中国政府、国内で販売、製造されるすべての製品についてソースコードの開示を要求、の件
乗り遅れた感がものすごいことになってますが、やはり取り上げないわけにはいかないでしょう(・ω・`)。
とにかくできるだけ情報を集めてみたいと思います。今後、ぼくのところでも続きがあるかもしれません。
クリップリスト
- はてなブックマーク - 中国は自国で開発するのではなく、他国が開発したものを横取りしてジンバブエのようになる - 株式日記と経済展望
- はてなブックマーク - 漢(オトコ)のコンピュータ道 中国によるソースコード開示要求についての考察 - その2
- はてなブックマーク - 中国が「IT情報強制開示」日本に通告 影響1兆円…WTO提訴も(産経新聞) - Yahoo!ニュース
- はてなブックマーク - コシヒカリPR、漢字もローマ字もダメ…中国の商標登録で(読売新聞) - Yahoo!ニュース
- はてなブックマーク - 中国の壮大なる実験 - 発声練習
- はてなブックマーク - ニュース拾い読み - 道楽を放浪する日々。
- はてなブックマーク - 中国、IT「ソースコード」強制開示強行へ…国家機密漏洩、知財流出など国際問題化の懸念
- はてなブックマーク - 「中国でデジタル家電など売りたいなら、ソースコードを強制開示」 中国、制度強行へアルファルファモザイク
- はてなブックマーク - 中国、デジタル家電ソースコード強制開示強行へ - スラッシュドット・ジャパン
- はてなブックマーク - 中国によるソースコード強制開示報道に踊らされるのはまだ早い - A Successful Failure
事前におことわりしておくこと
非ITの方のために、先にお断りしておきます。
この記事は、「やっぱシナーは土人www」と嘲笑することを目的とはしておりません。
たとえば、中国政府がソースコードを開示する理由は「政府が責任を持って脆弱性を検査するため」ということになっています。これを以て、
- 未知なる脆弱性がソースだけをみて分かるかよキメェwww
みたいな反応を見かけますが、それを言うなら
- ソースを見るだけでは未知なる脆弱性を利用してハックを仕掛けることもできない
のです(・ω・`)。
あくまで、ぼくなりのやり方で、関連する情報を収集、分類していくことを目的としています。
組み込み製品関連
自動車関連
ふつうの国なら、政府へのソースコード提出=コピー濫造、とはならないんですがね。
ふつうの国なら、ですが(・ω・`)。
北京でモーターショーが開かれていますが、コピーされた車の展示でにぎわっているようです。ロールスロイスやベンツやマツダのデミオなどそっくり車が並んでいます。そっくり車程度なら笑って済ませられますが、デジタル製品のソースコードを政府に教えなければ輸入もままならないと言う事になると笑っては済ませられません。
家電製品にしても自動車にしてもソフトを組み込む事で他の製品と差別化しているのですが、ソフトこそ付加価値であり、中国政府はそれを教えろと言う事です。今では携帯電話にしても自動車にしても組み込まれているソフトプログラムは数百万ステップの巨大ソフトであり、開発には数万人のプログラマーと何年にも及ぶ開発期間がかかっている。
金融関連
偽造クレジットカードが出回る??
