本文へジャンプメニューへジャンプ

富士通総研

  1. ホーム >
  2. 調査・研究成果 >
  3. 中国通 >
  4. トピックス >
  5. 2009年 >
  6. 中国の情報セキュリティー保護及び認証制度
ここから本文です

中国の情報セキュリティー保護及び認証制度

発行日 2009年6月8日

主席研究員 金 堅敏


情報ネットワークセキュリティー保護制度と商用暗号管理制度

  • 中国は、1994年に『中華人民共和国計算機情報システム保護条例』を公布して、情報セキュリティー保護の問題に取り組み始めた。1999年9月に公安部(警察)などにより『計算機情報システムセキュリティー保護等級区分準則』が公布され、情報ネットワークセキュリティーのレベル別保護制度(レベル1~5の五段階)が確立された。当該準則は2001年1月1日に施行された。
  • 2007年6月に公安部等の四部門は『情報セキュリティー等級保護管理弁法』(Multi-Level Protection Scheme: MLPS)を公布した。弁法には情報ネットワークセキュリティー保護に関する詳細な規定が決められた。例えば、レベル4~レベル5のネットワークシステムについては行政情報セキュリティー監督機関による強制検査が要求されている。
  • 他方、1999年10月7日に『商用暗号管理条例』を公布して、使用者の利益や国家安全の立場から国家秘密を取り扱わない商用暗号技術や製品の生産・販売・使用について許認可制度が敷かれている。

ITセキュリティー製品の任意認証制度

  • 他方、ITの普及やWTO加盟を備えて中国は、情報セキュリティー認証制度の確立に着手し、1998年10月に中国情報セキュリティー製品測定認証センター(現在の名称:China National Information Technology Security Certification Center: CNITSEC)が設立され、1998年末ごろには独自の情報セキュリティー認証制度が確立された。制度自体は任意認証の性格であった。
  • 認証基準は自主開発のものであったが、2001年にITセキュリティー製品の国際標準であるISO/IEC 15408(欧米主要先進国のITセキュリティー認証基準を統一したCC(Common Criteria)から生まれた国際基準)に準ずる国家基準であるGB/T18336-2001を制定し、認証の基準にした。この意味でITセキュリティー製品について日米欧等の26ヵ国の間で確立されている任意かつ相互承認の枠組みCCRA(Common Criteria Recognition Arrangement)で採用されている認証基準CCと大きな差はない。
  • ただ、中国はCCRAに加入していないので、以下のようにいくつか独自な制度も有する。
  1. 認証に当たっての評価方法について中国は、CCRAが採用している共通評価方法(CEM: Common Evaluation Methodology)であるISO/IEC 18045に準ずるGB規格を制定しておらず、CNITSECも独自のルールやマニュアルを使用しているという。
  2. 中国では、認証証書の有効期間は3年でその後は再評価する必要があったが、CCRAのスキームでは有効期間が無期限になっている。
  3. 中国の認証評価機関はすべて公立な組織になっており、日米欧のような認可された民間機関の参入は許可されていない。
  • また、CNITSECが取り扱っている認証保証レベル(EAL:Evaluation Assurance Level) はEAL4+までである。実際、CCRAの相互認証範囲もEAL1~EAL4に限定されており、EAL5~EAL7は各国の認証を受ける必要があるとなっている。

ITセキュリティー製品の強制認証制度(CCC)

  • 他方、中国では、情報セキュリティー問題を非伝統的国家安全保障問題と認識し、2003年9月に中国共産党委員会・国務院は「情報処理安全保障活動を強化する意見」を通達して、情報セキュリティー確保の手段としての認証問題を提起した。
  • 2004年10月に公安部、情報産業部などは「国家情報安全認証システムの構築に関する通知」で全国統一した情報セキュリティー認証評価システムの構築や国家情報セキュリティー製品認証管理委員会の設立を決定した。ソフト製品も認証対象とした。
  • 2005年4月「国家情報セキュリティー製品認証管理委員会」を設立、活動を開始した。13種類の製品を第1回目の強制認証製品目録として中国の強制認証(CCC:China Compulsory Certification)製品リストに追加し、2007年8月26日にWTOのTBT協定に基づいてWTO事務局へ通告した。
  • 2008年1月28日に国家品質検査総局・国家認証監督委員会は、「部分情報セキュリティー製品に関する強制認証実施の公告」を公布し、13種類の製品の強制認証を2009年5月1日から実施する旨を正式に公布したが、日米政府や業界団体の強い反発に遭遇し、制度の実施延期を余儀なくされた。
  • 2009年4月29日に国家品質検査総局、財政部、国家認証認可監督委員会は、「情報セキュリティー製品強制認証実施要求の調整に関する公告」及び「情報セキュリティー強制認証実施細則」(上述13種類の分野) を公布し、認証範囲を政府調達に限定する妥協案を出し、実施時期も2010年5月1日に延期する運びとなった。それでも、日米欧からの反発は弱まる気配を見せていない。
  • 日米欧などにもCCCと同様の制度はあり、製品の安全(Safety)を確保するのが主たる目的である。しかし、今回中国は、国家の安全(National Security)を確保する手段としてCCCを用いたと主張しており、意見の一致は長引こう。

最新の一覧へ

2009年の一覧へ



ページの先頭へ

ここから関連メニューです

関連リンク

お問い合わせ

このコンテンツについて


ここからサイト内共通メニューです
ページの終わりです