必読-ENISA の「協調された脆弱性開示」のポリシー報告

我が国の「早期警戒パートナーシップ」は、世界のなかでもっとも古くから運用されてきた脆弱性に関する「協調された開示」の仕組みであり、私も、その開始のときから、その仕組みについて検討するためのチームメンバーの一人でいることは、本当に誇りに思っています。

なお、「協調された開示」については、ブログの「脆弱性の開示の枠組を深く勉強したい人に-ワクチンの予約システムの報道に関して」とか、「協調的な脆弱性の開示」(CERTのガイド)」とか、を紹介しておきます。また、「情報システム等の脆弱性情報の取扱における法律面の調査 報告書 改訂版」(平成31年度)」(以下、法律面報告書といいます)も紹介しておきます。

ところで、ENISA(欧州連合セキュリティ庁)から、「協調された脆弱性開示のポリシー」(Coordinated Vulnerability Disclosure policies in the EU)報告が公表されている(2022年4月13日)ので、内容を検討したいと思います。まずは、表紙は、こちらです。

内容的には、参照文献等をいれないでも80ページという大部なものになります。

構成は、

  1. 協調された脆弱性開示のポリシー
  2. 協調された脆弱性開示のポリシーの実務
  3. 推奨事項
  4. 参考文献

となっています。

ところで、このプレスリリースとエグゼクティブサマリーについては、「まるちゃんの情報セキュリティ気まぐれ日記」の「ENISA EUにおける協調的脆弱性開示政策」で日本語の訳がなされています。エグゼクティブサマリーでもかなりのことがわかるので、そちらは、まるちゃんのブログをみていただくことにして、私は、内容を読んでみたいと思います。


1 序

このENISAの研究は、主にEU加盟国およびEU域外における協調的脆弱性開示(CVD)実践の背景と現状について、包括的な概要を描くことを目的としていることがふれられています。

  • 既存の、あるいは計画中の各国のCVD政策イニシアチブの概要を、グッドプラクティス、課題、政策の試みに関する提言とともに示しています。
  • 国、地域、世界の脆弱性データベースを分析し、脆弱性とレジストリの管理に関するさまざまな実践を、これらのデータベースで使用されているフォーマット、指標、手順とともに紹介しています。
国家CVD政策

国家CVD政策は、セキュリティ研究者が一定の規則に従ってICT製品やサービスを研究し、発見した脆弱性を国家当局または製品ベンダーに報告することが許可・奨励される枠組みをいます。国のCVDポリシーは、その国のサイバーセキュリティの全体的なレベルを高め、透明性を向上させるのに役立ちます。これにより、その国で利用されているICTサービスや製品に対する信頼を高めることができます。

対象読者

本調査は、このトピックに関する最新の考え方に関心を持つ CVD 関係者の情報源となることを意図しています。

本レポートの対象読者は、CVDの専門家グループごとに分類することができます。このグループには、脆弱性管理の協調的な取り組みに携わる政策立案者や国家機関、各国のコンピュータ緊急対応チーム(CERT)やコンピュータセキュリティインシデント対応チーム(CSIRT)、オープンソースまたは商用データベースを所有する民間セクターの関係者で現在の CVD 開発と優れた実践について学びたいと考えている人たちが含まれます。最後に、ベンダーと研究者は、この研究を彼らの活動を支援する文書として扱うことが望まれます。

政策的背景

EUおよび国際レベルにおけるCVD政策と脆弱性データベースに関する現在の政策および法的背景として

  • サイバー犯罪に関するブダペスト条約(2001)
  • サイバーセキュリティ法(2019)
  • ネットワークと情報セキュリティ2(NIS2)指令-提案状態

などが発展していることがあげられています。また国家間で調整された脆弱性プロセスへのCSIRTの関与が明確に述べられています。

さらなる明確化と調和のためのアクションが検討されているとして、NIS2 指令の提案は、ICT 製品とサービスの脆弱性を登録、開示、監視する組織とサプライヤーを支援するために、欧州脆弱性データベースの開発がなされていることが述べられています。この脆弱性データベースは、すべての関係者が、脆弱性、影響を受ける製品やサービス、脆弱性の深刻度、脆弱性が悪用される状況、パッチの有無、またはパッチがない場合、リスクを軽減するためにシステム管理者やユーザーが取るべき措置に関する指針を記述した情報にアクセスできるようにするものです。

方法論

CVD の政策と登録に関連する机上調査によって収集されたデータは、調査結果の背景を説明し、考察を導き出すのに役立っています。さらに、国の所轄官庁や CERT と 19 回の面談を行っています。これらのインタビューは二次調査を充実させ、証拠に基づくインプットにより主要な発見を外挿することを可能にしました。収集したデータの詳細な分析と多面的分析により、主要な発見、EUにおけるCVDの現状に関する分析結果の詳細な説明、EUのCVDイニシアチブ計画に関する提言が得られています。


2 協調された脆弱性開示のポリシー

2.1 EU/関係国およびEU域外の国のCVDポリシーの現状(ステート・オブ・プレイ)

この調査結果は、CVD政策を実施している国、実施過程にある国、あるいはCVD政策を実施していない国の代表者が行ったインタビューによる分析に基づき、補完されたものである。特に、CVD政策を策定しているすべての国、CVD政策を策定中または策定しようとしているほとんどの国、CVD政策を策定していない一部の国を対象としたインタビューを行いました。インタビューに応じる代表者は、さまざまな地域や国の規模を考慮しながら、十分な代表性を保証するように選ばれました。この情報は、EU全域でCVD政策を確立する際に注目すべきベストプラクティスや課題(特に法的課題)についての詳細な分析によって補完されました。より具体的には、以下のような内容が含まれています。

  •  EUおよび関連するEU外の国や地域におけるCVD政策の現状
  •  CVDに関するグッドプラクティスの概要(各国から収集したグッドプラクティスやアイデアをまとめたCVD政策・手続きの雛形を含む)
  •  課題と問題の概要(技術、政策、経済、法律の問題を含む)
  •  課題と問題を解決するための可能性と推奨事項。

2.2 EU諸国におけるCVDポリシーの現状

構成国間の国家CVD政策の実施状況を見ると、構成国間でかなりの違いがあることがわかる。調査によると、断片化したEU環境の中で発展しながらも、複数の構成国が国別CVD政策の策定を進めているが、そのスピードはまちまちである。

確立している国

オランダは、EUのCVD政策確立の取り組みをリードしています。オランダとともに、フランス、ベルギー、リトアニアは、国内CVD政策が完全に確立されている唯一の国である。

動き出した国

いくつかの構成国(4カ国)は、政策の実施に向けて動き出しています。この場合、提案は政策立案者のレベルで検討されているか、パイロットプロジェクトで試験的に実施されている。いくつかの構成国(10カ国)は、国内のCVD政策を実施中であるか、実施しようとしている。しかし、政治や立法レベルでのコンセンサスが得られないことが、このプロセスの障害となっている。

まだ始まっていない国

最後に、別の構成国(9カ国)はCVD政策を実施しておらず、政策の確立に向けたプロセスもまだ始まっていません。CVD政策を実施していない構成国のほとんどは、特にNIS2指令の国内移行の観点から、将来的にCVD政策を策定する意向を表明している。CVD政策の実施に反対している構成国は非常に少ないようです。場合によっては、正式な政策がなくても、その国の現在の慣行や法的枠組みによって、すでにCVD処理が行われているためです。


ということで、既に、整備がなされている国として、ベルギー、オランダとフランスのところを訳してみます。

2.3

ベルギー

2018年以降、サイバーセキュリティ・ベルギーセンター(CCB)は、検察庁、脆弱性レポーターコミュニティ、民間企業、公的機関などと協力し、CVDポリシーに対する国家的アプローチの開発に取り組んできました。国のCVDポリシーは、ベルギーのサイバーセキュリティ戦略(国家安全保障会議と首相府が採択)およびCCB基本セキュリティガイドライン(CCB経営陣が採択)に明示的に含まれる正式なポリシーです。2019年、CCBは他の組織への模範として、ウェブサイトのCVDポリシーを採択しました。2020年12月、CCBは、ベルギーのすべての組織がCVDポリシーまたはバグバウンティ を採用することを奨励するための国家ガイドラインを発表しました。

このポリシーは、民間および公共団体のための協調的な脆弱性開示ガイドラインの採用を促進するもので、以下の異なる文書に分かれています。ガイドパートI-グッドプラクティス、ガイドパートII-法的側面、ポリシーの例、フォルダ、およびFAQです。CCBは、国家CVD政策の実施を担当し、政策の雛形を提供しています。国家CVDポリシーは、デフォルトでCCB(CERTチームとともに)をCVDコーディネーターとして位置づけている(関係機関がCVDポリシーを策定していない場合でも)。脆弱性がまだ知られておらず、他の場所に直接的または間接的な影響を及ぼす恐れがある場合、脆弱性の特定に責任を持つ組織は、たとえその脆弱性の公表を望まない場合でも、CCBと潜在的に関係する他の組織に通知しなければならない。

