中国における製品セキュリティ規制動向と日本企業にとってのポイント

多数の消費者の利便性や安全性に直結する可能性があることから、IoT製品のセキュリティに関する規制の強化がグローバルで進展しています。欧米に加え、アジア圏の巨大な市場である中国においても製品セキュリティ規制は急速に整備されています。中国市場で製品を上市する日本企業は、製品セキュリティ規制に該当する可能性がある自社製品がないか検討しつつ、標準整備の動向をモニタリングし、自社に対する影響を先回りして把握しなければなりません。

今回は中国の製品セキュリティ規制の解説を通して中国のアプローチを可視化します。また、中国の今後の取り組みを踏まえつつ、日本企業にとってのポイントを紹介します。

「重要ネットワーク製品の安全管理に関する調整事項の通達」に基づく「重要ネットワーク製品」の規制

中国における現状の製品セキュリティ規制は、中国サイバーセキュリティ法の23条における規定に基づいています。中国サイバーセキュリティ法23条では特定の製品の販売あるいは提供に際して、国家標準に基づいた安全性認証か安全検査測定の合格を義務付けています^*1。この規定を運用する上で、2023年4月12日に中国国家認証認可監督管理委員会、中国インターネット情報弁公室（CAC）、工業情報化部などから「重要ネットワーク製品の安全管理に関する調整事項の通達」^*2が公布されました。

同通達は2023年7月1日から適用されており、「主要なネットワーク機器とネットワークセキュリティ製品のカタログ」に掲載されている製品（以下、「重要ネットワーク製品」。図表1）^*3を販売ないし提供する際には「情報セキュリティ技術とネットワークセキュリティ製品に関するセキュリティ技術要件（GB42250-2022）」^*4に定められた要件またはその他の関連する国家標準の要件を満たし、安全認証か安全検査測定に事前に合格することを義務付けています。

^{*規制の対象となる重要ネットワーク製品のリストは今後も更新される可能性があります。}

GB42250-2022は対象となる製品のセキュリティ機能と製品自体に関するセキュリティ要件に加え、製品ライフサイクルのプロセスに関する要件を定めています（図表2）。特に脆弱性管理については、図表1で示した重要ネットワーク製品より広い範囲の製品を含む概念であるインターネット関連製品を対象とした「インターネット関連製品脆弱性情報管理規定」^*5（図表3）が存在し、重要ネットワーク製品の製造者は併せて参照することが推奨されます。

これら2つの文書で示されている要件は、セキュアな設計から出荷後のサポートまでを含む製品ライフサイクル全体を通じたセキュリティ、脆弱性管理、そしてそれらを運用するための体制を要求しており、グローバルにおけるオーソドックスなアプローチと大きく異なりません。

図表2：「情報セキュリティ技術とネットワークセキュリティ製品に関するセキュリティ技術要件（GB42250-2022）」の概要

カテゴリ	No.	要件	概要
セキュリティ機能に関する要件	4.1	アクセス制御	適切なアクセス制御ポリシーの設定とセキュリティドメインへのアクセス制御
	4.2	侵入防止	収集された情報の分析や侵入イベントの検知と、関連したセキュリティ対策実装
	4.3	セキュリティ監視	ネットワーク動作ステータスとセキュリティイベントの監視と記録、違反や異常の検知
	4.4	悪意あるプログラムの防止	不正プログラムの検出を行い、そのブロックや削除などの処理が可能
機器自体のセキュリティ要件	5.1	一意な識別	ユーザーID識別・認証機能と送信中の識別情報の機密性・完全性維持、パスワードポリシー
	5.2	アクセス制御	適切なアカウントと権限の割り当てと、特権管理
	5.3	セキュリティ監視	製品自体の動作と重要な操作について記録し、そのログを保護
	5.4	通信セキュリティ	製品が行う通信について、機密性と完全性を保護
	5.5	サポートシステムのセキュリティ	公開された一定以上のリスクを伴う脆弱性を管理
	5.6	製品の更新	製品コンポーネントのセキュアかつ正確な更新機能
	5.7	ユーザー情報の保護	製品の機能提供に必要な範囲でのみ個人情報を取得し、適切な通知や保護を実施
	5.8	パスワード要件	関連する規格に従い、パスワードを適切に管理
プロセスに関するセキュリティ要件	6.1	サプライチェーンセキュリティ	サプライヤーリスクの管理、提供されるコンポーネントのセキュリティ評価
	6.2	設計と開発	脅威モデリングに基づくセキュアな設計、開発、テスト、変更管理を実施
	6.3	製造と納品	標準化された製品の完全性に関するテストプロセスの確立と改ざんや偽装の防止
	6.4	運用保守サービス保証	関連する法令や契約に従った継続的な保守サービス提供と脆弱性への対応プロセス確立
	6.5	ユーザー情報の保護	ユーザー情報収集の目的・範囲・処理方法などを明示し、範囲内の使用とデータ保護を実施

