Hatena::ブログ(Diary)

A Successful Failure このページをアンテナに追加 RSSフィード Twitter


2010年9月12日付でライブドアブログに引っ越しました。
新URLはhttp://blog.livedoor.jp/lunarmodule7/になります。
これからもどうぞよろしくお願い致します。



2009-04-25

中国によるソースコード強制開示報道に踊らされるのはまだ早い

読売新聞が中国、ITソースコード強制開示強行へ…国際問題化の懸念と報じたことから、「IT製品のソースコードの開示が強要される」「日本企業は中国から撤退すべきだ」といった極端な拒否反応があちこちで見られる(はてなブックマーク痛いニュース)。

しかし、実際読売新聞の記事は少々拡大解釈をしている。スラッシュドットのエントリを参考に、もう少し詳しく見てみよう。元ソースは中国部分情報処理のセキュリティ製品に関する強制認証実施の公告であり、昨年12月に読売新聞により正確な解説記事が掲載されている。これを読むと、多くの人が誤解している点が浮かび上がってくる。

【注】本エントリのスコープは中国の強制認証制度に関する正確な情報を伝え、多くの人が誤解している点を正す点にある。中国が信用できるかできないか、ソースコードの流用がなされないか、という懸念に関する議論はスコープ外である*1

まず第一に、審査対象となるセキュリティ製品は、ファイアウォール、ルータ、ICチップ用OS、OS、データベースなど13品目に限定される(下表)。家電製品や自動車などは対象外だ*2。全てのIT製品のソースコードの開示が求められると誤解している人が多いようだが、そんな事実はない。

強制品目リスト
カテゴリ製品名
1.ボーターセキュリティファイアウォール
ランカード及びスイッチングハーブ
VPN
2.通信セキュリティルータ
3.ID識別及び訪問者管理システムインテレジェントカードCOS( ICチップ用OS− ChipOperation System)
4.データのセキュリティデータパックアップ及びリーストア
5.ベースプラットフォームOS
データベースシステム
6.内容のセキュリティ迷惑メール防止製品
7.分析、監査及び監視、制御不正アクセス侵入探知システム(アイディーエスIDS)
ネットワークの監視システム
操作履歴、ログを収集、分析する製品
8.応用のセキュリティファイル改竄検知システム


第二は、こうしたITセキュリティの評価認証は、何も中国だけに限ったことではなく、日本を初めとする世界各国で行われていると言う事実だ。ただし、それは強制ではなく任意であり、認証を受けたい企業が各国のセキュリティ審査機関の審査を受ける(政府調達の場合には認証取得が条件となる場合が多い)。一方、中国はそれを全ての対象製品に強制しているため波紋が生じている*3

中国強制認証(CCC)に関しては、WTO加盟後の中国強制認証(CCC)制度の課題及び経済産業省の取り組みについてが参考になる。CCCは国際規格に則り認証され、セキュリティ製品の場合には、ISO/IEC15408(CC:Common Criteria)が用いられる。ISO/IEC15408は、セキュリティ製品(ハード/ソフトウェア)およびシステムの開発や製造、運用などに関する国際標準であり、当該製品がセキュアであることに対する抜本的な指標を与える情報セキュリティ評価の国際標準だ。中国独自の謎な判断基準によって認証されるわけではなく、国際標準が用いられるという点はひとまず安心できる点だろう。

問題となっているのはISO/IEC15408の8章で述べられている7段階の品質保証レベル(EAL)において、中国が全ての対象製品に求めているレベルがEAL3ないしEAL4の非常に高いレベルにあるという点だ。EALとその用途の分類は大まかにいって次の通りだ。

  • EAL1〜3:一般民生用
  • EAL4:政府機関向け
  • EAL5〜7:軍用レベルほか、政府最高機密機関レベル向け

一般民生用において通常求められるのはEAL1〜EAL2が大半で、マニュアルや機能仕様の開示に留まる。ところが、EAL3になると詳細な設計仕様、EAL4ではソースコードの開示が求められ、全ての対象製品に審査を強制するには高すぎるレベルが問題となっているのだ。逆に言えば、たとえば政府機関向けの調達品に対してEAL4の審査を求めるのは理に適ったことだし、高度なセキュリティを要求される製品群では自主的にEAL4以上の認証を受けているものも多い。