既存の法的枠組みを修正することなく、これらのガイドラインは、組織が CVD ポリシーを採用し、CCB(CERT チーム)3 がデフォルトで CVD コーディネーターとしての役割を果たす場合(CVD ポリシーがない場合でも)、研究者の法的状況を明確にする。

ベルギーでは、CVD ポリシーやバグバウンティは一種の加盟契約とみなされており、通常、責任ある組織と研究者の間の契約条項の概要を ウェブサイトで公開している(研究者が自由に参加することを決定した時点で、研究者はそれを受け入れる)。本方針に記載された相互の義務を遵守することを条件として、このような方針を採用することは、研究者が善意で当該ITシステムにアクセスしたり、アクセスを試みたりして、考えられる脆弱性を特定したり、ITシステムのセキュリティに関するあらゆる関連情報を提供することを、責任組織から承認されることを意味します。したがって、研究者がITシステムにアクセスすること、またはアクセスを試みることは、CVDの所定の規則が満たされている限り、合法的なことです。これらの規則は、特に、交換される情報の機密性を保証し、発見された脆弱性の開示について責任と調整のある枠組みを提供するものでなければなりません。「開示」という言葉は、必ずしも脆弱性を公開することを意味するのではなく、参加者が責任ある組織に伝えることを意味します。参加者は、脆弱性を責任ある組織に伝える義務がありますが、(参加者または関係組織による)脆弱性の公開は任意であり、調整されなければなりません。脆弱性がまだ知られておらず、他の場所に直接的または間接的な影響を及ぼす恐れがある場合、当該組織は、脆弱性の公開を望まない場合でも、CCBと潜在的に関与する他の組織に通知しなければなりません。

CCBの方針は、付録で詳しく紹介されています。

ベルギーでは、CVDやバグバウンティポリシーを導入している組織がかなりあります。Roximus, Telenet, Voo, Base, SNCB, Brussels Airlines, Port of Antwerp, VRT, Kinepolis, KUL, Randstad, Itsme, New pharma, Cybersecurity coalition, Tomorrowland, Torfs and Dpg Media. さらに、ベルギーを拠点とする重要なバグバウンティプラットフォーム(Intigriti)があり、これらのポリシーの一部を調整しています。

オランダ

オランダは2013年からCVD政策を導入しています。オランダはEUのCVD政策の確立を主導し、他の加盟国がそれぞれの課題や懸念に取り組む際の支援に大きく貢献しました。オランダの法律にはCVDに関する言及はありませんが、正式な政策です。公式な政策に最も近いのはbeleidsbrief OMで、ざっくり訳すと「CVDに関する検察官の政策書」である。検察官は自律的な役割を果たし、いつ起訴するかを決定する裁量権を持っています。この文脈では、歴史的な司法事例が、セキュリティ研究者が活動できる境界線を確立しています。

2013年以降、オランダ国立サイバーセキュリティセンター(NCSC NL)は、数百件の報告書を受理し処理している。同国の多くの組織が CVD を積極的に採用し、その結果に満足しています。軽微な問題や理論的な問題の脆弱性報告であっても、そうでなければ見つからなかったであろう重要な報告もあり、悪用されればインフラや顧客データのセキュリティに大きな悪影響を及ぼす可能性があります。オランダのCVDポリシーの詳細分析は、別紙をご覧ください。

フランス

フランスは 2016 年に CVD 方針を制定した。研究者が脆弱性の疑いをANSSI(Agence nationale de la sécurité des systèmes d’information)に報告した場合、デジタル共和国法 47条は、同40条に優先します。同47条は、脆弱性を報告した研究者(「善意者」)を40条の規定から免除しています。 また、機関は、脆弱性を報告した研究者の身元の機密を保護しなければならない。

 47 条(art. 47条(L 2321-4 防衛法(Code de la défense))は、2つの法的基準が厳密に満たされた場合に、脆弱性報告者のセーフハーバーを作り、フランス刑事訴訟法40条( Code de procédure pénale)の法的適用除外を構成しています。

 1. 脆弱性を報告する研究者は、善意で行動しなければならない。すなわち、法的枠組みの枠内で行動していることを認識しているか、あるいは、法的に認められた範囲外で行動していることに気がつかなかったことに合理性があることである。

 2. 脆弱性は ANSSI にのみ報告されなければなりません。セーフハーバーを形成するのには、他の公的機関が脆弱性の通知を受け、第 47 条の法的基準を満たすことはできない。

この2つの基準が厳密に満たされる場合、以下のようになります。

1. 脆弱性発見が通常犯罪になるはずのものであっても、起訴されることはない。

2. ANSSIは、脆弱性の所有者の身元を保護し、脆弱性レポートおよび脆弱性の発見に関連する情報を匿名化することができます。

ANSSIは、この法律の実施を監督し、研究者がセーフハーバーの恩恵を受けるためのガイダンスと手順を提供します。また、ANSSIは、研究者やベンダーとの脆弱性開示の調整において、MITREへの脆弱性の登録に貢献しています。CERT FRは、脆弱性情報を含むセキュリティアラートのリストを提供していますが、脆弱性の報告は、フランスで活動し、インシデントレスポンスチームを持つ一連の組織に限定されています。

注目すべきは、現在の最新勧告(ISO規範など)に触発された包括的なCVDポリシーが、現在ANSSIで検討されていることです。

あと、我が国に対しての影響力の大きそうなところでとドイツをみます。ドイツは、現在、動き出している国として整理されています。

ドイツ

形式的には、ドイツにはCVDに関する国内規制はありません。しかし、ドイツ連邦情報セキュリティ局(BSI)は、BSIの経営陣と関連省庁の承認後に公表される方針を定めています。脆弱性に対処するために、連邦政府からBSIへの報告、BSIによる報告に関するプロセスが確立されています(BSI法(BSIG)§4 Paragraph 2-4 参照)。これによると、すべての連邦政府当局は、他の当局の業務遂行または情報技術のセキュリティにとって重要な、新たに特定された脆弱性に関連する情報をBSIに報告しなければなりません。

発見された脆弱性はすべて、BSIを経由して影響を受けるメーカーに報告され、メーカーはそれに応じて行動することができます。この手順の目的は、脆弱性が悪用される可能性から生じる損害を最小限に抑えることです。一方、影響を受けるメーカーが協調して参加することで、機能するセキュリティアップデートを提供することができます。一方では、脆弱性と攻撃の詳細を一時的に保持することで、潜在的な損害を軽減することができます。

現在、BSIの方針は、この当局がCVDの焦点となっているため、ドイツの国家方針とみなされるべきものです。このため、ドイツの他の公的機関が、別の正式なCVDポリシーを発表することは期待されていません。

ドイツ連邦軍(Bundeswehr)も、2020 年 10 月 21 日に脆弱性開示方針を発表しています 。このポリシーは、インターネットに接続されアクセス可能な連邦軍のITシステムおよびWebアプリケーション、特に連邦軍のWebサイト に適用されます。このプログラムは、連邦軍の病院(ベルリン、コブレンツなど)、大学(ミュンヘン、ハンブルク)など、デジタルでアクセス可能なすべてのシステムに適用されます。このポリシーは、連邦軍の同意なしに第三者のプログラムで脆弱性レポートを作成したり、送信したりするために使用することはできません。Bundeswehrは、報告されたバグの有効性と改善について研究者に情報を提供することを保証し、成功した報告については謝辞のページで認識されることになっています。現在のところ、バグ報告に対する報奨金の支給は予定されていません。