偽造クレジットカードがいっぱい出回りそうです。
どうかな?既に出回ってるし(・ω・`)。
それより心配なのは、公然とスキミングされることの方ではないかな?(・ω・`)
そうそう。
なにせ裏方なんで、世間的にはあまり知られてないかもしれないですが、日本製のATMは海外で強い競争力を保持しています。
偽札を弾く、盗難されたらお札にインクをつけて盗難紙幣と一目でわかるようにする、覗き見防止、などなどノウハウは数限りなくありますので。
ATM関連
また、ATMには、銀行のキャッシュカードやクレジットカードなどが通されたり、金融機関のメインフレームと「セキュアに」接続されています。
中国側は、ソフトの欠陥を狙ったコンピューターウイルスの侵入防止などを制度導入の目的に挙げる。しかし、ソースコードが分かればICカードやATMなどの暗号情報を解読するきっかけとなる。
にちゃんとかで既に見ている「ツッコミ」としては、
- ソースを見たって未知の「脆弱性」が見つかるとは限らない
- 一方、パスワード解析が楽になる
なんてものがある。
ぼくの見解としては、2.は正しい。だけど、それが1.とは話が繋がらないだろう、といったところだ。
脆弱性というのは、あろうがあるまいが検査はすべき、いや、可能であればやったほうがいい。問題は、その「やったほうがいい」が現実的なデメリットとトレードオフできるかどうか(・ω・`)。
どうでもいいけど、ジンバブエは関係ないんじゃないかな。そもそもジンバブエではATMなんて使い物にならないしw
知財関連
ジンバブエ化?見境がなくなりつつある中国
それだけ知識や技術に対する尊重の気持ちが無く、盗めば只で手に入るものという国民性は改善の見込みは無いようだ。キッシンジャーあたりは中国が経済発展すれば民主化も進んで知的財産権も尊重するようになると言う出まかせを言っているようですが、中国はどうやらジンバブエと同じ事をやっているように見える。
国民性かどうかはわからないが、pakuri自動車ショーなんかを見ていると否定できないものがある。
みたいなのを見るともう、ね。
国際問題化の懸念
はてなーが大好きな痛いニュース。
だが、心配し過ぎではないか
仮に公開されたソースコードを勝手にコピーして自分の製品に組み込めば、それは著作権法違反になってしまうだろう。そのような製品は、中国国内での販売ではダメージを受けないかも知れないが、欧米諸国や日本市場では「著作権法違反」が厳しく追及され、ビジネスを展開することは出来ないと考えられる。
これはもちろん、中国企業の製品もソースコードを公開しているという前提での話である。中国企業の製品についてソースコードを公開しなくても良いのであれば、それはフェアではない。もし中国が求めるものがそのような一方的な要求であれば、諸外国は逆の要求、つまり中国企業が海外へIT製品を販売する際にソースコード開示を求める必要がある。そうすれば、「著作権」および「特許」について、違反があるかどうかをチェックできるからだ。
言わんとしていることはわからんでもない。
商売という観点で、ぼくがこの問題で注目しているのは、「シナーの土人っぷりテラヒドスwww」みたいなノリでこの一件を見ている人たちにも、「中国は巨大なマーケットである」という認識が共有されている点ね。
おまえら、土人とか言って小馬鹿にしつつ商売する気なんかい(・ω・`)。見てるこっちが恥ずかしいわ(・ω・`)。
「著作権」や「特許」の戦いになれば、先にそれらの権利を持っている側、つまり中国以外の企業が圧倒的に優位である。むしろ中国企業が、すでに存在する「著作権」や「特許」を全て避けて新しい製品を出すというのは不可能に近いことだろう。そのような事態になれば、中国のIT業界は深刻なダメージを受けてしまう羽目になる。俺の目からすると、どうにも分の悪い戦いを挑んでいるようにしか見えないのである。
あまり意味がないね。
あたりを見れば、そういう考えはほとんど意味をなさないのは明白と思うけど(・ω・`)。
もし中国が求めるソースコードの開示が、例えば政府機関などへの限定的なものであれば、ライセンスビジネスへの影響はさほどないかも知れない。何故ならば、現時点で「マイクロソフトソースコードアグリーメント」によってビジネスへの悪影響があるとは考えられないからだ。ニュースを見る限りでは、政府機関だけへの公開のようなので、マイクロソフトなどにとっては「既に限定的なソースコードの公開はやってるよ!」という話である。
何と言うか、そこ(=政府機関)が不安視されているんですけどね。
一連のお祭りの流れを追いかけていくと、どうもその不安がすでに現実化してるみたいな印象しかないけど(・ω・`)。
流出懸念
中国側の認証を得るためには「ソフトの設計図である『ソースコード』の開示を求められる可能性がある」(電子情報技術産業協会=JEITA)とされている。中国政府は開示された情報は外部に漏らさないとしているが、仮に流出すれば、ハッキングやコピー商品製造などで「知的財産の権利が侵害されかねない」
既に書いた通り、かの国ではガリバー企業は国営・元国営が多い。ということは、当然政府との癒着を疑わなければならないのですよ(・ω・`)。
擁護派(?)
