米国商務省の新規則: 承認なしに中国にセキュリティ脆弱性を共有することは禁止されており、Microsoft の異議は無効

最近、米国商務省産業安全保障局 (BIS) は、サイバーセキュリティ分野の最新の輸出管理規制を正式に発表しました。

はい、「エンティティリスト」や「貿易ブラックリスト」を公開しているのはBISで、近年では「中国ネットユーザーの旧友」とも言える存在です。

今回は何ですか？主にネットワークセキュリティや脆弱性情報の管理・制御に関するものです。

簡単に言えば、米国の団体が中国政府に関連する組織や個人と協力する場合、セキュリティ上の脆弱性や情報が発見された場合、直接発表することはできず、まず商務省による審査が必要となる。

その理由は、実証済みの「国家安全保障」と「テロ対策の必要性」です。

実は、今回公表された新規則は、2021年10月の暫定規則（意見募集案）を最終確認するものとして化成されています。この規制では、世界各国をA、B、D、Eの4つのカテゴリーに分け、制限措置や厳格性を段階的に高めています。

中国はカテゴリーDの「制限国・地域」に分類され、カテゴリーEは「包括的な禁輸国」に分類されます。

この規制は、「国家安全保障とテロ対策への配慮」を目的として、特定のネットワーク セキュリティ プロジェクトに対する新しい制御方法を確立します。

同時に、BIS はネットワーク セキュリティの終了を許可するための新しい例外も追加しました。主な内容は、これらのサイバーセキュリティ品目のほとんどの目的地への輸出を許可することですが、上記の例外を除きます。

BIS は、これらの管理プロジェクトが監視、スパイ活動、または破壊活動を目的としたその他の行為に使用される可能性があると考えています。

さらに、この規則は商業規制リストの輸出規制分類番号も改正します。

新しい BIS 規制では、世界中の国を A、B、D、E の 4 つのカテゴリーに分類しています。カテゴリー D は最も懸念され、制限されている国と地域です。

上の図に示すように、中国はカテゴリー D に分類されます。

新しい規制の要件に従って、企業がクラス D の国および地域の関連政府部門または個人と協力する場合、潜在的な情報を送信する前に事前に申請し、許可を取得する必要があります。国境を越えたネットワークの脆弱性情報。

もちろん例外もあり、脆弱性の公開やインシデント対応など、正当なサイバーセキュリティ目的の場合は事前申請は不要です。

ご覧のとおり、中国の国家安全保障、生化学、ミサイル技術、米国の武器禁輸にはすべて X マークが付いています。

この文書には、グループ D 諸国の政府を代表して行動する個人が「国家安全保障および外国の安全に反する活動に従事するためのサイバーライセンス」を取得することを防ぐために、政府を代表して行動する個人に対するライセンス要件が必要であると記載されています。米国の政策利益。「安全プロジェクト」。

この要件がないと、クラス D 国の政府がこれらのプロジェクトにアクセスできるようになる可能性があります。

BIS が採用した要件は、輸出業者が場合によっては取引先の個人や企業の政府所属を確認しなければならないことを意味します。

ただし、ライセンス要件の範囲と適用範囲が限られているため、BIS は、この要件が合法的なサイバーセキュリティ活動に過度の影響を与えることなく、米国の国家安全保障と外交政策上の利益を保護すると考えています。

同時に、BIS は § 740.22(c)(2)(i) 条項も改正し、実際に例外の範囲を拡大しました。

現在の規約では、グループ D 諸国へのデジタル製品の輸出、または警察または司法機関向けのグループ D 諸国へのサイバーセキュリティ関連アイテムの輸出が許可されています。

しかし、BIS は実際には、刑事または民事の捜査または訴追を目的として、グループ D 諸国の警察または司法機関へのデジタル製品の輸出を許可することのみを意図しています。

今回の変更は、予想されていた意見を反映したものと言えるでしょう。

Microsoft オブジェクト、無効です!