ドイツ連邦軍 脆弱性協調取扱方針

Bundeswehrは、2020年10月21日に脆弱性開示方針を発表した。脆弱性が発見された場合、研究者は以下のように進めてください
・報告する前に、Bundeswehr脆弱性開示ポリシーの範囲に含まれず、この文脈で扱われないケースを確認する。
– お問い合わせフォームを使用して、セキュリティ問題について私たちと連絡を取るか、security@bundeswehr.org までメールで結果を送信してください。この機密情報が悪人の手に渡らないように、当社のプリティ・グッド・プライバシー(PGP)キーでドキュメントを暗号化してください。お客様とドイツ連邦共和国の中央報告事務所との間のコミュニケーションを最適化するために、提供されたフォーマットテンプレートを使用するようお願いします。
– データのダウンロード、変更、削除、コードのアップロードなど、脆弱性や問題を悪用しないでください。
– 連邦軍の承認がない限り、脆弱性に関する情報を第三者や機関に伝えないでください。
– 当社のITシステムに対して、インフラや人を危険にさらす、変更する、操作するような攻撃を行わないでください。
– 連邦政府に対するソーシャルエンジニアリング(フィッシングなど)、(分散型)サービス拒否、スパムなどの攻撃を行わないでください。
– 問題の再現と分析ができるよう、十分な情報を提供してください。また、質問のための連絡先オプションも提供してください
Bundeswehrのコミットメントは以下の通りです。
– 私たちは、できるだけ早く脆弱性を解消するように努めます。
– 報告書の受領と報告書に関するフィードバックを当社から受け取ります
– 連邦軍のセキュリティポリシーの指示に従った場合、法執行機関には、あなたが調査結果に関連していることは知らされません。ただし、犯罪や諜報の意図が追求されていることが明らかな場合は、この限りではありません。
– 当社は、お客様の報告書を機密として扱い、お客様の個人情報をお客様の同意なしに第三者に譲渡することはありません。
– 報告書の受領と、処理期間中に脆弱性/ITセキュリティギャップの有効性、問題の解消についてお知らせします。
– 発見者は能力によって判断され、年齢、学歴、性別、出身、社会的地位によって判断されるものではありません。だからこそ、私たちはこの敬意を公に示し、この功績を認めるのです。また、特に希望がない場合は、公開された脆弱性と発見者の名前(または別名)を「thank you」ページに記載し、良好な協力関係を公的に表明します
脆弱性についての適格な報告
– クロスサイトリクエストフォージェリ(CSRF)
・クロスサイトスクリプティング(XSS)
・安全でない直接オブジェクト参照
・リモートコード実行(RCE)-インジェクションの欠陥
 ・情報漏えい、不適切なエラー処理
  ・プロパティやアカウントへの不正アクセス など

連邦軍は、脆弱性を報告するために従うべきフォーマットテンプレートも提供しています。

その他の法域については、省略します。

2.4 欧州連合以外のCVD

2.4.1 中国
はじめに

利用可能な文献によると、中国64 では、ソフトウェアの脆弱性評価プロセスが情報機関によって主導されています。中国のプロセスは、「脅威の高い脆弱性は、(中国国家脆弱性データベースで)公開される前に、諜報活動での有用性を評価されると考えられ、これらの脅威の高い脆弱性は、国内の監視や外国の諜報活動など、[国家安全部]にとって運用上有用であるかどうかに基づいて公開されたり、公開が遅れたりする」というものです。中国政府は、国家安全保障上の目的に使用するために、価値の高い脆弱性を保持していると思われる。そう考える理由の1つは、これらの脆弱性の公表が、脅威の低い脆弱性に比べて21日から156日も遅れていることです。例えば、Microsoft Officeの脆弱性CVE-20170199は、中国のデータベースによって2ヶ月近く遅れて公開されましたが、これはこのソフトウェアの脆弱性を悪用して他の国や組織に対して攻撃を仕掛けるのに十分な時間です。この同じ脆弱性が、WannaCryとNotPetyaの両攻撃の中核であることは偶然ではありません。

2020年、中国政府は脆弱性の公開方法に関する具体的なルールを導入し、研究者が公開する前に当局に報告することを義務付けることを検討していた。このようにメディアが、管轄当局に伝達される前の脆弱性の詳細を公表することは制限されているため、極めて重要な問題である。この制限は、大幅に遅れて情報を受け取ることになる企業や個人に重くのしかかる。2019年、チナルでは、ネットカフェの顧客情報や機密性の高い医療データなど、注目度の高いデータの盗難がいろいろと発生した。そのため、政府の大規模なプレゼンスが必要とされたのは、国家の安全や公共の利益を損なわないためというのが公式な理由であった。同時に、中国国民が国のサイバー活動を支援することも求められた。すでにサイバーセキュリティ法(2017年)の第7条では、国民は国家情報機関を支援し協力することが求められている。この機関への支援は、以下で説明するネットワーク製品のセキュリティ脆弱性管理に関する規定(2021年)において明示される。

脆弱性開示に関する新法をよりよく理解するためには、現在の中国のサイバーセキュリティ法体系を簡単に説明することが有効である。中国のサイバーセキュリティ法制度は、2005年の国家安全保障法を頂点とし、その一段下に2017年のサイバーセキュリティ法があるピラミッド型に構成されています。2016年から承認されたサイバーセキュリティ法は、サイバー活動に関わる既存の規制を強化することで、中国の「サイバースペース主権」を保護することを目的としています。例えば、当時中国にデータを保存していなかった企業は、重い罰金を避けるためにクラウドシェアリングサービスを購入しなければならなかった。ネットワーク・セキュリティは、国民の権益を保護し、国家の安全を守り、経済発展を促進するために設定された目標である。ネットワークセキュリティを実現するために、法律は、ネットワーク所有者とネットワーク運営者に、セキュリティ事故の記録やセキュリティ管理機関の設置などのセキュリティ対策を求めています。また、中国国内でネットワーク製品やサービスを提供する企業は、国家安全保障維持の義務付けに従わなければなりません。サイバーセキュリティ法を遵守しない企業は、最高1,000,000人民元(132,719ユーロ)の罰金、業務停止、さらには営業許可証の剥奪を受ける可能性があります。サイバーセキュリティ法は、サイバーセキュリティの分野において、選択的な制度から義務的な基準や要件へと移行していることを確認し、確固たるものにしています。

この立法ピラミッドの底辺には、データセキュリティ法とネットワーク製品のセキュリティ脆弱性管理に関する上記の規則があり、いずれも2021年9月初旬に発効している。後者は多くの示唆に富むものであり、以下にその内容を検討する。

ネットワーク製品のセキュリティ脆弱性管理に関する規制

2021年9月1日に、ネットワーク製品のセキュリティ脆弱性管理に関する新しい規制が施行されました。2019年から2年間、起案と更新を繰り返し、正式にリリースされました。

この2年間に6回の更新と施行があり、各省庁の関心の高さがうかがえる。中国政府が利害関係者の様々な意見を取り入れるために必要だったのは、最初の3ステップ。2019年6月19日に規制が導入され、8月10日から地域の意見を受け付け、11月には工業情報化部(MIIT)が企業向けフォーラムを開催し、アドバイスを求め、業界からの意見を集約している。2019年12月から2020年12月までの第4ラウンドは、MIIT、公安部(MPS)、中国サイバー空間管理局(CAC)、ネットワーク事業者の間で長い交渉が行われたため、最も重要なラウンドであった。この交渉の結果、規制の条文が8条から16条に増えました。最終的に、2020年12月から2021年5月にかけて、法律の最終草案を中央サイバースペース事務委員会に提出し、最終審査を経て、2021年7月13日に三省(MIIT-中華人民共和国工業情報化部、CAC-国家互联网信息办公室(中国ネットワークセキュリティ管理室)、MPS-中華人民共和国公安部(ちゅうかじんみんきょうわこくこうあんぶ、中国語: 中华人民共和国公安部、 英語: Ministry of Public Security of the People’s Republic of China)が同時に規則を正式に発布しています。

9月1日に施行されたのは、ネットワーク製品のセキュリティ脆弱性管理に関する規則だけではなく、重要情報インフラを保護するための新しい規則も発表されました。この規則では、ネットワークの脅威や脆弱性、サイバーセキュリティの監視、対処、緊急時の対応などの重要性が強調されています。すでに述べたように、データセキュリティ法も施行され、ネットワーク事業者は、ネットワークを妨害、損傷、不正アクセスから保護し、ネットワークデータの開示、盗難、改ざんを防止するためのセキュリティ保護義務の履行方法について、いくつかの指示を受けるようになりました。最新の注目すべき法律は、一般データ保護規則(GDPR)の中国版である個人情報保護法で、インターネットプラットフォームのガバナンスに焦点を当て、個人情報セキュリティ事故の際の緊急プランを定めています。

ネットワーク製品のセキュリティ脆弱性管理法

ネットワーク製品のセキュリティ脆弱性管理に関する規定は、ネッオトワークセキュリティ法第22条にその立法根拠があります。「ネットワーク製品またはサービスの提供者は、そのネットワーク製品またはサービスにセキュリティの欠陥または脆弱性を発見した場合、直ちに改善措置を講じ、期限内にユーザーに通知し、関連規則に従って所轄官庁に報告しなければならない」。(なお、中国のネットワークセキュリティ法については、「村田製作所事件の法的意義と中国のネットワークセキュリティ法と国家情報法における「ネットワーク空間の主権」」参照です)

その後、所轄官庁は産業情報技術省(MIIT)に示される。この法律の立法趣旨は、彼らが定義する「ネットワーク製品」、すなわちインターネットに接続可能なすべての機器を管理することです。製品の脆弱性は、デジタルインフラのセキュリティに対する最大の脅威の1つを構成するため、重要な鍵を握っています。ネットワーク製品の脆弱性を修正し、脅威の根源からセキュリティリスクを排除し、悪意のある悪用によるセキュリティ事故を防止し、デジタル経済の質の高い発展を効果的に支援し、急速に発展するデジタル社会のセキュリティ基盤を固めることが求められています。より一般的には、この規制には、国家のサイバーセキュリティを維持する、脆弱性関連行動を規制する(脆弱性の発見、報告、パッチ適用、公開を標準化する)、ネットワーク製品提供者、ネットワーク運営者、脆弱性関連活動に従事する組織または個人の責任と義務を明確にする、脆弱性の発見、収集、公開に技術的優位性を十分に発揮するよう各種主体を奨励するという、4大目的が認められます。様々な関係者の行動を標準化することはもちろんですが、何よりも脆弱性に関する情報が独自に管理されることを避けたいという思いが明確にあります。

