中国のサイバーセキュリティ法により、国家安全部は外国のテクノロジーに対して前例のない新たな権限を付与

国家の統治権、主権、統一と領土の一体性、人々の福祉、持続可能な経済社会開発、その他の主要な国益、および継続的な安全状態を確保する能力に対する国際的または国内的な脅威が相対的に存在しないこと。

この分野の企業、および彼らが購入した製品やサービスは、政府が「コンピュータプログラムのソースコードを要求する」ことや「企業の知的財産を掘り下げる」ことを可能にする「国家安全保障レビュー」の対象にもなると フィナンシャル・タイムズ紙は報じ ています。 また、記事は「ファーストフードの配達会社でさえ重要なインフラと見なすことができる、上海の規制当局は法律の試験運用中に裁定した」と述べているが、これはおそらく彼らが何百万人もの中国人ユーザーの個人情報を所有しているからだろう。

CLSにおけるCNITSECの役割は、MSS収集の機会を提供しますAPT3とMSSに関するブログで概説し、上記でも詳述したように、CNITSECはMSSとの関係を公式に認めたことはありませんが、中国の国家、党、政府機関にサービスを提供し、CSLの下でレビューを実施するというセンターの使命は十分に文書化されています。

• CNITSECのウェブサイトでは、センターは中央政府から与えられた広範な権限を持ち、党および政府の情報ネットワークのセキュリティ脆弱性評価とリスク評価を実施すると説明されています。情報技術、製品、およびシステムのセキュリティテスト。「ファーストクラス」の脆弱性分析リソースと機器を誇っています。専門の研究開発技術研究所。
• 2017年6月、中国語の新聞「南方都市」のインタビューで、CNITSECのチーフエンジニアである王俊(Wang Jun)氏は、CNITSECがCSLの下で国家安全保障レビューを実施するために中国政府によって認定されたことを確認した。 王氏はさらに、レビューは関連する国家部門、国内産業、またはユーザーと一般市民を含む市場によって開始される可能性があると説明した。
• 同月後半の会議で、王氏は同じトピックに関する基調講演を行い、国家安全保障の見直しと外国の商業投資、技術、製品、サービスの監督に関する法的要件を確立した2015年国家安全維持法第 59条 との間に明確な関連性を持たせた。中国の第13次5カ年計画の下で義務付けられたセキュリティレビュー。CSLの下で義務付けられている国家安全保障レビュー。

王外相(下の写真)は、この演説で、CSLの国家安全保障レビューは、国家安全保障、安全保障リスク、安全保障の信頼性、制御、安全保障メカニズム、および技術的透明性に対する可能性のある影響に焦点を当てることを強調した。 彼は、レビューは表面上は客観的で独立した専門の「第三者」によって行われると主張し続けたが、MSS内の事務所であるCNITSECが認定国家安全保障審査員として浮上したことで、同じく認定された他の組織に疑問を投げかけることになった。

CNITSECは、国家の情報セキュリティ評価センターである China National Vulnerability Database of Information Security (CNNVD)も運営しており、国家情報セキュリティ脆弱性データ管理プラットフォームの構築、運用、保守を担当しています。

明らかに、CNNVD は、米国国土安全保障省 (DHS) 内の部門によって運営され、ソフトウェアの脆弱性の公開、報告、およびパッチの作成を任務とする米国政府の 国立標準技術研究所 (NIST) NVD などの他の National Vulnerability Databases (NVD) と同様に動作します。 中国には正確なDHSに相当するものはありませんが、公安部(MPS)の任務と範囲は最も類似しており、中国のDHSの対応物と広く考えられています。 MSSの最も類似した米国のカウンターパートは、中央情報局(CIA)です。ただし、MSSは中国国内で情報を収集する権限も与えられており、一部の機能は連邦捜査局(FBI)に似ています。 比較のために、CNNVD を実行する MSS は、NIST NVD を実行する CIA とほぼ同等になります。

CNITSECとCNNVDを運営するMSSの根本的な問題、そしてより広義には、中国の情報セキュリティ組織インフラにおけるMSSの役割は、MSSが中国の「主要な民間情報機関」であり、対外諜報活動と防諜活動の両方を担当していることである。 「China's Security State: Philosophy, Evolution, and Politics」によると、MSSは「国家安全保障に関連する民間情報の収集と評価、および外国に対する対スパイ活動の実施を担当している」という。

