中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開
こんにちは、丸山満彦です。
中国の工業情報化部がネットワーク製品のセキュリティ脆弱性管理に関する規定を公開していますね。。。
次のような内容が含まれていますね。。。
- ネットワーク製品のセキュリティの脆弱性に関する情報を収集、販売、または公開を禁止(第四条)
- 組織またはネットワーク事業者は、脆弱性報告書を受信した記録を6か月間を保持する義務(第五条)
- 脆弱性報告書は2日以内に工業情報化部に報告する義務(第六条)
- ベンダーがパッチを適用する合理的な機会を得る前に、研究者がバグの詳細を開示することを禁止(第九条(一))
- ネットワーク製品プロバイダー以外の海外組織や個人に脆弱性の詳細を開示することを禁止(第九条(七))
当局への報告を二日以内にするというのは大変かもしれませんね。。。
・2021.07.12 工业和信息化部 国家互联网信息办公室 公安部关于印发网络产品安全漏洞管理规定的通知
仮訳です。。。
网络产品安全漏洞管理规定 | ネットワーク製品のセキュリティ脆弱性管理に関する規定 |
第一条 为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,根据《中华人民共和国网络安全法》,制定本规定。 | 第一条 ネットワーク製品のセキュリティ脆弱性の発見、報告、修復、公開を規制し、ネットワークセキュリティリスクを防止するため、中華人民共和国のネットワークセキュリティ法に基づき、本規定を制定する。 |
第二条 中华人民共和国境内的网络产品(含硬件、软件)提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人,应当遵守本规定。 | 第二条 中華人民共和国におけるネットワーク製品(ハードウェアおよびソフトウェアを含む)の提供者およびネットワーク事業者、ならびにネットワーク製品のセキュリティ脆弱性の発見、収集、公開などの活動に従事する組織または個人は、本規定を遵守しなければならない。 |
第三条 国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。 | 第三条 国家サイバースペース管理局は、ネットワーク製品のセキュリティ脆弱性の管理を調整する責任がある。 工業情報化部は、ネットワーク製品のセキュリティの脆弱性を包括的に管理する責任があり、電気通信・インターネット業界におけるネットワーク製品のセキュリティの脆弱性の監督・管理を請け負っている。 公安部は、法律に基づき、ネットワーク製品のセキュリティの抜け穴を監督・管理し、ネットワーク製品のセキュリティの抜け穴を利用して行われる違法・犯罪行為を取り締まる責任を負っている。 |
有关主管部门加强跨部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。 | 関連する管轄部門は、部門間の連携を強化し、ネットワーク製品のセキュリティの脆弱性に関する情報のリアルタイムの共有を達成するために、主要なネットワーク製品のセキュリティの脆弱性のリスクは、共同評価と処分を実施する。 |
第四条 任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。 | 第四条 組織または個人は、ネットワーク製品のセキュリティ上の脆弱性を利用して、ネットワークセキュリティを危険にさらす活動に従事したり、ネットワーク製品のセキュリティ上の脆弱性に関する情報を不正に収集、販売または公表してはならず、他者がネットワーク製品のセキュリティ上の脆弱性を利用して、ネットワークセキュリティを危険にさらす活動に従事していることを知りながら、技術支援、広告宣伝、代金決済などの支援を行ってはならない。 |
第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。 | 第五条 ネットワーク製品提供者、ネットワーク事業者及びネットワーク製品セキュリティ脆弱性収集プラットフォームは、健全なネットワーク製品セキュリティ脆弱性情報の受信経路を確立して維持し、これを開放しておくとともに、ネットワーク製品セキュリティ脆弱性情報の受信ログを6ヶ月以上保存する。 |
第六条 鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。 | 第六条 関連する組織や個人が、ネットワーク製品の提供者に対して、その製品にセキュリティ上の脆弱性が存在することを知らせることを奨励する。 |
第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施: | 第七条 ネットワーク製品提供者は、以下のネットワーク製品セキュリティ脆弱性管理義務を果たし、製品のセキュリティ脆弱性が適時にパッチされ、合理的に公開されることを保証し、製品利用者が予防措置を講じるよう指導・支援する。 |