この規則のもう一つの重要な側面は、新しい法律のパッケージが発表される前の協議に参加した中国の3つの省庁の役割を定義することです。規制の第3条から導き出される監督責任の明確な区分があります。CACは、ネットワーク製品のセキュリティ脆弱性管理に関する全体的な調整を担当する。MIITは、製品ベンダー(自動車や飛行機会社も含む)を容易に扱うことができる強力な省であり、ネットワーク製品のセキュリティ脆弱性の包括的管理と通信・インターネット産業のネットワーク製品のセキュリティ脆弱性監督の両方に責任を負う。最後に、MPSは、法律の抜け穴を利用した違法行為や犯罪行為を取り締まる担当省庁である。ネットワーク製品のセキュリティ脆弱性の監督と管理を担当しています。これら3省庁の連携は、規則第3条と第7条で規定されており、3つの分野に分けられる。1 つ目は、MIIT のネットワークセキュリティ脅威情報共有プラットフォーム、MPS の国家サイバーセキュリティ通知センター、中国インターネット網の下にある CN-CERT の中国国家脆弱性データベース(CNVD)の 3 部門間でリアルタイムの脆弱性情報共有を行うもので、2つ目は、主要なネットワーク製品のセキュリティ脆弱性を3部門が共同で評価・処理しなければならないとしている。最後の項目は、MIIT が管理する脆弱性登録プラットフォームに関するもので、このプラットフォームはその後、MPS と中国インターネットネットワーク情報センターに通知されます。

前述のとおり、中国政府の主な目的の1つは、この新しい規則を利用して、脆弱性の発見と開示に向けた行動を標準化することです。その目的は、研究者のための明確な開示ルール、製品プロバイダーによるほぼ即時の修正、ネットワークオペレーターによる効果的な修復の検証を確保することにある。

この法律は、以下のように要約される。

  •  第 4条は、組織や個人が行ってはならないことの境界線を示すレッドラインを列挙している。3 つの禁止事項を挙げることができる。すなわち、いかなる組織や個人も、ネットワーク製品のセキュリティの脆弱性を利用して、サイバ ーセキュリティを危険にさらすような行為を行ってはならないということである。2つ目は、ネットワーク製品のセキュリティの脆弱性に関する情報を不正に収集、販売、公表しないことです。3つ目は、レッドラインと禁止事項に関するもので、不正行為に対する罰則は第12条、第13条、第14条、第15条に記載されています。
  •  第5条は、脆弱性報告窓口を設置し、ネットワーク製品のセキュリティ脆弱性情報の受信ログを6ヶ月以上保存しなければならないと定めている。
  •  第6条は、ネットワーク製品の提供者に脆弱性を報告するよう促している。
  •  第7条、第8条、第9条は、ネットワーク製品提供者、ネットワーク事業者、報告者の3者の責任と義務について規定している。
  •  第7条は、ネットワーク製品プロバイダと、彼らが採用しなければならない行動に関するものです。例えば、ネットワークプロバイダは、すべての脆弱性報告を2日以内にMIITと共有することが求められ(7.2)、バグバウンティプログラムの一種として、報告された脆弱性に対して報奨金制度を設けることが奨励されている(7.3)。
  •  第8条はネットワーク事業者向けである。8条はネットワーク事業者向けで、伝達された脆弱性を適時に検証し、短時間で修復することに関する1項のみが含まれている。報告者を厳しく管理するために報告者の要件が高く、ネットワーク製品提供者の要件が低くなり、ネットワーク運営者の要件が低くなっている。その理由は、中国ではネットワーク事業者は国有企業であり、すでに直接的に規制されているためである。したがって、第8条は非常に短いものですが、その管理レベルは記者やベンダーに行使されるものよりも低いものではありません。
  •  第9条は、脆弱性を発見した組織や個人を対象としたものである。この条文では、研究者が、ベンダーがサイバーセキュリティのリスクを回避するためにパッチを適用する妥当な機会を得る前に、脆弱性の詳細を開示することを禁じています(9.1)。研究者がセキュリティ上の欠陥に関連するリスクを誇張したり、ベンダーを恐喝するために脆弱性を利用することを禁止しています(9.3)。脆弱性を悪用し、ネットワークを危険にさらすプログラムやツールの公開を禁止します(9.4)。「ネットワーク製品の提供者以外の海外の組織や個人」に対して、脆弱性の詳細を開示することを禁止している(9.7)
  •  第 10 条は、ネットワーク事業者が行う手続きを規定している。第10条は、ネットワーク事業者と製品ベンダーが、直面する脆弱性を報告するために従わなければならない手続きを規定しています。同条は、組織や個人の研究者が、脆弱性報告プラットフォームを MIIT(MPSとCACに通知する義務を負う)に登録することを義務付けている。ここで重要なのは、報告書は企業にとって匿名ではなく、研究者が企業に報告することで匿名になりうるということです。さらに、これらの関係者は、MIITおよびCACの関連プラットフォームに脆弱性情報を提出することが推奨される。第4条で定められたレッドラインに従い、それぞれ新規制の3つの主体(製品販売者、ネットワーク事業者、報告者)と危険な行為に関して罰則が準備されている
  •  第12条は、製品販売業者に特有のものである。12条は、製品販売業者に特有のものです。ネットワーク製品のセキュリティ脆弱性を是正するための措置をとらなかったり、報告しなかったり、サイバーセキュリティ法第60条に規定されている状況を処罰するものです。サイバーセキュリティ法第60条(高橋注-是正命令)に規定されている状況の両方を罰する。
  • 13条は、ネットワーク製品のセキュリティの脆弱性を修復または防止するための措置を講じない場合、ネットワーク運営者を罰するものであり、サイバーセキュリティ法第59条(注-セキュリティ保護義務についての是正命令)に規定された状況も適用される。
  • 第14条は、ネットワーク製品のセキュリティの脆弱性に関する情報を収集または公表した不正行為に基づく報告者に対する罰則を定めており、サイバーセキュリティ法第62条(注-関係規定の遵守義務の規定違反にたいする是正命令)に規定されている。
  • 第 15条は、危険な行為を対象としています。ネットワーク製品のセキュリティの脆弱性を利用して、ネットワークセキュリティを危険にさらす活動に従事したり、ネットワーク製品のセキュリティの脆弱性を利用して、ネットワークセキュリティを危険にさらす活動に従事する他者を技術的に支援する者を罰するものである

新規定は、脆弱性の報告、評価、パッチ適用、リリースに関する作業メカニズムを改善することを目的としています。一方、脆弱性の収集、評価、処理(および他の脆弱性プラットフォームや省庁との情報共有)を行う総務省のネットワークセキュリティ脅威情報共有プラットフォームの構築による技術支援の強化を目指している。

データ収集に関しては、一般的なネットワーク製品の脆弱性は中国情報通信技術研究院、モバイルインターネットアプリの脆弱性は中国ソフトウェアテストセンター、自動車に関する脆弱性は中国自動車技術研究センターなど、それぞれ特定の分野に特化した異なるプラットフォームから情報を収集することが主流となっています。

新ルールの意味

一部のセキュリティアナリストによれば、発見後2日以内にすべての脆弱性の詳細を情報通信部に報告する義務があることが、今回の法律で最も問題視されている点である。特に、他の国々がセキュリティ研究者に同じ要件を課すようになると、パッチを適用していない脆弱性データを集約するリスクが高まり、敵対者が攻撃して盗むための未適用のバグの前例のない宝庫を作り出すことになると気づいている。もう1つの問題は、過去数年にわたり中国のセキュリティ研究者と協力してきた欧米のバグバウンティプラットフォームに代表されます。これらのプラットフォームは、(中国企業以外であっても)中国人研究者が報告する脆弱性開示プログラムを中国政府が把握する手段を提供することが懸念されます。

さらに、他のアナリストによると、この新しい規則によって、セキュリティ研究者がそれまで持っていた柔軟性が失われ、セキュリティ研究を中国政府と共有することが義務づけられることになります。このことは、おそらく攻撃量の増加を意味するのではなく、巧妙さの増加を意味するのだろう。中国政府が自社製品の脆弱性を先に発見してしまうため、中国で研究開発活動を行う欧米企業にも影響が及ぶだろう。この規定は、海外のメーカーにサイバーの弱点を開示することを認めているにもかかわらず、それが実現する保証はない。