経済産業省による日本の政府調達指針であるISO/IEC15408を活用した調達のガイドブックの最終ぺージにある、既に評価・認証を受けた製品分類毎の保証レベルを見れば、データベースや、IC、OSの多くの製品でソースコード開示を含むEAL4以上の認証を受けていることが分かる。認証の取得(任意だがセキュリティ製品群では取得が半ば常識)にあたり、ソースコードの開示を要求しているのは何も中国だけに限らない。この部分を理解せず中国を過度に非難している人が多いようだ。高度なセキュリティが求められる製品においては、義務ではなくてもソースコード開示を含むEAL4以上の認証を受けそのセキュリティを保証することが一般的だ。ネット上では「ソースコード開示=中国ひどい」という反応が多いが、セキュリティ製品におけるソースコード開示は諸外国でも広く行われていることである。問題はソースコード開示それ自体にあるのではなく、全ての対象製品に対して中国の適合性評価機関においてEAL3ないしEAL4の認証取得を義務化している点にある

ISO/IEC15408のEAL3およびEAL4の保証コンポーネント規定について抜粋する。ここでTOEは評価対象(target of evaluation)を指す。

EAL3

EAL3は、完全なセキュリティターゲット及びそのST内のSFRの分析により保証を提供する。この分析は、セキュリティのふるまいを理解するために、機能とインタフェースの仕様、ガイダンス証拠資料、及びTOEの設計アーキテクチャ記述を使用して行われる。

分析は、TSFの独立テスト、機能仕様及びTOE設計に基づく開発者テストの証拠、開発者テスト結果の選択的で独立した確認、及び基本的な攻撃能力を持つ侵入攻撃者に対する抵抗力を実証する(提供された機能仕様、TOE設計、セキュリティアーキテクチャ記述、及びガイダンス証拠に基づく)脆弱性分析によってサポートされる。

また、EAL3は、開発環境管理の使用、TOE構成管理の使用、及びセキュアな配付手続きの証拠を通して保証を提供する。

このEALは、セキュリティ機能性さらに完全なテストカバレージ、及びTOEが開発中に改ざんされないというある程度の信頼を提供するメカニズム及び/または手続きを要求することにより、EAL2からの有意義な保証の増加を表す。

EAL4

EAL4は、完全なセキュリティターゲット及びそのST内のSFRの分析により保証を提供する。この分析は、セキュリティのふるまいを理解するために、機能と完全なインタフェースの仕様、ガイダンス証拠資料、TOEの基本モジュール設計の記述、及び実装のサブセットを使用して行われる。

分析は、TSFの独立テスト、機能仕様及びTOE設計に基づく開発者テストの証拠、開発者テスト結果の選択的で独立した確認、及び強化基本的な攻撃能力を持つ侵入攻撃者に対する抵抗力を実証する(提供された機能仕様、TOE設計、実装表現、セキュリティアーキテクチャ記述、及びガイダンス証拠に基づく)脆弱性分析によってサポートされる。

また、EAL4は、開発環境管理の使用、自動化を含む追加のTOE構成管理の使用、及びセキュアな配付手続きの証拠を通して保証を提供する。

このEALは、さらに多くの設計記述、TSF全体に対する実装表現、及びTOEが開発中に改ざんされないという信頼を提供する向上したメカニズム及び/または手順を要求することにより、EAL3からの有意義な保証の増加を表す。

情報技術セキュリティ評価のためのコモンクライテリア

ネット上ではソースコード(実装表現)開示への対抗策として難読化や冗長化、果てはハードウェア化が挙げられていたが、EAL3以上において機能仕様、TOE設計、セキュリティアーキテクチャ記述、及びガイダンス証拠の開示が求められている時点で、ソースコードだけ難読化しても意味がない*4。ソースコードが無くても、EAL3の開示があれば、そのまま外注に実装を依頼すのに十二分だ(率直に言って感動されるレベルだ)。ソースコード開示だけが大きく取り上げられているが、それは全体の一部に過ぎないことを認識しなければならない。

