読売新聞が中国、ＩＴソースコード強制開示強行へ…国際問題化の懸念と報じたことから、「IT製品のソースコードの開示が強要される」「日本企業は中国から撤退すべきだ」といった極端な拒否反応があちこちで見られる（はてなブックマーク、痛いニュース）。

しかし、実際読売新聞の記事は少々拡大解釈をしている。スラッシュドットのエントリを参考に、もう少し詳しく見てみよう。元ソースは中国部分情報処理のセキュリティ製品に関する強制認証実施の公告であり、昨年12月に読売新聞により正確な解説記事が掲載されている。これを読むと、多くの人が誤解している点が浮かび上がってくる。

【注】本エントリのスコープは中国の強制認証制度に関する正確な情報を伝え、多くの人が誤解している点を正す点にある。中国が信用できるかできないか、ソースコードの流用がなされないか、という懸念に関する議論はスコープ外である*1。

まず第一に、審査対象となるセキュリティ製品は、ファイアウォール、ルータ、ICチップ用OS、OS、データベースなど13品目に限定される（下表）。家電製品や自動車などは対象外だ*2。全てのIT製品のソースコードの開示が求められると誤解している人が多いようだが、そんな事実はない。



強制品目リスト カテゴリ 製品名 1.ボーターセキュリティ ファイアウォール ランカード及びスイッチングハーブ VPN 2.通信セキュリティ ルータ 3.ID識別及び訪問者管理システム インテレジェントカードCOS（ ICチップ用OS− ChipOperation System） 4.データのセキュリティ データパックアップ及びリーストア 5.ベースプラットフォーム OS データベースシステム 6.内容のセキュリティ 迷惑メール防止製品 7.分析、監査及び監視、制御 不正アクセス侵入探知システム（アイディーエスIDS） ネットワークの監視システム 操作履歴、ログを収集、分析する製品 8.応用のセキュリティ ファイル改竄検知システム

EAL1〜3：一般民生用

EAL4：政府機関向け

EAL5〜7：軍用レベルほか、政府最高機密機関レベル向け

第二は、こうしたITセキュリティの評価認証は、何も中国だけに限ったことではなく、日本を初めとする世界各国で行われていると言う事実だ。ただし、それは強制ではなく任意であり、認証を受けたい企業が各国のセキュリティ審査機関の審査を受ける（政府調達の場合には認証取得が条件となる場合が多い）。一方、中国はそれを全ての対象製品に強制しているため波紋が生じている *3 。 中国強制認証（CCC）に関しては、 WTO加盟後の中国強制認証(CCC)制度の課題及び経済産業省の取り組みについて が参考になる。CCCは国際規格に則り認証され、セキュリティ製品の場合には、 ISO/IEC15408 （CC:Common Criteria）が用いられる。ISO/IEC15408は、セキュリティ製品（ハード/ソフトウェア）およびシステムの開発や製造、運用などに関する国際標準であり、当該製品がセキュアであることに対する抜本的な指標を与える情報セキュリティ評価の国際標準だ。中国独自の謎な判断基準によって認証されるわけではなく、国際標準が用いられるという点はひとまず安心できる点だろう。 問題となっているのは ISO/IEC15408 の8章で述べられている7段階の品質保証レベル（EAL）において、中国が全ての対象製品に求めているレベルがEAL3ないしEAL4の非常に高いレベルにあるという点だ。EALとその用途の分類は大まかにいって次の通りだ。

一般民生用において通常求められるのはEAL1〜EAL2が大半で、マニュアルや機能仕様の開示に留まる。ところが、EAL3になると詳細な設計仕様、EAL4ではソースコードの開示が求められ、全ての対象製品に審査を強制するには高すぎるレベルが問題となっているのだ。逆に言えば、たとえば政府機関向けの調達品に対してEAL4の審査を求めるのは理に適ったことだし、高度なセキュリティを要求される製品群では自主的にEAL4以上の認証を受けているものも多い。

経済産業省による日本の政府調達指針であるISO/IEC15408を活用した調達のガイドブックの最終ぺージにある、既に評価・認証を受けた製品分類毎の保証レベルを見れば、データベースや、IC、OSの多くの製品でソースコード開示を含むEAL4以上の認証を受けていることが分かる。認証の取得（任意だがセキュリティ製品群では取得が半ば常識）にあたり、ソースコードの開示を要求しているのは何も中国だけに限らない。この部分を理解せず中国を過度に非難している人が多いようだ。高度なセキュリティが求められる製品においては、義務ではなくてもソースコード開示を含むEAL4以上の認証を受けそのセキュリティを保証することが一般的だ。ネット上では「ソースコード開示＝中国ひどい」という反応が多いが、セキュリティ製品におけるソースコード開示は諸外国でも広く行われていることである。問題はソースコード開示それ自体にあるのではなく、全ての対象製品に対して中国の適合性評価機関においてEAL3ないしEAL4の認証取得を義務化している点にある。

