「おたくのICチップを採用した病院の電子カルテ管理システムが、公立病院に採用された。ついては、ソースコードを開示してほしい」――今回、取材で“懸念”として上げられた一例である。
一時は、世間を大きく騒がせた中国政府によるITセキュリティ製品の強制認証制度。5月に中国政府が一年の実施延期と、適応範囲を政府調達に限ると発表した(関連記事)ことで、猶予期間ができたかに見える。なかには、威勢よく制度を掲げたものの、「反響の大きさに驚き、着地点として延期を発表したのではないか」「このまま実施自体もなし崩しになるのでは」との見方もある。こうした見方も出てきている今、あえて問題点を再確認し、日本のとるべき道を考えたい。
CCCとCCRA
まずは、5月に実施予定だった「強制認証」制度の、何が問題なのかをあらためて見ていこう。2010年5月に政府調達に限って行なわれる強制認証も、内容に変更はない。
制度の対象はセキュリティルーターやセキュアOS、ICカード用のチップOSなど13品目で、中国の国内安全規格である「CCC(China Compulsory Certification)」の認証対象に新たに加えられる。CCCの認証を受けていない製品は、中国国内での販売、輸入、使用が禁止されるという厳しいものである。認定にあたっては、中国国内の認証センターと、7ヵ所の試験センターが公告に明示されている。
制度の実施が公になるのと同時に、ITセキュリティ機器のキモである「ソースコードを開示させられるのでは」という疑念が噴出した。ただし、公告では、検査項目の詳細は明らかではない。これをもって、「中国はソースコードを見せろとはいっていない」という声も聞こえてくるが、ソースコード開示への懸念は、しっかりとした根拠のあるものだ。
そもそもCCCは、中国のWTO加盟にあたり通商の障害となっていた国内の安全基準を国際規格に合致させるために新設された、という経緯がある。WTOの規約では、国内基準は国際基準に合致させるよう求めているため、ITセキュリティ製品の国際標準である「ISO/IEC15408」を参考としてCCCを整備するのであれば、ソースコードの評価も規格の取得に含まれる(※ISO標準に基づく審査では、申請者の希望する認証のレベルに応じて、ソースコードの審査もすることがある)。したがって、対象品目であればソースコードの開示は求められると考えるのが妥当だ。
IPAによる、CCRA解説図
ソースコードも審査する制度に関しては、「みんながやっているのに、中国だけに反対するのはおかしいのではないか」という議論もある。実際、今回中国が取った手法は、WTOの規約を国内法に適用するという、各国が行なっている行為であり、それだけならば問題はない。
ただし、WTOでは同時に、海外の認証機関による認定結果の受け入れも可能な時には求めている。そこで日本をはじめとする26ヵ国は、「CCRA(Common Criteria Recognition Arrangement)」と呼ばれる枠組みを設定し、相互認証を受け入れいている。このCCRAに中国が加入していないのが問題なのである。
審査を行なう機関が国の直属機関というのにも議論がある。日本や諸外国では、認定を行なうのは公的機関だが、審査は企業やNPO法人によって行なわれている。これが、「日ごろから付き合いのある機関に(ソースコードを)出すのとは違う」という声に現われている。また日本も、電気安全などの分野ではCCCを受け入れている。同様の検査ITセキュリティ分野でも実施されるとすれば、中国から派遣された審査官が工場や生産現場を視察し、提示されたソースコードなのど設計に基づき、製品が正しく作られているかどうか確認することになる。こうした手間と時間が、企業の負担となることはいうまでもない。
さらに、そもそも論でいえば、ITセキュリティの確保のために、公的機関の強制的な認証を義務付けている国は、知る限りない。認証を受けるのにしても、ソースコードの開示の範囲は企業側が決め、見せたくないのなら認証など取らなくとも、国によって販売が禁止されることはない。選択は、消費側が判断すればいいことである。
次ページに続く