2.4.2 日本

JPCERT/CC  が協力して報告されています。

2.4.3 アメリカ合衆国

これは、別のエントリで検討したいと思います。なので、ここでは、省略

3 CVD 政策実務

3.1 CVDプロセスの望ましい要素

これは、さらに関与当事者(Entities involved、3.1.1)、ツール(3.1.2)、意識向上キャンペーン(3.1.3)、運営および危機管理活動(3.1.4)にわけて論じられています。

ツールというのは、報告用のウエブサイトが準備されていること、チケッティングシステムが採用されていること、カスタムツール(セキュリティの拡張されたシステム)の採用、評価ツール(Burpスイート)、オープンソースのインテリジェンスソフトの利用などがふれられています。

運営および危機管理活動においては、重要インフラに関する場合についての早期警戒ウォーニングシステム、自主的情報共有システムがふれられています。

3.2 CVDポリシーの良き実務

これについては、CVDポリシーの内容(3.2.1)、構成国におけるCVD手続の良き実務の構築(3.2.2)、課題と問題(3.3)にわけて論じられています。

CVDポリシーの内容(3.2.1)

この内容としては、コンピュータシステムへのアクセス権限、脆弱性報告のために必要な情報、機密性、手続のデッドライン、通信経路、セキュリティ調査者への報酬があげられています。

ここで、コンピュータシステムへのアクセス権限は、法的にも興味深いのですこし翻訳します。

CVDポリシーやバグバウンティプログラムの存在そのものが、コンピュータシステムへのアクセス権限が参加者に付与されていることを意味するはずです。協調的脆弱性開示ポリシーには、その正確な表現によっては、明示的または黙示的な権限付与と見なされる条項が含まれます。従って、ベンダーは、研究者は、ベンダーによって定められたルールに基づいていれば、訴追されることはないと指摘すべきです。

ドイツ連邦情報セキュリティ局によると、研究者を不安にさせないために、ベンダーは契約書、正式な覚書、秘密保持契約書などの正式または法的な合意を要求してはならないそうです。しかし、ベンダーは、参加者がコンピュータ・システムにアクセスできる、あるいはできない条件をポリシーに明記しなければならない。ITデータを修正または削除する権限は、調整された脆弱性開示方針の作成方法に依存する。

CCBによると、参加者がDDoS攻撃やソーシャルエンジニアリング攻撃を行うこと、システムを危険にさらすこと、アクセスを持続的に維持すること、マルウェアやウイルスのインストール、パスワードの窃盗、ブルートフォースを使ったシステムへのアクセス、脆弱性を第三者と共有するなどといったことを禁止することが良い方法であるとしています。また、このポリシーは、一般にアクセスできない通信を傍受、記録、または認識するための意図的な試みを明示的に除外する必要があります。

より一般的には、参加者は比例原則を遵守すること、すなわち、セキュリティ問題を実証するために厳密に必要な範囲を超えた脆弱性の利用を行わないことを約束しなければならない。また、参加者は、収集した責任ある組織のデータ(個人データを含む)を必要以上に保持しないことを約束しなければならない。

これらの条件が満たされ、参加者がポリシーの条件を遵守している場合はいつでも、ベンダーは、協調的な開示ポリシーを誠実に実行し、それらに対して民事上または刑事上の措置を追求しないことを誓約する必要があります。

構成国におけるCVD手続の良き実務の構築(3.2.2)

ここでは、ベルギー、リトアニア、オランダの具体的な例をあげています。ということで、省略。

課題と問題(3.3)

ここで、課題と問題としてあげられている事項は、以下の通りです。我が国の問題とも共通するといえると思います。

  1. 法的な障壁。セキュリティ研究者は大きな法的リスクに直面している。
  2.  利害関係者間の協力の欠如
  3.  脆弱性悪用に関する政府のあいまいさ。政府は、法執行、諜報、国家安全保障活動の一環として脆弱性を悪用するために、脆弱性の備蓄を模索している。
  4.  市場のインセンティブが限られている。セキュリティ研究者が協調的な脆弱性開示プログラムに参加するためのインセンティブ
  5.  財政的・人的資源の課題。リソースやスキルの不足、導入・運用にかかる費用など
3.3.1 法的な課題

研究者が脆弱性所有者に脆弱性を報告する際に直面する法的課題は、CVD政策を採用する上で最も大きな障害の1つと考えられています。

OECD によると、「セキュリティ研究者を十分に保護しない全体的な法的環境と、報告を受けたセキュリティ研究者を法的手続きで脅す多くの脆弱性所有者の行動によって、法的課題が発生する」 とされています。(OECD 報告書のリンク「脆弱性の取扱を促進する」)

研究者が直面しうる法的課題には、いくつかの分野があるとしてあげられている事項としては、以下のとおりです。

  •  刑法。サイバー犯罪条約によると、コンピュータシステムに意図的に無権利でアクセスすることは、犯罪行為となる。サイバー犯罪指令(2013/49/EU)は最低限の保護を定めているため、加盟国はより厳格な規則を採用することができます。
  •  著作権法 開示された情報が著作権で保護されたコードの一部を含んでいる場合、研究者は著作権法に違反する可能性があります。脆弱性の所有者は免責事項を定めることができ、セーフハーバーの可能性がある。
  •  データ保護法。脆弱性を発見した研究者は、個人データにアクセスする可能性があり、データ保護法違反と解釈される可能性があります。脆弱性の多くは個人情報を扱うため、報告への関心とデータ保護への関心がぶつかる可能性があります。
  •  契約法。バグ報奨金政策や、場合によっては脆弱性開示政策は、脆弱性所有者と研究者の間の契約条件を表しています。契約条件に違反すると、研究者に法的責任とリスクが発生します。
  •  輸出管理に関する法律や規制は、脆弱性を発見するために使用するツールや知識に適用される場合があり、研究者の法的リスクとしてよく挙げられます。

ちなみに欧州ですと、Pupillo, L., Ferreira, A. and Varisco, G. (2018) ‘Software Vulnerability Disclosure in Europe: Technology, policies and legal challenges – Report of a CEPS Task Force’, CEPS Task Force Reports, 28 June 2018, p. 42. という報告書籍があるとのことです。

興味深いのは、オランダの起訴ガイドラインについてのコメントですね。

オランダはヨーロッパで最も有名なケースで、定義された境界の中で形式化された検察の裁量に基づいて研究者が保護されています。検察は、研究者が社会の利益のために行動しているか?研究者が使用した手段は比例しているか?補完性の原則は満たされているか(同じ目的を達成するための他の手段はなかったか)。例えば、ブルートフォース攻撃や、システムに侵入して長時間待機して脆弱性を報告することは犯罪とみなされる。この3点のうち1つでも満たされていなければ、司法制度によって研究者が訴追されることが予想されます。

あと、この報告だと、刑法の改正が提案されているということです。その部分は、

例えばリトアニアでは、サイバーセキュリティに関する法律が施行される以前は、研究者の活動は刑法違反と見なされていた。そのため、この法律の主な目的は、倫理的ハッカーが確立された義務に沿って行動するときはいつでも活動できるよう、まさにセーフハーバーを作り出すことでした。このセーフハーバーの確立のための原則と、研究者が尊重しなければならない行動のルールは、検事総長室と警察署も取り上げています。

同様に、フランスの法律は、研究者のためにこの文脈での刑法やそのようなものに対する免責を提供しませんが、セキュリティ研究者の部分的な保護を説明することができる2つの保護法的枠組みを想定しています。

フランス国防法典の L 2321-5 条は、脆弱性を発見した場合に、フランスの国家サイバーセキュリティ当局に対して保護された警告の枠組みを提供しています。この機関は、いくつかの条件を満たせば、そのような警告を司法に照会する必要はない。

内部告発の枠組みも存在する(Art 6 à 16 de la Loi No 2016-1691)が、これは脆弱性よりも「事件」についてのものである。

ギリシャには、説明したような司法免除の制度はありませんが、導入することを意図しています。同国には、学術的表現の自由を扱う憲法規定(ギリシャ憲法第16条)がある。この規定は、既存の刑法に違反する権利を認めるものとは解釈できないが、現在、学者や科学者がその職務を遂行する上で保護されている基礎となっている。ただし、前述のように、第16条は刑法の適用を排除するものではない。また、知的財産権に関する法律条項もあり、例えば、保護された文書が学術的・科学的研究のために複製された場合、ある程度の柔軟性が認められている。このように、ギリシャの制度は学術的な表現の重要性を認識していますが、研究目的のためにシステムへの無許可のアクセスを許可するパラメーターはまだ定義されていません。

ポルトガルによると、CVD政策を採用する際の主な考え方の1つは、研究者が善意を示した場合のセーフハーバー(研究者の活動の非犯罪化)を確立することであるという。国家政策そのものが、研究者が脆弱性を適切に報告するために踏むべき一連の手順を示すものであり、研究者の意図を確認するためのフレームワークとなる。また、脆弱性が発見されたシステムのログを見ることで、研究者の意図を評価することができます(例:研究者がどのようなツールや手法で脆弱性を発見したのか)。