ISO/IEC15408のEAL3およびEAL4の保証コンポーネント規定について抜粋する。ここでTOEは評価対象(target of evaluation)を指す。

EAL3 EAL3は、完全なセキュリティターゲット及びそのST内のSFRの分析により保証を提供する。この分析は、セキュリティのふるまいを理解するために、機能とインタフェースの仕様、ガイダンス証拠資料、及びTOEの設計のアーキテクチャ記述を使用して行われる。 分析は、TSFの独立テスト、機能仕様及びTOE設計に基づく開発者テストの証拠、開発者テスト結果の選択的で独立した確認、及び基本的な攻撃能力を持つ侵入攻撃者に対する抵抗力を実証する(提供された機能仕様、TOE設計、セキュリティアーキテクチャ記述、及びガイダンス証拠に基づく)脆弱性分析によってサポートされる。 また、EAL3は、開発環境管理の使用、TOE構成管理の使用、及びセキュアな配付手続きの証拠を通して保証を提供する。 このEALは、セキュリティ機能性のさらに完全なテストカバレージ、及びTOEが開発中に改ざんされないというある程度の信頼を提供するメカニズム及び/または手続きを要求することにより、EAL2からの有意義な保証の増加を表す。 EAL4 EAL4は、完全なセキュリティターゲット及びそのST内のSFRの分析により保証を提供する。この分析は、セキュリティのふるまいを理解するために、機能と完全なインタフェースの仕様、ガイダンス証拠資料、TOEの基本モジュール設計の記述、及び実装のサブセットを使用して行われる。 分析は、TSFの独立テスト、機能仕様及びTOE設計に基づく開発者テストの証拠、開発者テスト結果の選択的で独立した確認、及び強化基本的な攻撃能力を持つ侵入攻撃者に対する抵抗力を実証する(提供された機能仕様、TOE設計、実装表現、セキュリティアーキテクチャ記述、及びガイダンス証拠に基づく)脆弱性分析によってサポートされる。 また、EAL4は、開発環境管理の使用、自動化を含む追加のTOE構成管理の使用、及びセキュアな配付手続きの証拠を通して保証を提供する。 このEALは、さらに多くの設計記述、TSF全体に対する実装表現、及びTOEが開発中に改ざんされないという信頼を提供する向上したメカニズム及び/または手順を要求することにより、EAL3からの有意義な保証の増加を表す。 情報技術セキュリティ評価のためのコモンクライテリア

ネット上ではソースコード（実装表現）開示への対抗策として難読化や冗長化、果てはハードウェア化が挙げられていたが、EAL3以上において機能仕様、TOE設計、セキュリティアーキテクチャ記述、及びガイダンス証拠の開示が求められている時点で、ソースコードだけ難読化しても意味がない*4。ソースコードが無くても、EAL3の開示があれば、そのまま外注に実装を依頼すのに十二分だ（率直に言って感動されるレベルだ）。ソースコード開示だけが大きく取り上げられているが、それは全体の一部に過ぎないことを認識しなければならない。

さて、中国への対応として日本が求めているのは品質保証レベルの緩和に加えて、日本の適合性評価機関の承認である。現状、中国は日本の適合性評価機関を認めていないため、中国に輸出しようとする製造者は中国国内の適合性評価機関において評価を受ける必要がある。そこに中国への情報漏洩のリスクがあるわけだが、これを日本国内の適合性評価機関の評価で代えることができれば、情報漏洩のリスクは大きく減少する。運用の透明性が向上する上、適合性評価の迅速化、負担コストの低減も期待できる。こうした相互承認は既に米国、EU、タイ、シンガポール、フィリピンとの間で成立しており、同様の相互承認を中国との間でも確立できればよい。次に前掲のWTO加盟後の中国強制認証(CCC)制度の課題及び経済産業省の取り組みについてから、域外指定型認定制度の理想像を引用する。



以上まとめると次のようになる。

セキュリティ製品のソースコード開示を含む評価認証は世界各国で実施中。ただし他国が政府調達等を除いて任意なのに、中国はすべてに強制。 全てのIT製品が開示の対象になるわけではなく、対象は13品目のセキュリティ製品のみ。 ソースコードだけではなく、詳細な設計仕様の開示が求められるため、ソースコードの難読化・冗長化は意味がない。 自国の適合性評価機関との相互認証の枠組み確立にむけての努力がなされており、中国からの撤退を検討するのは時期尚早。

少なくとも、はてなーはもうちょっと落ち着いたほうがよいと思う。