さて、中国への対応として日本が求めているのは品質保証レベルの緩和に加えて、日本の適合性評価機関の承認である。現状、中国は日本の適合性評価機関を認めていないため、中国に輸出しようとする製造者は中国国内の適合性評価機関において評価を受ける必要がある。そこに中国への情報漏洩のリスクがあるわけだが、これを日本国内の適合性評価機関の評価で代えることができれば、情報漏洩のリスクは大きく減少する。運用の透明性が向上する上、適合性評価の迅速化、負担コストの低減も期待できる。こうした相互承認は既に米国、EU、タイ、シンガポール、フィリピンとの間で成立しており、同様の相互承認を中国との間でも確立できればよい。次に前掲のWTO加盟後の中国強制認証(CCC)制度の課題及び経済産業省の取り組みについてから、域外指定型認定制度の理想像を引用する。

f:id:LM-7:20090426003455p:image

以上まとめると次のようになる。

  1. セキュリティ製品のソースコード開示を含む評価認証は世界各国で実施中。ただし他国が政府調達等を除いて任意なのに、中国はすべてに強制。
  2. 全てのIT製品が開示の対象になるわけではなく、対象は13品目のセキュリティ製品のみ。
  3. ソースコードだけではなく、詳細な設計仕様の開示が求められるため、ソースコードの難読化・冗長化は意味がない。
  4. 自国の適合性評価機関との相互認証の枠組み確立にむけての努力がなされており、中国からの撤退を検討するのは時期尚早。

少なくとも、はてなーはもうちょっと落ち着いたほうがよいと思う。

追記1(2009年4月30日)

読売新聞の続報によれば、中国政府は日米欧が強く反発したことに配慮し、規制を中国の政府調達分に限定、適用を1年延期し2010年の5月開始とした。当初よりも適用範囲が大幅に限定されたが、日本政府はそれでも問題が大きいとして、引き続き中国政府に制度の撤回を求めていくようだ。とりあえず1年の猶予期間ができたので、受け入れ可能な制度となるように各国政府の交渉努力に期待したい。

追記2(2009年5月1日)

ASCIIが中国ソースコード強制開示 延期になったが大丈夫?として、大手IT系メディアでは初めて詳細な背景解説記事を掲載している。その中で、この問題点を「中国政府は、海外の適合性評価機関の参加を強制認証制度(CCC)の中で認めていないこと」にあるとしている。認証制度そのものは諸外国にも存在するものでありそれ自体は問題はない。問題点は相互認証の枠組みがないため、海外企業の負担が過大になる点だ。

関連エントリ

*1:こんな注をわざわざ付けるのは馬鹿らしいが、ソースにもあたらず、背景情報も理解せず、脊髄反射的に工作員呼ばわりする困った人がいるので追加。

*2:コメントで家電製品や自動車を対象外とする根拠を尋ねられているので補足しておくと、そもそも中国部分情報処理のセキュリティ製品に関する強制認証実施の公告という名が示すとおり、対象はセキュリティ製品である。OSの細目にOS一体型の製品との但し書きもあるが、あくまでセキュリティ製品という大前提を外してはいけない。また、「2009年の5月1日から強制認証書を取得していないもの及び強制認証マークを表示していないものについての出荷、販売及び輸入或いはその他の業務での使用が禁止される」と規定されているが、中国への家電製品や自動車の輸出が5月1日以降全面禁止されるなんてあり得ない。また、家電製品や自動車の業務使用が禁止されると中国は大混乱に陥るだろう。あくまで対象はセキュリティ製品に限られると解釈するのが妥当だ。

*3:追記1にも示したように、2009年4月29日、中国政府は対象を政府調達分に限ると方針を変更した。

*4:設計仕様書の難読化という手はあるが、仕様書は人が読んで理解できないと審査の役に立たないので難読化にも限界がある。もっとも自分が書いたり読んだりする仕様書は常に意味不明だという人もいるだろうけれど。

通りすがり通りすがり 2009/04/26 19:53 DVDレコーダや薄型テレビ等、それなりのCPUを積んだ情報家電は、当然の如くOSを積んでいる訳ですが。あと末端のセンサーは兎も角、車も中枢にはCPUとOSを積んでいる訳ですが。その辺をスルーして「家電製品や自動車などは対象外だ。」と言い切れる根拠は何なんでしょうか?OS 内装型の製品に含まれるのでは?