これは、MSSが中国のサイバーセキュリティ法の広範な文言と新しい権限を使用して、外国の技術の脆弱性にアクセスし、それを自国の諜報活動で悪用できる可能性があることを意味します。 MSSには、脆弱性がCNNVDを介して報告される声があります。また、ソフトウェアやハードウェアの重大な弱点を簡単に特定して公衆から隠し、それを自分たちの業務に利用することもできました。

MSSがCNNVDを実行する方法と、CIAまたはNSAがNIST NVDシステムと対話する方法には、2つの決定的な違いがあります。 まず、ETERNAL シリーズの NSA ツールによって悪用された脆弱性は、ShadowBrokers グループに買収される前に Microsoft や NIST NVD によって特定されていなかったことが 広く文書化 されていますが、NSA は NIST NVD に登録されておらず、データベースからこれらの脆弱性を積極的に検閲していませんでした。 MSS は (CNITSEC を介して) CNNVD を実行し、一般に報告される脆弱性を抑制または制御することを選択できます。

第二に、MSSはCNNVDが実施した研究を活用して、その運営を支援することができる。 NSAやCIAなどの米国の諜報機関は、独自の調査に基づいて脆弱性を特定しており、NIST NVDの非公開研究を活用することは許可されていません。

インパクト

CSLの定義の曖昧さと不透明性は、多くの外国企業、特に「重要な情報インフラストラクチャ」の一部と見なされている企業が、独自の技術/知的財産をMSSに提供するか、中国本土市場から排除されるかという厳しい選択を迫られることを意味します。 彼らの技術がMSSによるセキュリティレビューを受けることを許可すれば、現在の顧客やユーザーが中国の国家支援型サイバー攻撃のリスクを高めるという二次的な影響が生じる可能性があります。

中国でビジネスを行おうとしている外国企業、特に「重要情報インフラ」分野の企業は、中国での事業運営について、これまで考えられなかった多くの技術的、法的、倫理的な決定に直面しています。 これらの決定は、幅広い業界の企業の戦術的および戦略的な計画と運営の両方に影響を与えます。

まず、MSSが独自の製品やサービスの脆弱性を発見し、運用できるという知識を持つ企業は、次の3つのリスクシナリオを評価する必要があります。

• 企業自身のマシンまたはネットワークに対するリスク。
• 企業の製品またはサービスに対するリスク。
• 世界中の顧客、クライアント、またはユーザーに対する派生リスク。

中国で利用されているほとんどの製品とサービスは、世界中の製品と完全に異なるわけではないため、MSSによって発見された脆弱性が、これらのマシン、ネットワーク、製品、およびサービスの国際的なユーザーを悪用するために利用されるリスクが高まります。 この大まかに定義された「重要な情報インフラストラクチャ」セクターの企業は、最大のリスクにさらされています。 これらには、ソフトウェアおよびハードウェアのベンダーが含まれる可能性があります。SaaS(Software as a Service)、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)企業。クラウド、セキュリティ、およびネットワークプロバイダー。などなど。

第2に、中国当局に協力して国内調査のテーマに関する情報を提供することで、企業はヨーロッパや北米で世論の批判や訴訟、そして複数の政府レベルからの非難にさらされる可能性がある。 2007年、ヤフーは、反体制派ジャーナリストの投獄に関連する情報を中国当局に 提供 した後、超党派の議会公聴会の照準に照準を合わせていることに気づきました。 同社のCEOと一般評議会は、下院外交委員会の委員長から「道徳的なピグミー」で「無責任」の烙印を押され、事件以来、公民権団体からその評判を守ることを余儀なくされている。 ヤフーは、中国政府との協力から生じた私的訴訟の 和解 を余儀なくされた。 今後、さらに多くの企業が、中国の規制の遵守と欧米のビジネス倫理の遵守との間で目立った変化を強いられ、将来同様の困難を回避することを余儀なくされるでしょう。

編集者注

これは、法律上の助言や助言に代わるものではありません。 中国のサイバーセキュリティ法に関するその他の懸念事項については、必ず現地の法律顧問にご相談ください。