネットワークサービスプロバイダー」であると述べています。KPMGの法律分析によると、次のようになります。
ネットワークを通じてサービスを提供し、事業活動を行う企業や機関は、「ネットワークオペレーター」と定義されることもあります。 従来の通信事業者やインターネット企業に加えて、ネットワーク事業者には次のようなものも含まれます。
- 銀行、保険会社、証券会社、財団など、市民の個人情報を収集し、オンラインサービスを提供する金融機関。
- サイバーセキュリティ製品およびサービスのプロバイダー。
- Web サイトを持ち、ネットワーク サービスを提供する企業。
これは、この用語の非常に広範な解釈であるため、中国でインターネットを使用したり、ユーザーデータを収集したりするあらゆるビジネスを包含する可能性があります。 さらに、「ネットワーク事業者」に分類される企業は、大量のユーザーデータを海外に転送することを希望する場合、政府の規制当局による審査の対象となります(第37条を参照)。
CSL第28条によると、「ネットワーク事業者」は、公的および国家治安機関に「国家安全保障の維持と犯罪の捜査」を支援する義務もあります。これにより、企業は、西側諸国では犯罪とはみなされないユーザーや活動、特に「インターネット関連犯罪」に関する情報を中国の法執行機関や国家安全機関に提供しなければならない立場に置かれる可能性がある。これらの「インターネット関連犯罪」には、「事実を捏造または歪曲し、噂を広め、社会秩序を乱す」、「他人を侮辱または誹謗中傷する」、「有害な情報」を広めるためにインターネットを使用するものが含まれます。「ネットワーク事業者」の一部は、法律によって「重要な情報インフラストラクチャ」を運営しているものとして分類され、さらに厳しい規制と見直しの対象となります。CSLのテキストは、「重要情報インフラストラクチャ」を次のように分類しています。
公共通信および情報サービス、電力、交通、水、金融、公共サービス、電子政府(e-gov)、およびその他の重要な情報インフラストラクチャは、破壊、機能の損失、またはデータの漏洩により、国家安全保障、国民経済、国民生活、または公共の利益を深刻に危険にさらす可能性があります。
中国国家の「国家安全保障」の定義は、2015年7月の「国家安全維持法」で次のように正式に定められた。
国家の統治権、主権、統一と領土の一体性、人々の福祉、持続可能な経済社会開発、その他の主要な国益、および継続的な安全状態を確保する能力に対する国際的または国内的な脅威が相対的に存在しないこと。
この分野の企業、およびそれらが購入した製品やサービスも「国家安全保障審査」の対象となり、フィ ナンシャル・タイムズ紙 は、政府が「コンピュータプログラム情報源コードを要求」し、「企業の知的財産を掘り下げる」ことを許可すると報じた。 記事はまた、「ファストフードの配達会社でさえ重要なインフラとみなされる可能性があると、上海の規制当局はこの法律の試験運用中に裁定した」と述べているが、おそらく何百万人もの中国ユーザーの個人情報を保有しているからだろう。
CLSにおけるCNITSECの役割は、MSS収集の機会を提供しますAPT3とMSSに関するブログで概説し、上記でも詳述したように、CNITSECはMSSとの関係を公式に認めたことはありませんが、中国の国家、党、政府機関にサービスを提供し、CSLの下でレビューを実施するというセンターの使命は十分に文書化されています。
- CNITSECのウェブサイトでは、センターは中央政府から与えられた広範な権限を持ち、党および政府の情報ネットワークのセキュリティ脆弱性評価とリスク評価を実施すると説明されています。情報技術、製品、およびシステムのセキュリティテスト。「ファーストクラス」の脆弱性分析リソースと機器を誇っています。専門の研究開発技術研究所。
- 2017年6月、中国語の新聞「南方都市」のインタビューで、CNITSECのチーフエンジニアである王俊(Wang Jun)氏は、CNITSECがCSLの下で国家安全保障レビューを実施するために中国政府によって認定されたことを確認した。 王氏はさらに、レビューは関連する国家部門、国内産業、またはユーザーと一般市民を含む市場によって開始される可能性があると説明した。
- 同月後半の会議で、王氏は同じテーマに関する基調講演を行い、外国の商業投資、技術、製品、サービスの国家安全保障審査と監督の法的要件を定めた2015年国家安全法第 59条 との関連性を明確に示した。中国の第13次5カ年計画の下で義務付けられた安全保障レビュー。CSLの下で義務付けられた国家安全保障レビュー。
王外相(下の写真)は、この演説で、CSLの国家安全保障レビューは、国家安全保障、安全保障リスク、安全保障の信頼性、制御、安全保障メカニズム、および技術的透明性に対する可能性のある影響に焦点を当てることを強調した。 彼は、レビューは表面上は客観的で独立した専門の「第三者」によって行われると主張し続けたが、MSS内の事務所であるCNITSECが認定国家安全保障審査員として浮上したことで、同じく認定された他の組織に疑問を投げかけることになった。
CNITSECはまた、国家の情報セキュリティ評価センターである 中国国家脆弱性情報セキュリティデータベース (CNNVD)を運営し、国家情報セキュリティ脆弱性データ管理プラットフォームの構築、運用、保守を担当しています。