LM-7LM-7 2009/04/26 20:00 5月1日に家電製品や自動車が全面禁輸になるかどうかを考えれば自明だと思います。

通りすがり通りすがり 2009/04/26 20:15 らじゃ。禁輸されていない製品は含まれていないって事ですね。了解しました。

名無し名無し 2009/04/27 00:18 職業プログラマですが、今回の内容をかなり楽観的にとらえたとしても終わってます。中国で2年半ほど仕事してましたが、ソースのコピーは彼らの仕事の1つです。
先進国で開示するのとはワケが違う、という重大な認識が欠けています。中国人という人種を理解されていないようですね。

木村木村 2009/04/27 04:24 つまるところ、中国の目的は国内における全ての暗号通信を検閲・盗聴することです。
ソースコードのパクリレベルの話ではありません。

これは秦の始皇帝が焚書を行ったのと同じく、全ての通信・思想を統制することが目的ですね。
何千年経っても中国人は中国人、シナ皇帝=中国共産党は人民を心の底から縛り付けなければ安心して眠ることすら出来ないわけですね。

木村木村 2009/04/27 04:32 ちなみに中国では鍵暗号方式の通信であっても、政府に公開鍵・秘密鍵両方を提出して認証を受けない限り国内では通信はSSLにしろVPNにしろグレートウォールでブロックされます。
無論、秘密鍵を差し出したら通信内容は丸見えになりますが、悪用はしないから中国政府を信じろということらしいです。
日本でも大塚商会みたいに中国での鍵申請を代行する業者が存在してます。

はっきり言って落ち着くどころの話ではありませんよ、中国と通信する場合はSSLだろうがVPNだろうが通信内容は全て中国政府に筒抜けになるということなんですから、企業秘密もへったくれもありません。

木村木村 2009/04/27 04:41 中国での国家レベルでのネット通信の盗聴の実態はこちらに詳しいです。
http://jpcnblog.iza.ne.jp/blog/entry/610676/

犬 2009/04/27 09:09 この記事書いたヤツってバカじゃん、無知が丸見え
どんだけ脳内お花畑なんだ

nonomuranonomura 2009/04/27 10:46 中国では「商用暗号管理条例」によって、許可を得てない暗号通信が公的に法律違反になってますね。
上に上げてる通信・セキュリティ機器はすべて通信の暗号化技術を含むものです。
強制的に開示というところからして、「商用暗号管理条例」に基づいた暗号通信の統制と阻害が狙いっぽいですな。

bearcatbearcat 2009/04/27 15:48 問題の本質がうまくまとめられていて非常に参考になりました。
そしてコメント各位の顔真っ赤?な的外れっぷり、笑わせていただきました。

matebumatebu 2009/04/27 17:13 すいません、やっぱりわからないので、教えてください。
Oracle、MacOS、Windows、日本のベンダーの企業向けソフト、日本のベンダーの消費者向けソフトは、ソースコード開示と設計情報開示が要求されるのでしょうか?
Salesforce.comを中国でサービス展開するときには、どうなるのでしょうか?

john-numjohn-num 2009/04/27 23:30 商用暗号管理条例 http://www.ntt.com/china/China/legislation/others/ango_law.htm
こりゃ酷いな、盗聴できない通信は全部禁止する法律ってソースコード盗用よりも危ない話だ。
日本との相互認証なんて絶対やらないでしょうね、そんなやり方じゃ盗聴できなし。