(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。 | (一)提供するネットワーク製品にセキュリティ上の脆弱性が存在することを発見または知らされた後、直ちに対策を講じ、セキュリティ上の脆弱性の検証を整理し、セキュリティ上の脆弱性の危害や影響の度合いを評価しなければならない。また、その上流の製品やコンポーネントに属するセキュリティ上の脆弱性については、直ちに関連する製品提供者に通知しなければならない。 |
(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。 | (二)関連する脆弱性情報は、2日以内に産業・情報技術省のネットワークセキュリティ脅威・脆弱性情報共有プラットフォームに報告しなければならない。 報告書の内容は、ネットワーク製品のセキュリティ脆弱性が存在する製品の名称、モデル、バージョンに加え、脆弱性の技術的特性、危険性、影響範囲を含むものとする。 |
(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。 | (三)ネットワーク製品のセキュリティ脆弱性の修復を速やかに整理し、製品のユーザー(川下のベンダーを含む)にソフトウェアやファームウェアのアップグレードなどの措置を要求するものについては、影響を受ける可能性のある製品のユーザーにネットワーク製品のセキュリティ脆弱性のリスクとその修復方法を速やかに伝え、必要な技術サポートを提供する。 |
工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。 | 工業情報化部のネットワークセキュリティ脅威・脆弱性情報共有プラットフォームでは、関連する脆弱性情報を国家ネットワーク・情報セキュリティ情報通知センターと国家コンピュータネットワーク緊急対応技術処理調整センターに同期して通知する。 |
鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。 | ネットワーク製品の提供者は、自らが提供するネットワーク製品のセキュリティ上の脆弱性を発見・通知した組織や個人に報いる仕組みを構築することが推奨する。 |
第八条 网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。 | 第八条 ネットワーク事業者は、自己のネットワーク、情報システム及びその設備にセキュリティ上の脆弱性が存在することを発見し、又は知らされた場合には、速やかに、セキュリティ上の脆弱性を検証し、その修復を完了するための措置を講じなければならない。 |
第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定: | 第九条 ネットワーク製品のセキュリティ脆弱性の発見・収集に従事する組織または個人は、ネットワーク製品のセキュリティ脆弱性に関する情報をオンラインプラットフォーム、メディア、会議、コンテストなどを通じて社会に公開する際には、必要性、真実性、客観性、ネットワークセキュリティリスクの防止に資するという原則に従うものとし、以下の規定を遵守しなければならない。 |
(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。 | (一)ネットワーク製品提供者がネットワーク製品のセキュリティ脆弱性修復措置を提供する前に脆弱性情報を公開してはならない。事前に公開する必要があると判断した場合は、関連するネットワーク製品提供者と共同で評価・協議し、産業情報化省および公安省に報告するものとし、公開の整理後に工業情報化部および公安部が評価する。 |
(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。 | (二)ネットワーク事業者が使用しているネットワークや情報システムおよびその機器のセキュリティ上の脆弱性の詳細を公開してはならない。 |
(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。 | (三)ネットワーク製品のセキュリティ上の脆弱性の危険性やリスクを意図的に誇張したり、ネットワーク製品のセキュリティ上の脆弱性に関する情報を利用して、悪意のある推測を行ったり、詐欺や恐喝などの違法・犯罪行為を行ったりしてはならない。 |
(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。 | (四)ネットワーク製品のセキュリティ上の脆弱性を利用して、ネットワークセキュリティを害する活動を行うことを目的としたプログラムやツールを公開または提供してはならない。 |
(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。 | (五)ネットワーク製品のセキュリティ上の脆弱性のリリースでは、パッチや予防措置のリリースと同期させる必要がある。 |
(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。 | (六)国が開催する主要なイベントにおいて、ネットワーク製品のセキュリティ上の脆弱性に関する情報は、公安部の同意なしに公開してはならない。 |