あからさまに、CNNVD は、米国国土安全保障省 (DHS) 内の部門によって運営されている米国政府の 国立標準技術研究所 (NIST) NVD など、他の国家脆弱性データベース (NVD) と同様に動作し、ソフトウェア脆弱性の公開識別、(脅威についての)レポート作成、およびパッチの作成を任務としています。 中国にはDHSに正確に相当するものはありませんが、公安省(MPS)の任務と範囲は最も似ており、中国のDHSの対応物と広く考えられています。MSSと最も類似した米国の対応物は中央情報局(CIA)です。しかし、MSSは中国国内で情報を収集する権限も与えられており、一部の機能は連邦捜査局(FBI)に似ている。比較のために、CNNVDを実行するMSSは、NIST NVDを実行するCIAとほぼ同等です。
CNITSECとCNNVDを運営するMSS、そしてより広範には、中国の情報セキュリティ組織インフラにおけるMSSの役割の根本的な問題は、MSSが中国の「主要な民間諜報機関」であり、対外諜報活動と防諜活動の両方を担当していることである。「中国の安全保障国家:哲学、進化、政治」によると、MSSは「国家安全保障に関連する民間情報の収集と評価、および外国に対する対スパイ活動の実施に責任がある」という。
これは、MSSが中国のサイバーセキュリティ法の広範な文言と新しい権限を使用して、外国の技術の脆弱性にアクセスし、それを自国の諜報活動で悪用できる可能性があることを意味します。 MSSには、脆弱性がCNNVDを介して報告される声があります。また、ソフトウェアやハードウェアの重大な弱点を簡単に特定して公衆から隠し、それを自分たちの業務に利用することもできました。
MSSがCNNVDを実行する方法と、CIAまたはNSAがNIST NVDシステムと対話する方法には、2つの決定的な違いがあります。まず、NSA ツールの ETERNAL シリーズによって悪用された脆弱性は、ShadowBrokers グループに買収される前に Microsoft や NIST NVD によって特定されていなかったことが 広く文書 化されていますが、NSA は NIST NVD 上に存在しておらず、データベースからこれらの脆弱性を積極的に検閲していませんでした。MSS は (CNITSEC 経由) CNNVD を実行し、一般に報告された脆弱性を抑制するか制御するかを選択できます。
第二に、MSSはCNNVDが実施した研究を活用して、その運営を支援することができる。 NSAやCIAなどの米国の諜報機関は、独自の調査に基づいて脆弱性を特定しており、NIST NVDの非公開研究を活用することは許可されていません。
インパクト
CSLの定義の曖昧さと不透明性は、多くの外国企業、特に「重要な情報インフラストラクチャ」の一部と見なされている企業が、独自の技術/知的財産をMSSに提供するか、中国本土市場から排除されるかという厳しい選択を迫られることを意味します。 彼らの技術がMSSによるセキュリティレビューを受けることを許可すれば、現在の顧客やユーザーが中国の国家支援型サイバー攻撃のリスクを高めるという二次的な影響が生じる可能性があります。
中国でビジネスを行おうとしている外国企業、特に「重要情報インフラ」分野の企業は、中国での事業運営について、これまで考えられなかった多くの技術的、法的、倫理的な決定に直面しています。 これらの決定は、幅広い業界の企業の戦術的および戦略的な計画と運営の両方に影響を与えます。
まず、MSSが独自の製品やサービスの脆弱性を発見し、運用できるという知識を持つ企業は、次の3つのリスクシナリオを評価する必要があります。
- 企業自身のマシンまたはネットワークに対するリスク。
- 企業の製品またはサービスに対するリスク。
- 世界中の顧客、クライアント、またはユーザーに対する派生リスク。
中国で利用されているほとんどの製品とサービスは、世界中の製品と完全に異なるわけではないため、MSSによって発見された脆弱性が、これらのマシン、ネットワーク、製品、およびサービスの国際的なユーザーを悪用するために利用されるリスクが高まります。 この大まかに定義された「重要な情報インフラストラクチャ」セクターの企業は、最大のリスクにさらされています。 これらには、ソフトウェアおよびハードウェアのベンダーが含まれる可能性があります。SaaS(Software as a Service)、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)企業。クラウド、セキュリティ、およびネットワークプロバイダー。などなど。
第二に、国内調査の対象に関する情報を提供することで中国当局に協力することで、企業はヨーロッパや北米での世論の批判、訴訟、そして複数のレベルの政府からの非難にさらされる可能性がある。2007年、ヤフーは反体制派ジャーナリストの投獄に関連する情報を中国当局に 提供 したため、超党派の議会公聴会の標的となった。同社のCEOと総評議会は、下院外交委員会の委員長から「道徳的ピグミー」と「無責任」の烙印を押され、インシデント以来、公民権団体とのレピュテーションを擁護することを余儀なくされている。 ヤフーは、中国政府との協力に端を発する私的訴訟の和 解を余儀なく された。今後、さらに多くの企業が、将来同様の困難を避けるために、中国の規制の遵守と西側のビジネス倫理に従うことの間で針の糸を通すことを余儀なくされるでしょう。
編集者注
これは、法律上の助言や助言に代わるものではありません。 中国のサイバーセキュリティ法に関するその他の懸念事項については、必ず現地の法律顧問にご相談ください。