刑法上の課題の影響に関する議論の中で、加盟国は、国内またはEUの司法権がセキュリティ研究者の保護に取り組んでいるか、また、事後的にケースバイケースの評価に基づいて、(例えば刑法の免責による)法的免責や司法・検察の裁量を設ける予定または設けたかどうか質問されている。

となります。

3.3.2 経済的な課題

「脆弱性公表における経済学」というENISAの調査があって、そこでは、経済的要因が、脆弱性の公表におおきな役割を与えていることが分析されています。

経済的な要因は、脆弱性開示政策の発展において重要な役割を果たします。情報セキュリティは技術的な問題としてのみ捉えられがちですが、ハードウェアやソフトウェアにおける脆弱性の持続性を特徴づける根本的な要因は、脆弱性自体の性質に部分的に関係しているだけで、情報セキュリティの経済的側面とその市場力学から来るところが大きいからです。

という指摘がなされています。その意味で、2003年から、早期警戒パートナーシップの仕組みを実践しているわが国は、本当に先見の明があったということですね。(関係者に「経済的なインセンティブ」が効果的に提供されたかは、別としてですが。)

同報告書の指摘ですが、

「情報セキュリティ市場の性質の変化は、脆弱性開示の経済性、脆弱性開示の実施方法、脆弱性開示プロセスにおける行為者の振る舞いにも影響を与える」。脆弱性の複雑性が増し、マルチベンダーの調整が必要となる脆弱性の数が増えるでしょう。脆弱性開示プロセスは、複数の経済主体の行動によって特徴付けられ、多くの場合、利害が対立するため、前述の市場の負の結果を緩和または排除するために、規制またはインセンティブメカニズムを用いることがますます重要になります。

インセンティブには、金銭的なものとそうでないものがある。バグバウンティプログラムによる発見者への金銭的報酬は、最も一般的な金銭的インセンティブである。非金銭的インセンティブは、金銭的報酬とは直接関係のない行動を触発するアドホックな特性を持ちます。これは、脆弱性の発見がもたらす技術的な挑戦のため、この行為が伴う名声のため(一部の企業は、脆弱性を発見したセキュリティ研究者のための「殿堂」を創設しています)、あるいは、倫理的または思想的な理由のために脆弱性を発見する場合です。

加盟国とのインタビューで、(図9に示すように)いくつかの(9)国は、セキュリティ研究者が協調的な脆弱性開示プログラムに参加するための限られた市場インセンティブが、EUにおけるCVD政策の確立に強い影響を与えることを示唆しました。

さらに、ベンダーには安全な製品を提供するインセンティブがない。実際、消費者は製品の使い勝手や価格は理解できても、そのセキュリティレベルを評価することはできません。つまり、消費者はより安全な製品とそうでない製品を区別することができないため、より安全な製品を提供する開発者は報われず、消費者はそのためにお金を払おうとはしないのです。

また、ほとんどのセキュリティ研究者は活動家であり、専門家ではないことにも留意する必要がある。これは、特に、バグ報奨金プログラムなどを通じて研究者に提供される(経済的な)報酬という点で、現在の市場インセンティブが限られていることに起因する。さらに、ほとんどの加盟国(13)は、調整された脆弱性開示政策を実施するためのリソースとスキルの不足を、特に影響が大きいものとみなしています。この課題は、安全な製品を構築できない可能性があるため、ベンダーに影響を与えるだけでなく、研究者の数が少ないため、脆弱性の発見が困難になります。CVDプロセスの採用は、脆弱性の重要性を扱い理解するのに役立つリソースがない場合、コーディネーター(すなわち各国のCERTや国のサイバーセキュリティ当局)にとっても困難となる可能性があります。実際、特定のセクター(例えば航空セクター)で見つかった高度に技術的な脆弱性の場合、国のCERTは必要なスキルや能力を欠いている可能性があります。そのため、脆弱性を処理する国家 CERT の能力に対する当事者の信頼は損なわれる。したがって、資源と技能の不足は、すべての利害関係者に適用され、影響を与える。

一方、実施と運用のコストは、比較的影響が少ないと見なされてきた。CCBによれば、「協調的な脆弱性開示ポリシーの設定費用は、外部企業に監査を依頼するよりも予算に見合うものである。結局のところ、バグバウンティプログラムの報酬は、参加者側が一定の結果を達成することを約束した結果であるのに対し、外部監査人は通常、手段の約束によってのみ拘束されるのである。したがって、後者は、たとえ調査終了時に脆弱性を発見できなかったとしても、あるいは軽微な脆弱性しか発見できなかったとしても、すべての活動に対して補償を受けなければなりません」

効果的な脆弱性対策に対するさらなる経済的課題は、利害関係者間の協力が得られないというものです。インタビューを受けた加盟国のほとんど(17カ国)は、利害関係者間の協力の欠如が、CVD政策の確立を強くまたは多少妨げていると考えています。協議したすべての加盟国は、脆弱性所有者と研究者の間の連携の欠如への対処は、CSIRTのレベルでの連携の欠如への対処よりも困難であると考えています。

この文脈では、研究者が脆弱性所有者よりも脆弱性をより深刻に捉えていること、および所有者が設定した開示のタイムラインが甘すぎることが最も重要な問題であるとされています。また、脆弱性保有者が脆弱性報告の扱い方について準備不足であるため、連携に課題があります。一例を挙げると、ある加盟国は、数年前、複数の研究者がオープンなバグバウンティプラットフォームを利用して、脆弱性所有者にコンタクトを取っていたことを紹介しました。しかし、プラットフォーム上の連絡先はしばしば不正確であったり、ベンダーのメール受信箱のスパムフォルダに報告が入ってしまったりしていました。この問題は、国内のCERTの仲介により克服されました。時間が経つにつれ、実際、研究者はベンダーに連絡する際、メールの受信者としてCERTを含めるようになりました。

一方、国家CSIRTのレベルでは、脆弱性の開示はほとんどCSIRTの周囲にとどまるという議論もあります。また、EU圏外の国が関与し、調整が必要な場合でも、インシデント対応のためのコミュニケーションチャネルを通じて、CSIRT間の調整レベルは既にかなり確立されていると考えられます。

最後に、経済的な課題としてコード脆弱性のグレーマーケットに対処するための政府の役割を考えると、相談した加盟国の中でグレーマーケットへの対処を優先事項として考えている国がないことは興味深いことです。実際、政府は外国機関への脆弱性販売を違法とすることはできても、研究者によるグレーマーケットでの脆弱性販売に対処することは非常に困難である可能性があると論じられています。

3.3.3 ポリティカルな課題

これは、いろいろな課題が含まれています。このようなプロセスが、トップダウン型でいくのか、ボトム・アップアプローチ型なのか、とい問題とか、政府の役割、民間部門の役割が議論されています。

4 推奨事項

ここは、おとなしく全文翻訳にかけます。


4.1 法的課題に関する提言

セキュリティ研究者が直面する法的リスクは、脆弱性開示政策の発展にとって大きな障害となることは、これまで述べてきたとおりである。しかし、加盟国間の現在の慣行は、これらの課題を克服するためのモジュラーアプローチを示唆することができます。

まず、ベルギーが実施したCVDポリシーが示唆するように、ブダペスト条約によれば、無許可のアクセスのみが違法であるため、EU諸国は、ベルギーやオランダの開示モデルで説明したCVDポリシーのようなアドホック要件を遵守する場合、セキュリティ研究者に有限責任免除を提供するCVDポリシーを実施できるかもしれません。CCBによると、ベルギーは大陸法国であり、ブダペスト条約に署名したすべての国がその例に倣うことができる。この方向性を後押しするのは、加盟国に対して「協調的な脆弱性の開示を促進する政策」を含むサイバーセキュリティ戦略を策定するよう求める NIS2 指令の採択と移項であろう。さらに、オランダ、ハンガリー、デンマーク、ドイツ、オーストリアなどの一部の加盟国によれば、検察官による研究者の意図の解釈は、研究者の法的保護のレベルを十分に保証するはずである。

第二に、国内の刑法がセキュリティ研究者に責任免除を提供する可能性にその場限りの制限をかけている場合、加盟国は、倫理的ハッキングも認めつつ、脆弱性の発見に携わる研究者に法的確実性と必要な「セーフハーバー」を設けるために刑法を改正することが可能である。リトアニアのような国は最近、刑法を改正し、ポルトガル、ギリシャ、スロベニア、スペインなどの国も改正を進めているところである。

