サイバーセキュリティ審査制度を専門家が解説：サイバーセキュリティ審査は当然のことだ

さらに読む:

• 私の国は重要な情報技術製品とプロバイダーに対するサイバーセキュリティ審査システムを導入します

グラフィック: Li Ziyue

22日、中国サイバースペース管理局は、我が国がネットワークセキュリティ審査制度を実施すると発表した。なぜこの制度が導入されるのか？サイバーセキュリティの審査範囲や基準は？情報産業や個人情報のセキュリティにどのような影響を与えるのか？

サイバー空間は、新たな状況下で国家安全保障を維持するためのもう一つの重要な領域である。

「今日、サイバー空間は海、陸、空、宇宙に続く第5の空間となり、新たな情勢下で国家の安全を維持する上で重要な領域の一つとなっている」工業情報化部電気通信研究所の劉多副所長は、今日、重要なネットワークインフラがサイバー兵器攻撃の主な標的となり、極めて深刻で破滅的な結果をもたらす可能性があると考えている。したがって、中国の国情を踏まえると、サイバーセキュリティ審査制度を導入することは潮流に合致しており、国家安全保障の確保に大きな意義がある。

国家情報技術セキュリティ研究センターのチーフエンジニアである李静春氏は、これまでのネットワーク監視について次のように語った。「これまで我が国は、主に機能コンプライアンステストと低レベルのセキュリティレビューを含むネットワークの表面的な管理のみを行っていました。現在、ネットワーク製品とサービスは徐々に深化しています。以前の監視方法を継続すると、ネットワーク監視の抜け穴が出現する可能性が高く、国家の安全とユーザーの安全に損失をもたらすでしょう。」

中国工程院の倪光南院士も「インターネットが国家の安全と人々の生活に与える影響がますます深刻になるにつれ、サイバーセキュリティの監視を強化することは避けられない流れだ。特に『スノーデン事件』の暴露後、我々はサイバーセキュリティの監視の重要性と必要性​​をさらに認識した。このため、我々はサイバーセキュリティ審査制度を導入しようとしている。これにより、サイバーセキュリティのリスクと隠れた危険を源から排除し、公共の安全と国家のサイバー空間の安全を確保できる」と述べた。

サイバーセキュリティの見直しは国民の個人情報のセキュリティ保護に役立つ

中国サイバースペース管理局の報道官、江軍氏は、この検閲システムは特定の国や地域を狙ったものではないと述べた。この点について、李景春氏はさらに次のように説明した。「潜在的なセキュリティリスクのあるネットワーク製品とサービスについては、外国企業と国内企業の両方が平等に扱われ、この管理システムの実施を遵守し、適応して、国の重要なインフラと重要な情報システムのセキュリティパフォーマンス要件を満たし、安全を確保する前提で健全で持続可能な発展を実現する必要があります。」

李景春氏はまた、ネットワーク製品やサービスのプロバイダー、オペレーター、サービスプロバイダーを審査することで、企業の行動基準の標準化やサービス品質の向上を促し、情報産業のより健全で秩序ある発展を促進することもできると述べた。 「サイバーセキュリティの見直しにより、製品やサービスのセキュリティが確保され、公共ネットワークの情報セキュリティに対するより深いレベルの保護が提供されるため、国民の個人情報やデータが漏洩したり悪用されたりすることがなくなり、国民も恩恵を受けることになる。」

「審査制度は、個人情報ではなく、技術製品やサービスを提供するメーカーを対象としている。メーカーの技術製品やサービスにおけるセキュリティリスクを排除することは、個人情報のセキュリティ確保に役立つと言えるだろう」と倪光南氏は述べた。

セキュリティと制御性が精査の焦点となる

サイバー検閲制度は、主に国家安全保障や公共の利益に関わるシステムで使用される重要な情報技術製品やサービスを審査する。我が国のインターネット検閲制度は、成熟した外国の経験を活用し、実際の状況に基づいて、我が国の情報産業の発展状況に沿った規制を策定します。製品の安全性と制御性が審査の焦点となります。

サイバーセキュリティ審査はどのように実施されるのか？中国工程院の院士であるファン・ビンシン氏は次のように述べた。「審査システムは中国サイバースペース管理局によって管理され、国家情報セキュリティ標準化技術委員会によって実施される。複数の関連部門からの支援を必要とするほか、審査プロセスには第三者の専門試験機関や専門家グループも関与し、プロセスの客観性と公平性を確保する。」