ゴンベゴンベ 2009/04/27 23:32 開示した機密が中国企業にそのまま流されるという懸念がある、というかほぼ現実のものとなるだろうという信用の無さが起因していると考えます
企業努力で技術を(良い意味で)盗むならまだしも、他国企業が作りあげた技術を国が率先して盗もうとしている、と思われている現実を感じます

john-numjohn-num 2009/04/28 00:15 >開示した機密が中国企業にそのまま流されるという懸念がある
心配するところがズレてます。開示したソースコードどころか、VPN内にある開発環境から事業内容・資金の流れまで根こそぎ盗まれることを心配してください。暗号化通信の禁止とはつまるところそういうことですよ。

流石共産主義流石共産主義 2009/04/28 02:36 「一私企業の専売特許」「一私企業の企業秘密」なんてありえへんのですよ。
それが益や富に繋がるものなら、それは国(みんな)のもんなんですよ。
国が盗む?んなあほな。オドレの声一つ血の一滴まで最初から国(みんな)のもんやっちうねん。
 
・・・いや、まぁ、極論ですけどね。
ただ、そもそものスタンスが民主主義の市場とは異なるんです。
共産圏で、持てる者が持たざる者に「見せる」っていうのは、
分け合いましょうってことですよ。

cccc 2009/04/28 03:16 工作員乙

国に戻ろうね。
明確に盗むことがよくわかりました。

工作工作 2009/04/28 03:26 コメントで家電製品や自動車を対象外とする根拠を尋ねられているので補足しておくと、そもそも中国部分情報処理のセキュリティ製品に関する強制認証実施の公告という名が示すとおり、対象はセキュリティ製品である。OSの細目にOS一体型の製品との但し書きもあるが、あくまでセキュリティ製品という大前提を外してはいけない。また、「2009年の5月1日から強制認証書を取得していないもの及び強制認証マークを表示していないものについての出荷、販売及び輸入或いはその他の業務での使用が禁止される」と規定されているが、中国への家電製品や自動車の輸出が5月1日以降全面禁止されるなんてあり得ない。また、家電製品や自動車の業務使用が禁止されると中国は大混乱に陥るだろう。あくまで対象はセキュリティ製品に限られると解釈するのが妥当だ。

根拠ってこんなんでいいの?主観もいいとこじゃん
常識で考えろって言いたいんだろうけどセキュリティソフトのソース見せろとか言う奴らに常識なんか求めんなよ、常識的に考えて

セキュリティセキュリティ 2009/04/28 14:41 この言葉、何にでも使えちゃうすっごい便利な魔法の言葉なんですよね!

・自動車のイモビライザー(盗難に対する「セキュリティ」)
・同じくABSやDSCといったアクセル・ブレーキアシスト(不適切な車体挙動に対する「セキュリティ」)
・携帯電話のSIM認証(不正取得端末に対する「セキュリティ」)
・全自動洗濯乾燥機の制御(乾燥温度異常時に対する「セキュリティ」)
・ゲームハードウェアのコピー防止策(著作権保護の「セキュリティ」)
  :
  :
 その他キリなし...

もちろん全て「中国部分情報処理のセキュリティ製品に関する強制認証実施の公告」の
「情報処理セキュリティ製品の強制品目リスト」内、「5.ベースプラットフォーム」の
「OS」によって監視、制御されてますよ。

てか、今の自動車って複数コンピュータ搭載+CANネットワーク接続が当たり前だから、プラットフォームOSが無いと開発・動作は無理!
家電製品も組み込みOS等使用してないものって殆ど見かけないんじゃ?