第三に、EUは、脆弱性の発見に携わるセキュリティ研究者に法的確実性を提供し、加盟国間で共通の規則と手続きを定義して、欧州におけるソフトウェア協調的脆弱性開示の共通のプロセスを可能にするために、サイバー犯罪指令を改正することができます。加盟国が国内法において善意のセキュリティ研究者の特定のケースを考慮するように、指令の第3条を修正することができる。このような最小限の調和は、特に国境を越えた状況において、セキュリティ研究者に保護の強化を提供することができるだろう112。

さらに、欧州の法律的には、(指令2019/1937の意味での)内部告発者の地位を認めることによっても、セキュリティ研究者の保護は実現できるだろう。この指令は、民間または公共部門に勤務し、業務に関連するEU法違反によって情報を取得した報告者に適用されます。この指令は、内部の研究者のみを保護し、外部の倫理的ハッカーは保護しません。NIS指令やGDPRの違反に適用され、ITシステム上のすべての脆弱性に適用されるわけではありません。しかし、これに関するEUの一般的なアプローチは、補完性の原則によって制限される可能性があります。

追加的な措置として、加盟国が倫理的ハッカーの役割を定義することが考えられます。相談したいくつかの加盟国によると、セキュリティ研究者の法的保護を確立する前に定義すべき側面は、「倫理的ハッカー」と「ブラックハット」(すなわち、不正な使用や悪意のために脆弱性を発見しようとする研究者)をいかに区別・識別するかということであった。この文脈では、研究者がプロの倫理的ハッカーとみなされるための基準(教育、出版物、経験など)を定義する法律を起草することができる。例えば、ハンガリーの情報セキュリティ法におけるNIS指令の移項は、誰が情報セキュリティに責任を持ちうるか、また、セキュリティ専門家がどのような教育を受けなければならないかを定義している。この定義は、倫理的ハッカーの共通定義を確立するために想定される可能性のある基準の有用な例となる可能性がある。

さらに、脆弱性の協調的開示に対するEUのアプローチを、知的財産権制度やGDPRなどの既存のEUの制度や規制と整合させ、脆弱性管理プロセスに関与する関係者の知的財産権の保護やデータの保護を確保する必要がある。とはいえ、既存の枠組みの限界や盲点についても留意しておくことが望まれます。

最後に、CVDポリシーの策定は、NIS2指令やGDPRなどの各種規制の実施においても重要な役割を果たす可能性がある。先に述べたように、NIS2指令の提案は第6条で加盟国がCVDポリシーの策定を促進するサイバーセキュリティ戦略を設計する必要性に言及しています。多くの加盟国がインタビューの中で、NIS2指令の移管がEUにおけるCVD政策の発展にもたらす触媒的役割、特に、脆弱性の発見に関与するセキュリティ研究者に法的確実性を提供し、国内刑法を改正するきっかけとなる可能性について言及しました。さらに、CEPS(2018)によれば、GDPRは、ソフトウェア所有者、ベンダー、技術系企業が、そのシステム内で個人データを処理する限り、データ管理者になることを伴うため、脆弱性の無責任な取り扱いがGDPRの範囲に入る個人データ侵害につながる可能性があると想定される場合、CVDは関連リスクを軽減する有効なツールとなり得るとしています。

具体的には、「パッチを適用していない脆弱性がGDPR第33条に基づく個人データの侵害につながった場合、データ管理者は行政罰やその他の制裁を受ける可能性がある」とされています。罰金の水準を評価する際、当局は、個人データの侵害を回避するために管理者が講じた措置(例えば、脆弱性をどれだけ慎重に処理したか)を含め、第83条2項に規定される多くの要素を考慮する。したがって、管理者が脆弱性を適時に処理することを可能にするCVDを実施すれば、起こりうる個人データの侵害から生じる罰金を被るリスクを減らすことができる」(113)。

4.2 経済的課題に関する提言

インタビューの中で、いくつかの加盟国は、セキュリティ研究者が協調的な脆弱性開示プログラムに参加するための限られた市場インセンティブが、EUにおけるCVD政策の確立に強い影響を与えることを示唆した。したがって、セキュリティ研究者がCVDプログラムに積極的に参加することを奨励することを目的とした適切なイニシアティブを、加盟国だけでなく、欧州委員会の無料オープンソースソフトウェア監査(FOSSA)プロジェクトのようなEUレベルでも推進する必要がある。

この文脈では、バグバウンティプログラムが特定の役割を果たす可能性がある。バグバウンティプログラムは、脆弱性を発見し報告したセキュリティ研究者に報酬を与えるクラウドソーシングの取り組みであり、企業による脆弱性発見へのより積極的なアプローチを代表するものである。このプログラムは、脆弱性の所有者と研究者の間の市場の仲介役として機能します115 。バグバウンティプログラムには、公開型と非公開型があります。公開型は、誰でも参加できるプログラムですが、実績に応じて一部の研究者の参加を禁止する場合があります。非公開プログラムは、高度に熟練したセキュリティ研究者を選抜した招待制のプログラムである。

多くの企業が独自のプログラムを作成しています。マイクロソフト、モジラ、カスペルスキー研究所、グーグルは、独自のバグバウンティプログラムを運営しています。また、これらのプログラムは、他の企業によって運営され、独自のプラットフォームと専門家チームを使用して、組織を信頼できるセキュリティ研究者のグローバルな集団に接続し、脆弱性を特定する場合もあります。欧州のバグクラウド、ハッカーワン、YesWeHackなどがそうである。

バグバウンティプログラムについては、インタビューの中で議論された。一部の関係者は、EUが独自のバグバウンティプログラムを導入することに意味があるかどうかについての考察を行った。一般的な感覚としては、EUはバグバウンティプログラムを設置すべきではない。そのリスクは、各国政府がこのような取り組みに消極的で、正当な理由を求めることであり、過剰に押しつけがましいとみなされる可能性があるからです。また、プログラムの運営主体や、報奨金を支払うための財源についても、懐疑的な意見が聞かれました。実際、バグ報奨金制度を導入するためのコストを過小評価する組織も少なくありません。また、業界や企業によっては、その活動で扱うデータが機密性が高すぎて外部で扱えない、企業秘密が盗まれるリスクが高すぎるなどの理由で、バグバウンティプログラムに賛成していない現状があります。これらは、EUのバグバウンティプログラムの創設にとって大きな障害となると考えられている。結論として、バグ報奨金制度は、例えば、セキュリティの一部を外部に委託することに関心のある大企業(多くの場合、社内の社員よりも外部の研究者の方がコストが低いため)にとって、ある状況下ではうまく機能する。とはいえ、現段階では、EUは独自のバグ報奨金プログラムを立ち上げようとするのではなく、バグ報奨金プログラムに関する規制と慣行をEU加盟国間で調和させるべきである。

しかし、CVD政策を促進するためのインセンティブは、欧州の官民の研究者の間でCVD政策を育成するための研究プログラムへの支援という形でも可能です。さらに、欧州サイバーセキュリティ能力センターは、欧州における協調的な脆弱性開示の実践を強化することに焦点を当てたプロジェクトにも資金を提供することができる。

さらに、多くの加盟国(13)は、調整された脆弱性開示政策を実施するためのリソースとスキルが不十分であることを特に重要視しているため、EUは、人材を育成し、EUにおけるCVD政策の発展を実現するための適切な資金とプログラムを利用できるようにする必要がある。
脆弱性所有者と研究者の間の調整の欠如に対処する場合、調整を促進するための調整役として、信頼できる第三者の役割が特に重要になります。この役割は、CERT や CSIRT、あるいは調整プロセスを促進することができる他のエンティティが担うことができる。この役割は、研究者と脆弱性所有者の関係を促進し、CVD が 2 者以上の関係者を含む場合、複雑な複数者の開示 を管理する上で非常に有用である 。さらに、調整の役割は、国境を越えた利害関係者間の関係を促進する上で非常に有効であると考えられる。一部の専門家によれば、国境を越えた調整に取り組むには、国際的な非営利で十分な資金を持つ組織を設立する必要がある。

4.3 政治的課題に関する提言

このセクションでは、脆弱性開示プロセスの開発に関連する政治的課題にどのようにアプローチするかについて、考えられるガイダンスを提供し、異なる利害関係者間の役割と力学を評価する。

トップダウンアプローチかボトムアップアプローチか?

