米国、カスペルスキー社の大半の製品を販売禁止とする措置

jem

ロシア企業のウイルス対策ソフトウェアであるカスペルスキー社について、大半のソフトウェアが米国内で販売禁止となる措置を講じるようです。

Kaspersky Lab, Inc. Prohibition

2024年6月20日、BIS(米商務省産業安全保障局)
「Kaspersky Lab, Inc. Prohibition」

以下、機械翻訳です。

我が国を守るため、商務省(Department)は、 Kaspersky Lab, Inc. およびその関連会社、子会社、親会社(Kaspersky)が米国民に特定のサイバーセキュリティおよびウイルス対策製品とサービスを提供する取引に従事することを禁止する最終決定を発表しました。この最終決定に従い、米国内で、または米国民による、カスペルスキーのサイバーセキュリティまたはウイルス対策ソフトウェアの再販、カスペルスキーのサイバーセキュリティまたはウイルス対策ソフトウェアの他の製品やサービスへの統合、または再販または他の製品やサービスへの統合を目的とした カスペルスキーのサイバーセキュリティまたはウイルス対策ソフトウェアのライセンス供与は禁止されます。

カスペルスキー製品およびサービスは、米国の国家安全保障および米国人の安全とセキュリティに許容できないリスクをもたらし、米国における情報通信技術およびサービス (ICTS) の完全性と運用を破壊または妨害する過度のリスクをもたらします。特に、米国におけるICTSおよびICTSサプライ チェーンの完全性と運用に重大な損害を与えるリスクがあります。

カスペルスキー製品が禁止されたのはなぜですか?

米国商務省産業安全保障局(BIS)は、大統領令13873号および15 CFR Part 7に基づく法的権限に基づき、カスペルスキーのサイバーセキュリティおよびウイルス対策に関する取引の調査を実施しました。BIS内の情報通信技術・サービス局(OICTS)は、これらの取引が米国に多くのリスクをもたらすと判断し、これらの取引を禁止しました。

カスペルスキー製品はなぜセキュリティリスクと見なされるのでしょうか?

BISは、カスペルスキーのサイバーセキュリティおよびウイルス対策製品とサービス (「ICTS製品」) の危険性が、米国の国家安全保障と国民の安全と安心に容認できないリスクをもたらすと判断しました。検討されたリスク要因は次のとおりです。

  • ロシア連邦がもたらす脅威

  • カスペルスキーのICTS製品が米国の国家安全保障にもたらす脆弱性

  • 安全性とロシアが提示した脆弱性を悪用した場合の結果

BISは、カスペルスキーのICTS製品が米国の国家安全保障および米国人の安全と安心に次のようなリスクをもたらすことを発見しました。

  • ロシアは米国を脅かし続けている外国の敵国である

  • カスペルスキーはロシア政府の管轄、管理、または指示に従う

  • カスペルスキーのソフトウェアは、ロシア政府に機密性の高い米国顧客情報へのアクセスを提供する

  • カスペルスキーのソフトウェアは、悪意のあるソフトウェアをインストールし、重要な更新を差し控える機能と機会を許可する

  • 米国の重要インフラを含むカスペルスキーのソフトウェアの不正操作は、データ盗難、スパイ活動、システム障害といった重大なリスクを引き起こす可能性がある。また、国の経済安全保障や公衆衛生を危険にさらし、負傷者や死亡者を出す可能性もある

最終決定では何が禁止されますか?

BIS は、カスペルスキーが米国内または米国人と以下の ICTS 取引を行うことを禁止する最終決定を下しました。

  • 最終決定の付録 B に記載されている製品およびサービスを含む、カスペルスキーによって全部または一部が設計、開発、製造、または提供されるサイバーセキュリティ製品またはサービスに関連する ICTS 取引

  • 最終決定の付録Bに記載されている製品およびサービスを含む、カスペルスキーが全部または一部設計、開発、製造、または供給したウイルス対策ソフトウェアに関連するICTS取引

  • カスペルスキーが全部または一部を設計、開発、製造、または供給したソフトウェアをサードパーティの製品またはサービス(「ホワイトラベル」製品またはサービスなど)に統合する ICTS 取引

最終決定の対象となる製品およびサービスの非網羅的なリストは、リンクされた付録 Bに記載されています。

最終決定は以下のように発効します。

2024年7月20日

2024年7月20日午前12時 (米国東部夏時間) 以降、カスペルスキーは、上記の 1つ以上の ICTS 取引に関連する米国人との新たな契約を締結することが禁止されます。