要は、中国じゃ「セキュリティ」(安全)に対するノウハウ(視点・思考・感覚・モラル)が欠如してるから見せてね♪ってこと?(もちろんパク(ry)


あと読売新聞2009年4月24日03時10分の記事内「中国当局の職員が日本を訪れ製品をチェックする手続きも含まれる。」てあるけど...
その前に、まずはお前のとこで作ってるの食品・製品類の品質・安全性を身を以てチェックしろと言ってみる。

LM-7LM-7 2009/04/28 20:53 なんだか、大賑わいですが、まずはっきりさせておきたいのは
本エントリのスコープは、冒頭に記載しているように、読売記事を発端とする基本的な誤解を解くための情報提供を行うことにあります。
中国が信用できるか、そうでないかという議論はスコープ外です(誰が中国が怪しいという点について誤解しているというのでしょうか?)。
基本的な誤解を解決した上で、運用上どういう問題が発生するのか検討することは別の議論で、それは大いにやってもらえばいいですが、こんなコメント欄でなくエントリをたててやればよいことでしょう。

あと、家電製品や自動車が対象となると信じている人は、発効日の5月1日を待ってみてはいかがでしょうか?どうせあと数日です。

0000000000 2009/04/28 23:06 泥棒に鍵を渡すのはバカのすることだろ

>あと、家電製品や自動車が対象となると信じている人は、発効日の5月1日を待ってみてはいかがでしょうか?どうせあと数日です。

法律に明記にしないで、施行されてからガンガン干渉してくるんですね
わかります

あのにますあのにます 2009/04/29 07:05 まあ言いたいことは解りますけど。そもそも国際的にも信用されていない中国の発表なわけで。それを正確に伝えたとしても、根本からしてでたらめなニオイがプンプンしてる状況じゃ「どうせ後から言いがかりつけルール変えるんだろ」と思われるのはしょうがないことです。

綿熊綿熊 2009/04/30 23:12 LM-7さんの記事のおかげで、今回の件についての詳細な事情を知る事が出来ました。感謝します。

もちろん、自分でソースを確かめに行く努力が大切だとは分かっているのですが……ニントモ

半導体の元営業マン半導体の元営業マン 2009/05/01 21:52 冷静な分析記事ですが、「セキュリティ」という語を広く解釈することで、
家電製品や自動車やありとあらゆる製品が対象になる可能性があることを
見逃しています。
というのは、組み込みソフトウェアの乗った製品でOSやセキュリティ機能の
ついていない製品の方がまれだからです。
・プリウスやレクサスなど自動車製品にはキーレスがついています。
・アクオスやブラビアなどデジタルAV製品には地デジの暗号解除機能が
 ついています。
・プリンタなどのOA製品の中身はほとんどルーターが入っています。
・洗濯機や冷蔵庫などのマイコンにもプログラムの読み取り防止機能がついています。
・携帯電話にはありとあらゆるセキュリティ機能が入っています。
こう見るとセキュリティ機能のついていない電子機器は一部の産業機器をのぞいて
少数派であると思います。

LM-7LM-7 2009/05/02 07:46 ルータ機能が付いている家電機器は現状少数派(東芝のREGZAには付いてる? ルーティング機能は持っていないと思われる)だとは思いますが、少なくともインターネット接続を行うものは強制品目リストにおいて非対象製品として明記されているので非対象です。あとのキーレスやプログラムの読み取り防止機能が、13品目のどれに該当するとおっしゃっているのかよく分かりません。制度的には13品目の政府調達品に限定するとのことなので、ありとあらゆる製品を対象とするには無理があると思います。

もちろん、後からルール変更という可能性はあるのですが、それは別の議論でスコープ外です。

綿熊様、お役に立てたようで何よりです。

通りすがりの名無し通りすがりの名無し 2009/05/02 09:54 「法は民衆を縛るためにあって、天子を縛る物ではない
 天子は常に法の上にあって、法は天子の意一つで変えられる」
それが彼の国のやり方ですよ?
いくら条約に謳っても現在の中国の天子たる中国共産党が
いくらでも自分の都合の良いように解釈し、ルール変更します。

>後からルール変更という可能性はあるのですが、それは別の議論でスコープ外です
彼の国の精神構造から言って、変更するのが基本ですので
第一にそれを見ないのは暗愚としか言いようがない。

中国政府の広告について中国政府の広告について 2009/05/02 16:10 ブログの筆者の方は、リンク先の中国政府の広告を読んで、
「下表製品」は「対象製品」である、と言っているのを
「対象製品」は「下表製品」である、と読み間違えているのではないでしょうか。
従って、「電製品や自動車などは対象外だ」と言うのは中国政府の広告ではなくてブログの筆者の意見であり、
筆者の意見に対して実際の運用の観点からコメントが加えられるのは普通であって、「スコープ外」とするのはおかしいのでは?