CVD政策に関するEUの経験の現状分析および加盟国へのインタビューにおいて、CVD政策の展開において、ボトムアップとトップダウンの2種類の異なる力学が存在することが問題視されました。分散型アプローチと中央集権型アプローチの開発には、長所と短所がある。例えば、フランス、米国、中国などは、研究者が政府機関を通じて脆弱性を報告するトップダウン型のアプローチをとっています。研究コミュニティや民間企業とのインタビューでも言及されているように、研究者はそもそも政府機関と情報を共有することに抵抗があるかもしれません。さらに、オランダのような国は、ボトムアップ・アプローチに従ったことをCVD政策の最も重要な成功要因と考えています。しかし、各国の政策には脆弱性開示政策に対する異なる見解が反映されているが、EUがEUレベルで協調した脆弱性開示の共通モデルを提案するようなトップダウンアプローチの方が、EUおよび国際レベルでの協調を促進し、うまくいく可能性があると思われる。

政府の役割

CVD政策の策定において、政府は重要な役割を果たすことができる。加盟国によれば、政府は以下のような行動を推進すべきです。
– サイバー犯罪や知的財産の枠組みを更新し、例えば「セーフハーバー」などを通じて、セキュリティ研究者をより良く保護する。
– CVD政策の確立を率先垂範する。
o 政府内で CVD を適応させる。
o 脆弱性の取り扱いと管理を政府内で適応させる。
o 脆弱性の管理と対処、CVD を規制、基準、ガイダンスに盛り込む、または準拠の指標として使用する。
特に、多数のベンダーが存在し、脆弱性報告書の受理と処理に対する脆弱性所有者の意欲に大きな差があり、安全な製品に帰属する価値に差がある経済においては、政府は模範を示して指導する必要があります。さらに、多くの加盟国(13)は、調整された脆弱性開示政策を実施するためのリソースとスキルが不十分であることを特に重要視しているため、EUは、人材を育成し、EUにおけるCVD政策の発展を実現するための適切な資金とプログラムを利用できるようにする必要がある。
脆弱性所有者と研究者の間の調整の欠如に対処する場合、調整を促進するための調整役として、信頼できる第三者の役割が特に重要になります。この役割は、CERT や CSIRT、あるいは調整プロセスを促進することができる他のエンティティが担うことができる。この役割は、研究者と脆弱性所有者の関係を促進し、CVD が 2 者以上の関係者を含む場合、複雑な複数者の開示 を管理する上で非常に有用である 。さらに、調整の役割は、国境を越えた利害関係者間の関係を促進する上で非常に有効であると考えられる。一部の専門家によれば、国境を越えた調整に取り組むには、国際的な非営利で十分な資金を持つ組織を設立する必要がある。

さらに、政府は、CVDの実践を支援し、可能にする、および/または、意識向上キャンペーンを推進するなど、国内の非立法活動を促進する必要があります。
最後に、政府は、脆弱性の所有者とセキュリティ研究者の間で国境を越えた脆弱性に関する情報交換を促進し、すべての利害関係者がCVD政策に関する国際基準の策定と強化に参加することを奨励することによって、国境と基準を越えた協力を促進することができる。

民間セクターの役割

一部の構成国によると、企業は政府の立法/政策介入を待つべきではありません。特に、企業レベルでのCVD政策の確立は、既存の国内法的枠組みの一部ですでに可能であるため、これを待つべきではありません。したがって、ISO/IEC 29147:2018120や欧州電気通信標準化機構の協調的脆弱性開示に関するガイド121などの標準やベストプラクティスに従って、脆弱性開示に関する公的報告メカニズムを定義して企業のWebサイトで公開し、民間部門が協調的脆弱性開示を率先して実施することが可能です。
また、民間企業が率先してバグバウンティプログラムを導入することも、脆弱性のタブーに対抗する上で有効です。
さらに、ある加盟国によると、多くの場合、研究者は、国家部門よりも民間部門の方が脆弱性の開示に対処する上で適切な立場にあることを発見しています。

4.4 運用・危機管理活動からの課題に関する提言

構成国からは、運用・危機管理活動に関するいくつかの課題も指摘されている。これらの課題は、民間と公共のパートナーシップ(PPP)を強化し、企業間および企業と公的機関の間でより良い情報共有を行うことで、より良く管理することができるだろう。PPPはステークホルダー間の信頼構築に非常に有効であり、マンデートの範囲や参加者のタイプなどの点で柔軟性があり、脆弱性に関する情報共有に非常に効果的である。PPS に公的機関が参加することで、脆弱性と実用的なインテリジェンスに関する情報共有がさらに促進されます。

4.5 ENISAと欧州委員会の役割

諮問を受けた構成国は、CVD政策の確立を促進・支援するために、ENISAと欧州委員会が採用できるいくつかのアクションを提案しています。EUにおけるCVDの導入を容易にする具体的な方策としては、以下のようなものが挙げられます。

いくつかの構成国(8)によれば、CVD政策の策定方法に関する明確なガイダンスを各国に提供し、各国のベストプラクティスや課題を公表し、各国が政策を立案する際のベースとなるテンプレートを公開することです。ベストプラクティスの公表は、特に政策実施中の国にとっては、他国が直面した課題を理解する上で、また、政府がCVD政策の確立に反対している国にとっては、異なるアプローチを理解する上で非常に有益である。CSIRTネットワークは、ベストプラクティスを共有するための非常に有用なフォーラムとして、いくつかの国から提案されています。

EU レベルでの CVD に関する意識向上キャンペーンを推進し、EU 全体のベンダーに、研究者の報告書を扱えるよう、必要なインターフェイスの準備に取り組むよう説得する。

協力と信頼を促進する。官民のステークホルダー間の信頼を高めるためのイニシアチブを特定し、支援することは、脆弱性管理プロセスを改善する上で基本的なことです。例えば、安全で信頼できるコミュニケーションチャネルを確立することで、関係者間で脆弱性に関するより多くの情報を共有することが可能になります。各国で施行されているすべての規制を集めたウェブページ(加盟国のCVDイニシアチブのリポジトリ)を公開すれば、研究者は各国で受けられる保護のレベルについて、より多くの情報を得ることができます。

各国のCVDイニシアチブを調和させ、脆弱性公表のためのMITRE標準などの国際標準の利用を促進する。現在、各加盟国は、異なる国の枠組みに基づいてCVD政策を確立する必要があります。すべての国がCVDポリシーを策定した後、EU機関は異なる枠組みの調和に取り組むことができる。

オープンソフトウェアまたは重要インフラのコアモジュールに対するEUレベルでのバグバウンティプログラムの設立を奨励する。注目すべきは、2017年にEUはすでに、欧州機関が使用する15のオープンソースソフトウェアに対してバグバウンティプログラムを設立し、最大25000ユーロの賞金を与えていたことです。このプログラムは、EUが設立した「EU-FOSSA2122」プロジェクトの構成要素であった。EUは、この経験を基に、EUレベルでのバグ報奨金プログラムの設立を奨励することができる。

安全なITシステムを作ることが経済的に報われるようなエコシステムを育成することによって、CVD政策の実施を妨げている加盟国の資源制約に対処する。これは、例えば、ICTセキュリティの義務化を定める規制を実施することで達成可能であり、これにより、企業がICT市場を活性化させるためのビジネスケースを創出することができる。ICT製品の調達規則を含む。EUレベルでの調達方針は、ベンダーがより安全な製品を製造するための大きな市場推進力となりうる。

CERT/CCのウェブベース・プラットフォームVINCEと同様に、エンティティが脆弱性を報告するための使いやすいインタフェースを確立する。これにより、迅速な脆弱性報告が奨励・可能となり、報告の連鎖から潜在的な遅延を取り除くことができる。

NIS2の移行の前に、何が刑法違反とみなされ、何がそうでないかを明確に分けることを加盟国に提案または義務付ける。これは、特に刑法の変更が困難な国にとって極めて重要なことである。

EU レベルでの CVD 政策の確立。CERT EU やその他の EU の組織・機関が CVD コーディネーターの役割を担い、研究者や企業が複数の国の CERT と関わることなく、関係者間のコミュニケーションを円滑にすることが可能である。また、EU レベルで CVD 方針を確立することで、(個人情報の収集や著作権規定の侵害など)責任の所在に 関する基本的な疑問にも対処できるようになる可能性があります。

CVDに限らず、EUレベルで脆弱性の取り扱いと管理に関するより広範な対話を開始し、促進する。NIS協力グループは、これらのトピックに関する対話をより大きく促進することができる。実際、このような議論が構成国間で行われていることは明らかではありません。


ということで、非常に興味深い報告書でした。また、巻末の参考文献も充実しており、この分野の関係者は、必読であろうと考えます。

私も、予算がありましたら、きちんと分析したいと思います。(経済的に報われるようなエコシステムを育成する>お願いします)

というか、この執筆者チームと日本の関係者で、アメリカも加えて、国際シンポジウムとかやるのはどうでしょうかね。機は熟したという感じですね。

関連記事

  1. CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能…
  2. 経済安全保障法制に関する提言とサプライチェーンリスク、そして、人…
  3. サイバーにおける自衛権、武力攻撃、武力行使、対抗措置
  4. 法的分析(FBIの未対策サーバのWebシェル削除を“代行”)
  5. 連邦民事訴訟規則(FRCPの定め)
  6. NICT法改正と不正アクセス禁止法
  7. デジタル庁って何? とりまとめ報告書を読む
  8. 国立研究開発法人情報通信研究機構の中長期目標の改正案に対する サ…
PAGE TOP