中国 輸入情報セキュリティ製品にソースコード開示を要求
今回のもとネタはこちら。
『中国要求进口信息安全产品公开源代码』
【翻訳文】
昨年9月25日のニュースで、中国は情報セキュリティ製品群を安全認証制度の適用対象としていくとの報道があった。その中には、Felicaなどで装備しているICチップが使っているOSやデータベースも対象として列挙されており、認証を取得するためにはソースコードの公開が要求される可能性がある。
同認証制度は製品の安全を保証する”強制認証制度”(CCC中国強制認証)と呼ばれ、製品が認証を通らなかった場合、中国国内での販売はできなくなる。もともとCCC制度は2002年に実行が開始されたが、以前は電気および電子製品など物理的なものに対する安全認証であった。しかし2008年1月ソフトウェアの中の情報セキュリティ群を含めた認証目録公示が発表された。新たな認証制度の範囲はファイアーウォール、LANカード、スイッチングハブ、VPN、ICカードおよびICチップで利用するOS、データバックアップ及びソフトウェア,OSの復元、データベースシステム、スパム対策製品、不正アクセス検出システム、ネットワーク監視システム, 操作履歴記録およびログ解析ツール、ファイル改竄検知システムなど13種類の製品にわたり、2009年5月から実施開始される。
現時点では認証製品の目録および具体的な認証の内容は未発表ではあるが、日本の経済産業省は次のとおりに語った : ”現在中国政府に具体的な製品目録と認証の内容を聞いているところだ”。コピー機,フラットパネルテレビなどは認証目録に入るか否かおよびソースコードを要求されるか否かは、現在のところ判明していない。しかし、情報セキュリティの国際規格”ISO 15408”では申請者にソースコードの公開を要求することができるので、中国の新認証制度でもソースコードを公開要求することは可能である。日本の経済産業省は”これは世界中でもまったく新しいソフトウェアを対象とした規制であり、貿易に影響が出てくるであろう”と語り、日本の経済産業省及び業界団体は欧米の政府や業界団体と共同で中国政府に同規程を撤回もしくは修正するよう求めていた。
【書評】
強制認証制度は2001年12月3日に消費者および動植物の生命の安全、環境保持、国家安全などを目的とし、”四个统一“のスローガンのもと規程され、2002年から実行されたものだ。こちらには様々な品目に関する規定が設けられているが、今回の情報通信製品群については、日本の多くのニュースでは去年の8,9月と報道されているが、実際には6月16日に実施が発表されている(関連リンク)。当時も日米欧の反発を招いたが(関連記事)、それを強硬執行すると改めて表示した形だ。予定される対象製品は本文のとおりIT関連製品、特にセキュリティ関連は全てといって良いほど数多く含まれ、去年6月当時の資料でも(関連リンク)、ファイアウォール、ルーター、IPSec関連製品、ICカード、データバックアップ、セキュアOS、セキュアデータベース、メール関連製品、IDSなどがあがっている。正式な対象製品は公表を待つしかないが、薄型テレビ(本文中はフラットパネルテレビ)やコピー機も対象になる可能性もあり、日本だけでも対象製品は1兆円規模にのぼるとも言われている。オープンソースはもともとソースコード開示が原則だが、すべての製品がそういうわけでなく、多くはそこに特許など各メーカーの強みが含まれている。「情報セキュリティ上」という理由だけでは、曖昧すぎ納得はできぬものであろうし、余計な詮索、疑心暗鬼を産むものと思える。今後の中国政府の真摯な対応、情報公開を望む。
『中国要求进口信息安全产品公开源代码』
【翻訳文】
昨年9月25日のニュースで、中国は情報セキュリティ製品群を安全認証制度の適用対象としていくとの報道があった。その中には、Felicaなどで装備しているICチップが使っているOSやデータベースも対象として列挙されており、認証を取得するためにはソースコードの公開が要求される可能性がある。
同認証制度は製品の安全を保証する”強制認証制度”(CCC中国強制認証)と呼ばれ、製品が認証を通らなかった場合、中国国内での販売はできなくなる。もともとCCC制度は2002年に実行が開始されたが、以前は電気および電子製品など物理的なものに対する安全認証であった。しかし2008年1月ソフトウェアの中の情報セキュリティ群を含めた認証目録公示が発表された。新たな認証制度の範囲はファイアーウォール、LANカード、スイッチングハブ、VPN、ICカードおよびICチップで利用するOS、データバックアップ及びソフトウェア,OSの復元、データベースシステム、スパム対策製品、不正アクセス検出システム、ネットワーク監視システム, 操作履歴記録およびログ解析ツール、ファイル改竄検知システムなど13種類の製品にわたり、2009年5月から実施開始される。
現時点では認証製品の目録および具体的な認証の内容は未発表ではあるが、日本の経済産業省は次のとおりに語った : ”現在中国政府に具体的な製品目録と認証の内容を聞いているところだ”。コピー機,フラットパネルテレビなどは認証目録に入るか否かおよびソースコードを要求されるか否かは、現在のところ判明していない。しかし、情報セキュリティの国際規格”ISO 15408”では申請者にソースコードの公開を要求することができるので、中国の新認証制度でもソースコードを公開要求することは可能である。日本の経済産業省は”これは世界中でもまったく新しいソフトウェアを対象とした規制であり、貿易に影響が出てくるであろう”と語り、日本の経済産業省及び業界団体は欧米の政府や業界団体と共同で中国政府に同規程を撤回もしくは修正するよう求めていた。
【書評】
強制認証制度は2001年12月3日に消費者および動植物の生命の安全、環境保持、国家安全などを目的とし、”四个统一“のスローガンのもと規程され、2002年から実行されたものだ。こちらには様々な品目に関する規定が設けられているが、今回の情報通信製品群については、日本の多くのニュースでは去年の8,9月と報道されているが、実際には6月16日に実施が発表されている(関連リンク)。当時も日米欧の反発を招いたが(関連記事)、それを強硬執行すると改めて表示した形だ。予定される対象製品は本文のとおりIT関連製品、特にセキュリティ関連は全てといって良いほど数多く含まれ、去年6月当時の資料でも(関連リンク)、ファイアウォール、ルーター、IPSec関連製品、ICカード、データバックアップ、セキュアOS、セキュアデータベース、メール関連製品、IDSなどがあがっている。正式な対象製品は公表を待つしかないが、薄型テレビ(本文中はフラットパネルテレビ)やコピー機も対象になる可能性もあり、日本だけでも対象製品は1兆円規模にのぼるとも言われている。オープンソースはもともとソースコード開示が原則だが、すべての製品がそういうわけでなく、多くはそこに特許など各メーカーの強みが含まれている。「情報セキュリティ上」という理由だけでは、曖昧すぎ納得はできぬものであろうし、余計な詮索、疑心暗鬼を産むものと思える。今後の中国政府の真摯な対応、情報公開を望む。