政治家関連
二階俊博経済産業相は24日の記者会見で「あらゆるレベルで中国に再考を求めている。近く行われる日中首脳会談でも日本の関心事項として言及されるだろう」と述べた。
マスゴミ関連
SMAPのくさなぎさんの泥酔事件でテレビは大盛上がりだけど、今、全力で報じるべきは中国の壮大な実験である「IT製品情報強制開示」。
ぼくがつけたブコメはこれ↓。
"SMAPのくさなぎさんの泥酔事件でテレビは大盛上がりだけど"たしかに、テレビがあのジャニーズを敵に回して全然びびってないっぽいあたり、何らかの意図があると疑われても仕方がない。
スラド擁護派(?)
スラドもな〜んか左がかってる雰囲気があってねぇ。
「冷静に、冷静に」と呼びかけるのはいいけど、肝心の『不安の種』にはかすりもしてないって印象。
はてな擁護派(?)
- 中国によるソースコード強制開示報道に踊らされるのはまだ早い - A Successful Failure
- まず第一に、審査対象となるセキュリティ製品は、ファイアウォール、ルータ、ICチップ用OS、OS、データベースなど13品目に限定される(中略)家電製品や自動車などは対象外だ。全てのIT製品のソースコードの開示が求められると誤解している人が多いようだが、そんな事実はない。
- こうしたITセキュリティの評価認証は、何も中国だけに限ったことではなく、日本を初めとする世界各国で行われていると言う事実だ。ただし、それは強制ではなく任意であり、認証を受けたい企業が各国のセキュリティ審査機関の審査を受ける
「家電製品は除外」とあるけど、その家電製品にもOSは当然搭載されている。また、いわゆる「ネット家電」というやつは、ネットワークに接続するためセキュリティ機能を実装する必要がある。
まあ、そのOSにしても、組み込み業界ではオープン化だっけ、そんなのが進んでいるらしいからそもそも誰でも見られるんじゃね、という意見もなくはない。
- 中国によるソースコード強制開示報道に踊らされるのはまだ早い - A Successful Failure
- 認証の取得(任意だがセキュリティ製品群では取得が半ば常識)にあたり、ソースコードの開示を要求しているのは何も中国だけに限らない。この部分を理解せず中国を過度に非難している人が多いようだ。高度なセキュリティが求められる製品においては、義務ではなくてもソースコード開示を含むEAL4以上の認証を受けそのセキュリティを保証することが一般的だ。
んー。
たとえば暗号って、キーワードをいくら盗まれても何とかなる技術はそれなりに確立されてるんだけど、暗号を生成するソースコードが漏洩するともう絶対アウチなんですが。
たとえば、「4ケタの数字」がキーワードの暗号を考えてみよう。単純にそれだけの条件なら10000パターンの組み合わせができるわけだが、「4ケタの数字は誕生日から生成する」とばれてしまうと一気に366パターンに減少する*2
この、「4ケタの数字は誕生日から生成する」という決まりごとが、ソースコードの中には盛り込まれている。言ってみれば、ソースコードがあるということは、暗号の生命線だ。
キーワードが漏洩しただけなら変更すれば済む。しかし、ソースコード*3が漏洩するともう目も当てられない(・ω・`)。
さて、中国への対応として日本が求めているのは品質保証レベルの緩和に加えて、日本の適合性評価機関の承認である。現状、中国は日本の適合性評価機関を認めていないため、中国に輸出しようとする製造者は中国国内の適合性評価機関において評価を受ける必要がある。そこに中国への情報漏洩のリスクがあるわけだが、これを日本国内の適合性評価機関の評価で代えることができれば、情報漏洩のリスクは大きく減少する。
さらっとすんごいことを書き流しているのだが、
中国への情報漏洩のリスク
この問題に反発する意見って、ほぼ全てここに集約されてると思うんだけど。pakuri問題にしろ、政府と国営企業の癒着にしろ、論点はけっきょくここに集約されてない?(・ω・`)
中国当局の職員が日本を訪れ製品をチェックする手続きも含まれる。拒否すれば、その製品の現地生産・販売や対中輸出ができなくなる。
これはメーカーが反発するのもやむなし。
できれば、外部の人間には現場に立ち入ってほしくないだろうし、ましてや「当局」ってことは資料を持ち出すこともあるわけだよね(・ω・`)。
資料を持ち出す⇒政府と国営企業の癒着⇒漏洩⇒pakuriというストーリー。