BISの新規制に関しては、米国国内のテクノロジー大手は一枚岩ではなく、ソフトウエア大手のマイクロソフトも明確に反対を表明している。

昨年の初めに、この規制が協議のために公開された後、マイクロソフトはコメント セクションに書面によるコメントの形でこの文書に対する反対意見を提出しました。

Microsoft は、サイバーセキュリティ活動に関与する個人や団体が政府とのつながりを理由に制限されれば、世界のサイバーセキュリティ市場が大幅に抑制されると述べました. 現在展開されている日常的なサイバーセキュリティ活動の能力。

多くの場合、企業は相手が政府に関係しているかどうか判断できない場合、コンプライアンスの圧力に直面して協力を断念するしかありません。

Microsoft の反対は驚くべきことではありません。

現在の脆弱性共有メカニズムは、Microsoft のソフトウェア開発エコシステムにとって非常に重要です。多くの場合、Microsoft は、関連するパッチやアップグレードをリリースする前に、リバース エンジニアリングやその他のテクノロジを通じて脆弱性を分析する必要があります。脆弱性共有メカニズムが破壊されると、Microsoft による脆弱性の発見と修復の速度が直接低下します。

マイクロソフトは、BIS が「政府エンド ユーザー」の定義をさらに明確にするか、少なくともどの個人または団体がこの定義の対象となるかを明確にするべきであると提案しました。

BISは規制の最終草案を発表した際、Microsoftの反対意見には言及したが具体名は示さず、「BISはこの意見に同意しない」と述べた。

BIS が文書で言及している:

「企業は、「政府のエンドユーザー」を代表する人物に対する制限は、サイバーセキュリティ担当者との協力が困難であるため、サイバーセキュリティ担当者との国境を越えた協力を妨げると述べています。 「人々とコミュニケーションを取り、政府とのつながりがあるかどうかを確認してください。会社はこの要件を削除または変更するよう勧告しました。BIS はこの勧告に同意しませんでした。」

先週発表された最終決定は、「重大な問題はありません」と一致しています。昨年 10 月にコメントのために公開された草案と比較した内容の変更。

しかし、この規制では研究コミュニティからの意見をいくつか採用し、検証が必要なセキュリティ脆弱性の範囲をさらに絞り込み、一時的な例外を追加しました。

つまり、公開された脆弱性の公開やセキュリティ インシデントへの対応など、正当なネットワーク セキュリティ目的の場合、レビューは必要ありません。

#この例外条項は主に、オープン ソース コミュニティの通常の運営に必要な条件を作成することを目的としています。

Microsoft は、ルールを改訂した BIS に感謝する一方で、そのような例外が実際の問題を解決できるかどうかは不明であるとも述べました。

「何が直接公開できるのか、何が公開できないのかは、まだ混乱している状態です。どのような活動にライセンスが必要なのかは、現段階では判断できません。私たちは、これらの技術について、ライセンスが必要となることを懸念しています。」

BIS は Microsoft の懸念を認めましたが、同時にこの条項は米国の国家安全保障に害を及ぼすよりもむしろ有益であると主張しました。

「ワッセナー協定」と同様

#実際、BIS は 2021 年 10 月の時点で「攻撃的なネットワーク ツールの輸出を禁止する」規制を発行し、米国企業による輸出を阻止しました。中国とロシアへの攻撃的なサイバーツールの販売から。

米国商務長官ジーナ・ライモンド氏は、「特定のサイバーセキュリティ品目に対する輸出規制の実施は、米国の国家安全保障を悪意から守るための適切なアプローチである。オンラインでの行為の侵害と合法的なネットワークの確保を図るためのものである」と述べた。

BIS はさらに、現在の規則は「ワッセナー協定」、つまり「ワッセナー協定の輸出管理に関する「継続命令について」」の枠組み内でもあると述べた。武器および軍需品および技術。

「ワッセナー協定」は、加盟国が機密性の高い製品および技術の二重用途品目の輸出許可を発行することを独自に決定することを規定しています。 、および自主ベースで、基本的に協定の他の加盟国に関連情報を通知します。

実際、この協定は実際には米国によって大幅に管理されており、他の加盟国の輸出管理規制に影響を及ぼし、西側諸国が中国に対してハイテク独占を実施するための重要なツールとなっている。

この協定は「軍事・軍民両用技術」の輸出政策を統制するもので、協定国は米国、英国、フランス、ドイツ、日本など主要先進国を含む42カ国となっている。ロシアも協定には参加しているが、依然として禁輸対象の一つである。

以上が米国商務省の新規則: 承認なしに中国にセキュリティ脆弱性を共有することは禁止されており、Microsoft の異議は無効の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。