^{*「4.セキュリティ機能に関する要件」と「5.機器自体のセキュリティ要件」は原則として該当する機能がある機器に関するものです。「6.プロセスに関するセキュリティ要件」は対象機器の製造者などに関する要件です。}

今後の動向

中国は自国のIoT産業の育成と国際競争力の強化を重視しており、対応するセキュリティ規制の整備を進めています。現時点では主に重要ネットワーク製品に関する認証制度を運用していますが、2024年8月27日に工業情報化部と国家標準化管理委員会が表明した2025年までのIoT分野における30以上の国家標準・業界標準の策定と、10以上の国際標準策定への参加という方針が示すように^*6、今後数年間でより幅広いIoT製品に関連する制度の整備が進む見込みです。

今後の動向について、2024年8月26日に工業情報化部が公表した「IoT標準システム構築に向けたガイドライン（2024年版）」^*7がより具体的に示しています。同ガイドラインは中国のIoTを巡る制度整備の主な方向性を示しています。中核的な原則は、産官学の連携の下でIoTの基礎技術開発と業界のニーズを踏まえた応用化を統合的に推進しつつ、技術やプロセスの標準化を通して業界を超えたオープンで相乗的なIoT技術の発展とIoT製品のセキュリティ品質向上を支えることです。標準化の範囲は、用語や定義、セキュリティを含む技術要件、適合性の評価方法、組織管理や人員の能力、計画・設計・実装・運用・保守から成る製品ライフサイクルなど多岐にわたります。

日本企業が押さえるべきポイント

中国における製品セキュリティのアプローチは設計から保守までの製品ライフサイクル全体を通じた保護と脆弱性管理、そしてそれを支えるセキュリティ体制の整備を求めるオーソドックスなものです。中国市場で製品を販売ないし提供する日本企業は、現状の製品セキュリティ規制対象であるインターネット関連製品や重要ネットワーク製品に該当する可能性がある自社製品がないか検討しつつ、並行して関連する国家標準などをベースに現状の製品セキュリティ体制を見直すことが推奨されます。また、2025年までにIoT分野の標準整備が急速に進められる中で規制の対象となるIoT製品の範囲が拡大する可能性があるため、今後のIoT産業育成政策や標準整備の動向をモニタリングし、自社に対する影響を先回りして把握していくことも必要になります。

*1 中华人民共和国网络安全法、2024年9月26日閲覧、
https://www.gov.cn/xinwen/2016-11/07/content_5129723.htm

*2 关于调整网络安全专用产品安全管理有关事项的公告、2024年9月26日閲覧、
https://www.gov.cn/zhengce/zhengceku/2023-04/18/content_5751982.htm

*3 网络关键设备和网络安全专用产品目录、2024年9月26日閲覧、
https://www.cac.gov.cn/2023-07/03/c_1690034742530280.htm

*4 信息安全技术网络安全专用产品安全技术要求、2024年9月26日閲覧、
https://std.samr.gov.cn/gb/search/gbDetailed?id=F113142E3FCC4B65E05397BE0A0A5AB9

*5 工业和信息化部国家互联网信息办公室公安部
关于印发网络产品安全漏洞管理规定的通知、2024年9月26日閲覧、
https://www.gov.cn/zhengce/zhengceku/2021-07/14/content_5624965.htm

*6 预计到2025年我国新制定30项以上物联网领域国家标准和行业标准、2024年9月26日閲覧、
https://www.gov.cn/lianbo/bumen/202408/content_6970907.htm

*7 两部门关于印发物联网标准体系建设指南（2024版）的通知、2024年9月26日、
https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_4ff2646910384278a75238457893a14c.html