(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。 | (七) 一般に公開されていないネットワーク製品のセキュリティ上の脆弱性に関する情報をネットワーク製品提供者以外の組織や個人に提供してはならない。 |
(八)法律法规的其他相关规定。 | (八)その他関連する法令の規定 |
第十条 任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。 | 第十条 組織または個人がネットワーク製品のセキュリティ脆弱性収集プラットフォームを構築する場合は、工業情報化部に届け出なければならない。 工業情報化部は、公安部および国家サイバースペース管理局に関連する脆弱性収集プラットフォームを速やかに通知し、記録に合格した脆弱性収集プラットフォームを公表する。 |
鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。 | ネットワーク製品のセキュリティ脆弱性を発見した組織または個人は、ネットワーク製品のセキュリティ脆弱性に関する情報を、工業情報化部のネットワークセキュリティ脅威・脆弱性情報共有プラットフォーム、国家ネットワーク・情報セキュリティ情報通知センターの脆弱性プラットフォーム、国家コンピュータネットワーク緊急技術対応コーディネーションセンターの脆弱性プラットフォーム、中国情報セキュリティ試験評価センターの脆弱性データベースに報告することが推奨される。 |
第十一条 从事网络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布。 | 第十一条 ネットワーク製品のセキュリティ上の脆弱性の発見及び収集に従事する組織は、内部管理を強化し、ネットワーク製品のセキュリティ上の脆弱性情報の漏洩及び不正な公開を防止するための措置を講じなければならない。 |
第十二条 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。 | 第十二条 本規定に基づき、ネットワーク製品のセキュリティ脆弱性に対する改善措置または報告措置を講じなかったネットワーク製品提供者は、工業情報化部および公安部がそれぞれの責任に基づき、法律に基づいて対処するものとし、その状況が中華人民共和国ネットワークセキュリティ法第60条に規定された状況に該当する場合は、同規定に基づいて処罰される。 |
第十三条 网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。 | 第十三条 ネットワーク事業者が本規定に基づいてネットワーク製品のセキュリティ脆弱性を修復または防止するための措置を講じなかった場合、関連する管轄当局が法律に基づいて対処し、その状況が中華人民共和国ネットワークセキュリティ法第59条に規定されている状況に該当する場合には、同規定に基づいて処罰する。 |
第十四条 违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。 | 第十四条 この規定に違反してネットワーク製品のセキュリティ上の脆弱性に関する情報を収集・公開した場合、工業情報化部および公安部がそれぞれの責任において法律に基づいて対処するものとし、中華人民共和国ネットワークセキュリティ法第62条に該当する場合は、当該規定に基づいて処罰する。 |
第十五条 利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。 | 第十五条 ネットワーク製品のセキュリティ上の抜け穴を利用してネットワークセキュリティを危険にさらす行為を行った者、またはネットワーク製品のセキュリティ上の抜け穴を利用してネットワークセキュリティを危険にさらす行為を行うために他者に技術的支援を行った者は、法律に基づいて公安当局により処分され、中華人民共和国ネットワークセキュリティ法第63条に規定された事態を構成した者は規定に基づいて処罰され、犯罪を構成した者は法律に基づいて刑事責任を問われる。 |
第十六条 本规定自2021年9月1日起施行。 | 第十六条 この規定は、2021年9月1日から施行する。 |
■ 報道等
We sum up Middle Kingdom's massive crackdown on bug reports
・2021.07.14 Chinese government lays out new vulnerability disclosure rules
・2021.07.14 China’s security researchers ordered to report all new bugs to the gov’t within 2 days
● TechNadu
・2021.07.14 China Introduced New Rules for Software Vulnerability Disclosure
Comments