脆弱性収集プラットフォームの利用に係る規程

2022年10月28日に、中国工業情報化部が「ネットワーク製品のセキュリティー脆弱性収集プラットフォームの届出管理弁法」（2022年146号）の通達を公示しました。本弁法は脆弱性収集プラットフォームの届出方式および報告内容等を明確にしたものとなり、2023年1月1日から実施されます。

弁法の概要

概要

本弁法は「中国サイバーセキュリティー法」、「中国データセキュリティー法」および「ネットワーク製品セキュリティー脆弱性管理規程」に基づいて制定されました。ネットワーク製品のセキュリティー脆弱性収集プラットフォームの届出管理を規範化することを目的として位置づけています。

適用範囲

第2条では、本弁法は中国国内のネットワーク製品セキュリティー脆弱性収集プラットフォームの届出管理業務を行うときに適用されると規定されています。

定義

本弁法の第2条によれ、本弁法で使用される専門用語は以下のとおり説明されています。

ネットワーク製品セキュリティー脆弱性収集プラットフォームとは、関連組織または個人が、自身のネットワーク製品以外のセキュリティー脆弱性を収集するために設置されたインターネット上の公開プラットフォームのことです。

自身ネットワーク製品、ネットワークシステムセキュリティー脆弱性を修正するという目的は含まれていません。また、脆弱性収集プラットフォームの届出は工業情報化部のサイバーセキュリティー脅威・脆弱性情報共有プラットフォームを通じて運営しており、オンライン届出方式を実施しています。

「ネットワーク製品のセキュリティー脆弱性収集プラットフォームの届出管理弁法」ー第2条

事業者に係る注意事項

本弁法の第4,6,8条では、事業者に係る注意事項は以下のように説明されています。

・セキュリティー脆弱性収集プラットフォームを設立する組織・個人は、オンライン上で工業情報化部のサイバーセキュリティー脅威・脆弱性情報共有プラットフォームに、以下の関連情報について届出を行わなければなりません。

1. 脆弱性収集プラットフォームの名称、トップページのアドレス、インターネット・コンテンツ・プロバイダー（ICP）の許可あるいは届出番号、脆弱性情報を公表するウェブサイトやSNS公式アカウント等のチャンネル。

2.脆弱性収集プラットフォームを設立した組織の名称または個人の氏名、証明書番号や脆弱性収集プラットフォームを運営する主要な責任者、担当者の氏名・連絡先。

3. 脆弱性収集の範囲と方法、脆弱性の検証・評価規則、脆弱性の修正に関する責任主体への通知規則、脆弱性の公表規則、登録ユーザーに対する身分確認、種類・レベル別の管理規則等。

4. 工業情報化部の通信ネットワーク安全防護管理システムを通じて取得したネットワーク安全等級保護届出の関連書類。

5. 関連する国家標準および業界標準に従ったプラットフォーム管理等の実施状況の情報。

6. 主管部門が提出を要求するその他の情報。

・登録した情報を変更する場合には、30日以内に工業情報化部のサイバーセキュリティー脅威・脆弱性情報共有プラットフォームで変更手続きを行わなければなりません。

・脆弱性収集業務を終了する場合には、当日に工業情報化部のサイバーセキュリティー脅威・脆弱性情報共有プラットフォームで登録抹消手続きを行わなければなりません。

「ネットワーク製品のセキュリティー脆弱性収集プラットフォームの届出管理弁法」－第4,6,8条

参考

1．「ネットワーク製品のセキュリティー脆弱性収集プラットフォームの届出管理弁法」の通達 /中国工業情報化部