連邦政府、情報セキュリティー機器への信頼性レベル試験実施を要求

ロシア連邦技術輸出管理局は4月3日、「情報セキュリティー機器・手段に関する信用性レベル要求」を発表した（2019年3月29日付第240／24／1525号）。これは、国家機密あるいは法令でアクセスが制限される情報の保護を目的とした製品・サービスに関する技術規則で、アンチウイルスソフト、ファイアーウォール、アンチスパム、インターネットトラフィック保護ソフトウエア、情報漏出保護システム、安全運営システムなど、情報セキュリティー機器・手段に関連するソフトウエア、ハードウエアを対象としている。ロシアの国家機関、国営企業などとの取引の際に、業務内容次第で適用される可能性がある。

信用性レベル要求は、2004年8月16日付大統領令第1085号および2018年7月30日付連邦技術輸出管理局令第131号に基づくもので、適用は6月1日から。国家機関や国営企業などが保有する上記に該当するデータの加工・保護を行う機器・手段に適用され、6つにレベル分けされる。セキュリティーレベルが最も低いのは6、最も高いものが1。レベル分けと要件の詳細は、連邦技術輸出管理局作成の資料に記載されている。該当する製品・サービスを現時点で納入・提供する開発者・生産者は、2020年1月1日までに連邦技術輸出管理局が認定した試験機関で製品適合評価を実施することが求められる。

外国企業締め出しの恐れ

サイバーセキュリティー業界から、今回の要求は現実的でないとの指摘も出ている。「連邦技術輸出管理局の認証手続きに時間がかかり、これらの機器を扱う企業や国家機関が活動できなくなる恐れがある」と懸念する。ロシアの軍事・治安機関向けにOSを開発するアストラリナックスの技術者も、「顧客の新たな要求を実施する場合、分析、製品開発、メンテナンスなどを非常に短い期間で実施しなくてはならず、コストが膨大になる。市場から誠実な事業者を除外する措置」と批判している（「コメルサント」紙4月9日）。

また、外国製品の締め出しにつながる可能性も指摘されている。情報セキュリティー関連企業インフォセキュリティーのニキータ・ピンチュク社長は「この要求を順守する場合、ソースコード（注）の提出が求められる。外国企業にとっては営業上の秘密に該当するため開示は難しい」と予想。サイバーセキュリティー専門家のアレクセイ・ルカツキー氏は、ロシアの情報セキュリティー市場の半分は国家機関・国営企業による発注で、3分の2は最近まで外国企業に占められていたが、「法令変更で外国企業のシェアは減るだろう」と推測している。

（注）プログラミング言語で書かれた、プログラム文字列。

（齋藤寛）