「サイバーセキュリティ審査は、事前審査、プロセス中の監視、事後処罰の3つの部分を含む必要がある」と中国情報セキュリティ評価センターの主任エンジニアである王軍氏は記者団に語った。情報製品が市場に出る前に、ユーザーの情報セキュリティに関する技術審査が必要であり、同時に、製品が国家安全保障に影響を与えるかどうか、独占を生み出すかどうかなど、社会経済安全保障に影響を与えるかどうかを評価する必要がある。市場に出た情報製品は絶対に安全というわけではなく、パッチやアップグレードによって新たなセキュリティリスクが生じる可能性があるため、監視も必要だ。

方斌星氏は、他国の経験を踏まえ、サイバーセキュリティ審査制度はマクロ戦略とミクロ技術に対して異なる措置を採用すべきだと指摘した。政府機関、交通、電力、金融などの重要分野に参入する製品については、国家の情報セキュリティを確保するために、技術だけでなく企業の背景も審査する「ブラックリスト」システムを確立する必要があり、市場に流通する情報技術製品については、「ホワイトリスト」の必須認証が必要であり、安全基準を満たした製品のみが市場に参入できます。このレビューは技術的な評価のみであり、一般ユーザーの利益には影響しません。

サイバーセキュリティ審査制度は海外の経験を参考に

この審査制度は先進国の経験を参考にしたものであり、一時的な気まぐれや特定の国や事象を対象としたものではないと報告されている。 「この制度が今導入される理由は、わが国の評価技術、システム、基準がすでに成熟しているためである。わが国のクラウドコンピューティングインフラはすでに完成している。わが国は今年、クラウドコンピューティングプラットフォームのセキュリティテストを試験的に実施し、クラウドコンピューティングのセキュリティ基準を策定する。主にセキュリティ技術要件とサービス能力基準の2つの側面を検討し、セキュリティ上の欠陥を特定し、セキュリティ上の抜け穴をできるだけ早く埋める」と李景春氏は述べた。

専門家らはまた、サイバーセキュリティ審査制度は、まず主要産業から始めて、徐々にさまざまな分野や産業に拡大し、立ち上げから完全実施まで段階的に実施されるだろうと述べた。

（張楊、鄭慧燕、新華社記者の白楊、史静南による報告）

リンク

米国におけるサイバーセキュリティの見直し

サイバーセキュリティレビューとは、国家安全保障や社会の安定に関わる情報システムで使用される情報技術製品やサービスをテスト、評価、監視、分析し、継続的に監督するプロセスです。

米国は2000年に国家安全保障システムにおける購入製品のセキュリティ審査を主導し、その後、連邦政府のクラウドコンピューティングサービス、防衛サプライチェーンなどに対するセキュリティ審査ポリシーを導入し、国家安全保障システム、防衛システム、連邦政府システムの包括的なカバーを実現しました。レビューは製品やサービスだけでなく、製品やサービスの提供者も対象とします。その後、米国をはじめとする西側諸国は、国家安全保障の確保やサプライチェーンのセキュリティリスク防止を目的に、さまざまな形態のサイバーセキュリティ審査システムを段階的に構築してきました。全面的かつ包括的なサプライチェーンのセキュリティ審査措置を国家戦略レベルに引き上げます。

米国のサイバーセキュリティ審査基準とプロセスは公開されていません。米国のサプライチェーンセキュリティ審査プロセス、基準、メカニズムは完全に非公開です。理由や正当性は開示されず、サプライヤーからの苦情も受け付けません。主な検討事項は国家安全保障、司法、公共の利益への潜在的な影響であり、その検討に明確な期限はない。

米国のセキュリティレビューの重要なポイントの 1 つは、セキュリティレビューの結果が必須であることです。米国国家安全保障システム委員会が発行した国家情報セキュリティ保証調達方針では、国家安全保障システムに導入される情報技術製品は審査に合格しなければならないと規定されています。米国政府が発行した連邦リスクおよび認可管理計画では、連邦政府にクラウド コンピューティング サービスを提供するサービス プロバイダーはセキュリティ レビューに合格し、認可を取得することが義務付けられており、連邦政府部門はレビューされていないクラウド コンピューティング サービスを使用することはできません。

米国のサイバーセキュリティレビューの内容はテクノロジーに限定されません。米国連邦政府は、製品の安全性能指標だけでなく、製品の研究開発プロセス、手順、ステップ、方法、製品の配送方法なども審査することを義務付けており、企業自らが自社製品が規定の安全強度を達成していることを証明することが求められています。

米国では、監査対象企業にサイバーセキュリティ契約の締結を義務付けており、これには通常、通信インフラは米国内に設置する必要がある、通信データ、取引データ、ユーザー情報などは米国内にのみ保存される、外国政府が通信データへのアクセスを要求した場合は、米国司法省、国防総省、国土安全保障省の承認を得る必要がある、従業員の身元調査を行うために米国政府に協力する、などが含まれます。

原題：サイバーセキュリティ審査制度を専門家が解説。サイバーセキュリティ審査は当然のことである。

キーワード: