米商務省の新規制：承認なしに中国とセキュリティの脆弱性を共有することを禁止、マイクロソフトの異議は無効

最近、米国商務省産業安全保障局（BIS）は、サイバーセキュリティ分野に関する最新の輸出管理規制を正式に発表しました。

はい、「エンティティリスト」と「貿易ブラックリスト」を発表しているのはBISです。近年では「中国ネットユーザーの古い友人」とも言える存在です。

今回は何ですか？主にネットワークセキュリティと脆弱性情報の管理と制御に関するものです。

簡単に言えば、米国の団体が中国政府関連の組織や個人と協力する場合、セキュリティ上の脆弱性や情報を発見しても、それを直接公表することはできず、まず商務省の審査を受けなければならない。

その理由は、ここでも、実証済みの「国家安全保障」と「テロ対策の必要性」である。

実は今回発表された新規則は、2021年10月の暫定規則（意見募集案）を最終確認したもの。この規制では、世界各国をA、B、D、Eの4つのカテゴリーに分類し、制限と厳しさが徐々に高まっていきます。

中国は「制限対象国・地域」を意味するカテゴリーDに分類され、カテゴリーEは「包括的禁輸対象国」である。

この規則は、「国家安全保障とテロ対策の考慮」のため、特定のサイバーセキュリティ プログラムに対する新たな規制を規定するものである。

同時に、BISはサイバーセキュリティ輸出を認可するための新たな例外も追加しました。主な内容は、これらのサイバーセキュリティ項目のほとんどの輸出先への輸出を許可することですが、上記の例外は許可されません。

BIS は、これらの規制対象品目が監視、スパイ活動、または破壊活動の目的で使用される可能性があると考えています。

さらに、この規則は、商務省規制品リストの輸出規制分類番号を修正します。

新しい BIS 規制では、世界中の国々を A、B、D、E の 4 つのカテゴリに分類しており、その中でカテゴリ D が最も懸念され、制限されている国と地域です。

上図に示すように、中国はカテゴリーDに分類されます。

新しい規制によれば、カテゴリーDの国や地域の関連政府部門や個人と協力する組織は、潜在的なネットワーク脆弱性情報を国境を越えて送信する前に、事前に申請して許可を得る必要がある。

もちろん、条件には例外があります。脆弱性の公開やインシデント対応など、正当なサイバーセキュリティ目的であれば、事前の申請は必要ありません。

中国は国家安全保障、生物化学、ミサイル技術、米国の武器禁輸の4つの分野で「X」マークを付けられていることがわかります。

この文書では、グループDの政府に代わって行動する人物が米国の国家安全保障や外交政策上の利益に反する活動のために「サイバーセキュリティプログラム」を取得するのを防ぐために、政府に代わって行動する個人に対するライセンス要件が必要であると述べられている。

この要件がない場合、カテゴリー D の国の政府がこれらのプロジェクトにアクセスできるようになる可能性があります。

BISが採用したこの要件は、輸出業者が場合によっては取引先の個人や企業の政府関係を確認しなくてはならないことを意味する。

しかし、ライセンス要件は範囲と適用範囲が限定されているため、BIS は、この要件によって合法的なサイバーセキュリティ活動に過度の影響を与えることなく、米国の国家安全保障と外交政策上の利益が保護されると考えています。

同時に、BISは§740.22(c)(2)(i)も改正し、例外の範囲を事実上拡大しました。

現在の条件では、グループ D 諸国へのデジタル製品の輸出、またはグループ D 諸国への警察や司法機関向けのサイバーセキュリティ製品の輸出が許可されています。

しかし、BIS は、刑事または民事の捜査や訴追の目的で、グループ D 諸国の警察または司法機関へのデジタル製品の輸出のみを許可する予定です。

これらの変更は予想された意見を反映していると言えます。

Microsoft は異議を唱えます。無効です!

