ちょっとはわかった??「中国、ITソースコード強制開示」
この前、とりあえげたネタの関連エントリ紹介です。
読売新聞が中国、ITソースコード強制開示強行へ…国際問題化の懸念と報じたことから、「IT製品のソースコードの開示が強要される」「日本企業は中国から撤退すべきだ」といった極端な拒否反応があちこちで見られる(はてなブックマーク、痛いニュース)。
しかし、実際読売新聞の記事は少々拡大解釈をしている。スラッシュドットのエントリを参考に、もう少し詳しく見てみよう。元ソースは中国部分情報処理のセキュリティ製品に関する強制認証実施の公告であり、昨年12月に読売新聞により正確な解説記事が掲載されている。これを読むと、多くの人が誤解している点が浮かび上がってくる。
まず第一に、審査対象となるセキュリティ製品は、ファイアウォール、ルータ、ICチップ用OS、OS、データベースなど13品目に限定される(下表)。家電製品や自動車などは対象外だ*1。全てのIT製品のソースコードの開示が求められると誤解している人が多いようだが、そんな事実はない。
この前紹介した記事(ニュースサイトのものも含めて)よりは格段に詳しい感じです。
あと、暗号ロジックが明らかになると暗号に意味がなくなると思っている人がいるようですが、暗号ってそういうものでしたっけ・・・?暗号ロジックの開示と暗号強度は基本関係ないと思ってます(じゃなかったらSSLなんて使い物になりません)。
後、中国のセキュリティに関する実状は下記が参考になりそうな感じです。
私がぱっと読んだ中で印象的だったのは
- 中国では、暗号化技術を使用・利用すること自体を許可制度としている。よって、下記すべてが認可をとらないか限り違法
- が、つかまるってことはない感じらしい
- 感覚的には「40km制限の道路を時速50kmで走るようなもの」
- しかしながら、制限がガリガリかかる
といった辺りかな。ってことで、中国よくわかんない・・・みたいな気分になりました。