2024年9月29日

2024年9 月29日午前12時 (米国東部夏時間) をもって、カスペルスキーおよびその後継企業または譲受人は以下の行為を禁止されます。

  • 上記のICTS取引に関連するウイルス対策シグネチャの更新およびコードベースの更新を提供すること。

  • 米国内または米国人の情報技術システム上で Kaspersky Security Network (KSN) を運用します。

2024年9月29日

2024年9月29日午前12時(東部夏時間)以降、以下の行為は禁止されます。

  • カスペルスキーのサイバーセキュリティまたはウイルス対策ソフトウェアの再販。

  • カスペルスキーのサイバーセキュリティまたはウイルス対策ソフトウェアを他の製品やサービスに統合する。

  • 再販または他の製品やサービスへの統合を目的として、カスペルスキーサイバーセキュリティまたはウイルス対策ソフトウェアのライセンスを取得すること。

国務省は、多くの米国人および企業がウイルスやその他のサイバー脅威からの保護のためにカスペルスキーのソフトウェアに依存していることを認識しています。カスペル​​スキーのソフトウェアのユーザーに代替製品やサービスを探す時間を与えるため、国務省は禁止事項を調整し、2024年9月29日午前12時(東部夏時間)まで、カスペルスキーが米国人向けにKSNを運営し続けること、および付録Bで特定されるサイバーセキュリティおよびウイルス対策製品およびサービスの現在の米国加入者およびユーザにウイルス対策シグネチャの更新とコードベースの更新を提供することを許可しました。

2024 年 9 月 29 日午前 12 時 (米国東部夏時間) 以降、カスペルスキーは、上記の ICTS トランザクションに関連するウイルス対策シグネチャの更新およびコードベースの更新を提供すること、および米国内または米国人の情報技術システムで KSN を運用することを禁止されます。

この最終決定は、純粋に情報提供または教育目的の Kaspersky Threat Intelligence 製品およびサービス、Kaspersky Security Training 製品およびサービス、または Kaspersky コンサルティングまたはアドバイザリ サービス (SOC コンサルティング、セキュリティ コンサルティング、アナリストへの質問、インシデント対応を含む) に関連する取引には適用されません。

ITCSとは、送信、保存又は表示を含む電子的手段(電磁、磁気、光を含む。)による情報又はデータの処理、保存、検索又は通信の機能を果たす又は可能にすることを主な目的とする、接続型ソフトウェア又はアプリケーションを含むハードウェア、ソフトウェア又はクラウドコンピューティングサービスを含むその他の製品又はサービスを意味する。

EO13873

2019年5月15日、「情報通信技術・サービスのサプライチェーンの保護」の大統領令 EO13873(Securing the Information and Communications Technology and Services Supply Chain)が発令された。EO13873は、以下のとおり、外国の敵対者(foreign adversary)による情報通信技術及びサービスのリスクに対処するための国家非常事態宣言として発令された。

  • 外国の敵対者が情報通信技術又はサービスを利用して米国の国家安全保障や経済に重大な影響を及ぼす可能性があるとして、国家非常事態を宣言した。

  • 外国の敵対者によって設計、開発、製造又は供給された情報通信技術又はサービスの取得、輸入、移転、設置、取引、使用等の取引を禁止する。ただし、商務長官が他の省庁と協議して、その取引が米国の国家安全保障や国民の安全に過度のリスクをもたらすと判断した場合に限る。

  • 商務長官に対して、この命令を実施するために必要な措置をとる権限を委任する。商務長官は、この命令に基づいて規則や規制を制定し、外国の敵対者の指定、情報通信技術又はサービスの範囲を特定し、取引の許可及び禁止の基準、手続を定めることができる。

  • 国家情報長官は、外国の敵対者による情報通信技術又はサービスのリスクを定期的に評価し、米国大統領や商務長官に報告するものとする。DHS長官は、米国における情報通信技術又はサービスの脆弱性又は潜在的な影響を評価し、特に重要インフラに依存する技術又はサービスについて検討するものとする。

情報通信技術及びサービスのサプライチェーンの保護規則

2023年6月16日、情報通信技術及びサービスのサプライチェーンの保護規則(Securing the Information and Communications Technology and Services Supply Chain; Connected Software Applications)が採択された。本規則はEO13873に基づき2021年1月19日に省規則「Securing the Information and Communications Technology Supply Chain」の改正案を公表し、2021年11月26日にEO14034に基づき改正して採択され、2023年7月17日に施行された。本規則は、以下のとおり、敵対国の所有者等によって設計等される製品、機器のリスクを商務省長官によって判断することとした。

  • 商務省長官は、敵対国によって所有、管理又は管轄権のある又は指示の対象となる者によって設計、開発、製造又は供給されたICTS(Information and Communications Technology and Services、情報通信技術又はサービス(接続型ソフトウェア又はアプリケーションを含むがこれに限定されない。))の取得、輸入、譲渡、インストール、取引又は使用が、著しい又は許容できないリスクをもたらすかどうかを判断する。

  • 接続型ソフトウェア又はアプリケーションとは、エンドポイントコンピューティングデバイスにて動作するよう設計され、インターネットを介してデータを収集、処理又は送信する機能を不可欠な機能として含むソフトウェア、ソフトウェアプログラム又はソフトウェアプログラムのグループを意味する。

  • エンドポイントコンピューティングデバイスとは、データを受信又は送信できるデバイスを意味する。

  • ITCSとは、送信、保存又は表示を含む電子的手段(電磁、磁気、光を含む。)による情報又はデータの処理、保存、検索又は通信の機能を果たす又は可能にすることを主な目的とする、接続型ソフトウェア又はアプリケーションを含むハードウェア、ソフトウェア又はクラウドコンピューティングサービスを含むその他の製品又はサービスを意味する。

この記事が気に入ったらサポートをしてみませんか?