LM-7LM-7 2009/05/02 17:43 読売新聞の続報にも明記されているように、
http://www.yomiuri.co.jp/atmoney/news/20090429-OYT1T00633.htm
対象品目は13品目です。別に私の意見というわけではありません。

中国政府のルール変更や運用上の問題は本エントリのスコープ外であり、
それについて、本エントリは否定も肯定もするものではありません。
もちろん暗愚でない企業はそれらのリスクについて考慮するでしょうが、
別にそれについて本エントリで取り上げないといけない理由はありません。

え〜え〜 2009/05/03 09:51 「対象製品」である項目は「ソースコードを開示」させられる危険がある、というのと
「対象製品」でない項目は「ソースコードを開示」させられる危険がない、というのは
別物ですよ。
従って、「電製品や自動車などは対象外だ」はあなたと読売新聞の意見であり。
「全てのIT製品のソースコードの開示が求められると誤解している人が多いようだが、そんな事実はない。」というのもあなたの意見だと思いますが。

LM-7LM-7 2009/05/03 12:20 私も我ながら暇ですが……

ルール上13品目に限定されることは議論の余地がありません。
広告は表記載の13品目を追加することを表明したものです。
http://www.asahi.com/digital/av/TKY200904290169.html
http://mainichi.jp/select/world/news/20090430ddm002030034000c.html
http://www.tokyo-np.co.jp/article/economics/news/CK2009043002000073.html
http://www.jiji.com/jc/c?g=int_30&k=2009042900269
http://news.braina.com/2009/0430/rule_20090430_001____.html
その点に関しては国内の報道機関においても一致しているのがおわかりになるでしょう。

「対象製品」でない項目について「ソースコードを開示」させようと思えば、あなたが苦し紛れに持ち出したような、一般的な解釈から逸脱する運用やルールの変更が必要になりますが、何度も申し上げているようにそれらはスコープ外であり、「危険がない」とは一言もエントリ内で述べていません。「ルールの対象外であり」制度上「開示が求められる事実はない」と述べているのです。

ルールの外でソースコードが流出する可能性云々については、そもそもルールと関係がないのですから、本エントリの主題とまったく関係ありません。

え〜え〜 2009/05/03 14:12 まあ、どうせ消されるんでしょうけど。
中国政府の広告と、中国政府の広告に対する解説記事はイコールではありませんよ。

中国政府の広告では、リストに含まれる製品が対象製品であると言っているが、
リストの製品に含まれない製品が対象製品でないと入っていないし、
「電製品や自動車など」が対象リストに含まれるとか含まれないとか論じているわけではありませんよ。

中国政府の広告の解説記事に対する、解説記事を書く際に伝言ゲームになってしまっており、
このブログの著者が先走っていることは否めないと思います。

え〜え〜 2009/05/03 14:38 ついでに言うと、
リストに含まれる製品が対象製品である、というのはルールですが、
リストに含まれる製品のみが対象製品である、というのはルールではありませんよ。

だから読売の記者も「可能性があるに過ぎない」と言っているのであって、
「可能性がない」とは書いていません。

ルールと意見を区別していないのはおかしいと言っています。
批判は個人攻撃ととられるべきではありません。

LM-7LM-7 2009/05/03 16:37 あなたもお暇ですねえ。

まず、基本的なところで。中国強制認証制度(CCC)は対象製品をリスト保持しています。この追加がなされるまで22分野159品目が対象製品でした。今回の広告はこのリストを追加するルール改正のアナウンスなのです。その点で、この強制認証制度において、
リストに含まれる製品が対象製品である、というのと
リストに含まれる製品のみが対象製品である、というのはイコールなのです。
もちろん、それぞれの品目がどこまで含むのかという点については議論の余地があるでしょうが(詳細なスペックが不明)、TVとか自動車とかを対象にしようと思えばリストを改訂しないといけません。