米国のテクノロジー大手はBISの新規則を一致して支持しておらず、ソフトウェア大手のマイクロソフトは明確に反対を表明している。

マイクロソフトは昨年、この規制の草案がコメント募集のために公開された後、コメント欄に書面による意見の形でこの文書に対する異議を提出した。

​

マイクロソフトは、サイバーセキュリティ活動に携わる個人や団体が政府とのつながりを理由に規制されれば、世界のサイバーセキュリティ市場が現在展開している従来のサイバーセキュリティ活動を実行する能力が大きく抑制されることになると述べた。

相手が政府と何らかのつながりを持っているかどうか判断できない場合、企業はコンプライアンス上の圧力により協力を断念せざるを得ない場合が多い。

マイクロソフトの反対は驚くべきことではない。

現在の脆弱性共有メカニズムは、Microsoft のソフトウェア開発エコシステムにとって非常に重要です。多くの場合、Microsoft は関連するパッチやアップグレードをリリースする前に、リバース エンジニアリングなどのテクノロジを通じて脆弱性を分析する必要があります。脆弱性共有メカニズムが破壊されると、Microsoft が脆弱性を発見して修正する速度が直接低下します。

Microsoft は、BIS が「政府エンド ユーザー」をさらに定義するか、少なくともこの定義の対象となる個人または団体を明確にする必要があると提案しました。

BIS が規則の最終草案を発表したとき、マイクロソフトの異議については言及したものの、その名称は明らかにせず、「BIS はその意見に同意しない」と述べた。

BIS 文書には次のように記載されています。

「ある企業は、『政府のエンドユーザー』に代わって行動する人物に対する制限は、そうした人物と通信する前に政府とのつながりを審査する必要があるため、サイバーセキュリティ担当者との国境を越えた協力を妨げるだろうと述べた。同社は、この要件を廃止または変更することを推奨した。BISはこの推奨に同意しなかった。」

先週発表された最終決定には、昨年10月に発表された意見募集の草案から大きな変更はない。

しかし、この規制では研究コミュニティからの意見がいくつか採用され、検証が必要なセキュリティ脆弱性の範囲がさらに狭められ、一時的な例外が追加されました。

つまり、公開されている脆弱性の開示やセキュリティ インシデントへの対応など、正当なサイバー セキュリティ目的の場合は、レビューは必要ありません。

この例外条項は主に、オープンソース コミュニティの正常な運営に必要な条件を作り出すことを目的としています。

マイクロソフトはBISの規則変更に感謝する一方で、このような例外条項が実際の問題を解決できるかどうかは不明だと述べた。

「直接開示が許可されているものと許可されていないものについて混乱があります。現時点では、どのような活動にライセンスが必要なのかは明らかではありません。特定の使用カテゴリに完全に分類できないテクノロジーの場合、ライセンス取得が非常に面倒になるのではないかと懸念しています。」

BISはマイクロソフトの懸念を認めたが、この規則は米国の国家安全保障に害よりも利益をもたらすと主張した。

ワッセナー協定に類似

実際、BISは2021年10月という早い時期に、米国の企業が中国やロシアに攻撃的なサイバーツールを販売するのを防ぐため、攻撃的なサイバーツールの輸出を禁止する規制を発行しました。

ジーナ・ライモンド米商務長官は「特定のサイバーセキュリティ製品に輸出規制を課すことは、悪意のあるサイバー攻撃者から米国の国家安全保障を守り、合法的なサイバーセキュリティ活動を確保するための適切なアプローチだ」と述べた。

BISはさらに、現在の規則はワッセナー・アレンジメント、すなわち「通常兵器および汎用品・技術の輸出管理に関するワッセナー・アレンジメント」の枠組みにも合致していると述べた。

​

ワッセナー協定は、加盟国が軍民両用型の機微な製品や技術の輸出許可を発行するかどうかを自ら決定し、自主的に他の加盟国に協定を通知することを規定している。

実際のところ、この協定は米国によって大部分が管理されており、他の加盟国の輸出管理規制に影響を及ぼし、西側諸国が中国に対してハイテク独占を実施するための重要なツールとなっている。

この協定は「軍事および軍民両用技術」の輸出政策を規定する。米国、英国、フランス、ドイツ、日本など主要先進国を含む42カ国が署名している。ロシアもこの協定の当事国ではあるが、依然として禁輸措置の対象国の一つとなっている。​