「ネットワーク製品のセキュリティー脆弱性収集プラットフォームの届け出管理弁法」を発表

中国工業情報化部は10月28日、「ネットワーク製品のセキュリティー脆弱（ぜいじゃく）性収集プラットフォームの届け出管理弁法」を発表した。弁法は2023年1月1日から施行される（注）。

工業情報化部と国家インターネット情報弁公室、公安部は2021年7月に、ネットワーク製品のセキュリティー脆弱性の発見・報告・修正・公表などの行為を規範化し、サイバーセキュリティーリスクを予防するため、「ネットワーク製品のセキュリティー脆弱性管理規定」を発表した。同規定では、どんな組織・個人が設立したネットワーク製品セキュリティー脆弱性収集プラットフォームも、工業情報化部に届け出を行わなければならないと定めていた。今回の弁法は、脆弱性収集プラットフォームの届け出方式や報告内容などを明確にしたものとなる。

弁法では、セキュリティー脆弱性収集プラットフォームを設立する組織・個人について、オンライン上で工業情報化部のサイバーセキュリティー脅威・脆弱性情報共有プラットフォームに以下の関連情報について届け出を行うことを義務付けた。

• 脆弱性収集プラットフォームの名称、トップページのアドレス、インターネット・コンテンツ・プロバイダー（ICP）の許認可あるいは届け出番号、脆弱性情報を公表するウェブサイトやSNS公式アカウントなどのチャンネル。
• 脆弱性収集プラットフォームを設立する組織の名称または個人の氏名、証明書番号や脆弱性収集プラットフォームを運営する主要な責任者、担当者の氏名・連絡先。
• 脆弱性収集の範囲と方法、脆弱性の検証・評価規則、脆弱性の修正に関する責任主体への通知規則、脆弱性の公表規則、登録ユーザーに対する身分確認、種類・レベル別の管理規則など。

また、登録した情報に変更が発生する場合や脆弱性収集業務を終了する場合には、工業情報化部のサイバーセキュリティー脅威・脆弱性情報共有プラットフォームで変更・登録抹消手続きを行わなければならないとしている。

（注）脆弱性とは、コンピュータのOSやソフトウエアで、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティー上の欠陥のこと。セキュリティーホールとも呼ばれる。

（張敏）