さて、リスト自体は昨年半ばには発表されていたものであり、
経済産業省CSAJ解説:http://www.csaj.jp/government/other/2008/080627_meti.html
JISA:http://www.jisa.or.jp/news/649/download/301.pdf
などがその内容と対応についての報告を行っています。
昨年から(上記解釈に従って)対応が検討されていた制度改正であり、別に当方が先走っているわけでも何でもありません。

え〜え〜 2009/05/03 20:01 批判は個人攻撃ととられるべきではない、との指摘を理解して頂けなかったようで残念です。

よく研究していらっしゃいますが、相手の批判の内容を踏まえて反論しないとたくさんソースを並べても無意味です。

論じているのは、「ルールがどう解釈されるべきか」ではなく
「ルールがどう解釈されるべきか」についてあなたが論じているのは、
中国政府の広告そのものではなく、あなたの意見ですよね、ということです。

あなたが「ルール」という時にあなたは2つの定義を使い分けています。
一つ目は、中国政府の広告の内容そのもので、あなたが他の人のコメントに対して
「スコープ外です」として反論するときにこの一つ目の定義が使われています。
二つ目は、中国政府の広告に第三者の解釈や見解を含んだもので、
「あなたの解釈はあなたの意見ですよね」という批判に対して反論する時にこの二つ目の定義が使われています。

中国政府の広告をよく読んでください。
?リストに含まれる製品が対象製品である、とは述べているが、
?リストに含まれる製品のみが対象製品である、とは述べていません。
?と?がイコールであるとも述べていません。
あなたが「まず、基本的なところで」から「その点で」まで述べている論旨が意味不明です。

え〜え〜 2009/05/03 20:33 厳しいことも書いてしまいましたが、あなたのブログの趣旨を否定しているわけではありません。
むしろよく研究しており、冷静な分析で良いと思っています。
しかし、多分あなたは議論の仕方を余りよくご存じでないんだと思います。
「スコープ外」である、とする議論の仕方をするのではなく、実際の運用はともかく
現時点ではこのように主張されています、とすれば良かったのです。
正確な情報を伝えるのであれば、それこそ自分の意見や第三者の見解のバイアスがかかっていないか慎重を期す必要があります。

LM-7LM-7 2009/05/03 22:05 フォローを読まずに書いた私の直前のレスは文面が攻撃的だったので削除しました。
もし既に読まれていたらごめんなさい。

http://www.ciicshjapan.com/e-shi_pdf/01_12_03(2)j.pdf
土台となる強制的製品認証マーク管理法において、最初にスコープが明記されています。『本法は「中華人民共和国が実施する強制的製品認証品目リスト」(以下「リスト」と称す)に記載された製品の認証マークの制定、公布、使用及び管理に適用する。』とあります。リストに無いものは法律の対象外です。

そのため、リストにあるものだけが強制認証の対象となります。リストにない物は法律自体の対象外なのですから疑う余地はありません。つまり2つはイコールです。

え〜え〜 2009/05/04 00:16 攻撃的であるかどうかは関係なく、論理的であるかどうかが問題です。
頂いたコメントで初めて会話のキャッチボールが成り立った気がします。
後から根拠を示すのであれば今後の議論についてはOKです。

ばんばん 2009/05/18 19:05 適切の情報、ありがとうございました。
EAL4の実装表現=ソースコード開示の根拠を教えて頂けますでしょうか。
現在のCCでは、EAL4がソースコード開示を要求する記載が見つかりませんが。

LM-7LM-7 2009/05/18 19:51 CCを読んで理解しているわけではないので知りませんが、実装表現(ADV_IMP)には、こんな記述はあります。

実装表現は、TSFの詳細な内部動作を示す形式であることが期待される。これには、ソフトウェアのソースコード、ファームウェアのソースコード、ハードウェア図、及び/またはICハードウェア設計言語コードまたはレイアウトデータが含まれる。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証