Open Innovation Platform
FOLLOW US

ファーウェイ騒動をきっかけに考えるセキュリティの国際協調

中国の展示会でデモされているスマート都市管理ダッシュボード (写真は本文とは関係ありません)

中国の展示会でデモされているスマート都市管理ダッシュボード (写真は本文とは関係ありません)

 米商務省はファーウェイに対して、安全保障上の問題を理由に禁輸措置を発効した。その意図が本当に安全保障上の懸念があってのことなのか、あるいは米国内のハイテク産業の保護が狙いなのか、それとも中国に体制の転換を迫るためなのか我々に知る由はない。しかし安全保障のリスクが指摘されている以上、それに対して思いを寄せる必要がある。本稿では5G時代のセキュリティリスクについてどう考えていけばいいか、エンジニアリングの観点から話を進める。

公衆無線LANでGmailを見るのは危険?

 身近なところにあるセキュリティの例で考えてみよう。ネットセキュリティの啓蒙で「公衆無線LANでは盗聴の恐れがあるので気をつけてください」と言う話は聞いたことあるだろう。誰の運営なのかもわからないWi-Fiでインターネットに接続することでパスワードや通信の内容が漏洩したり、偽のサイトに誘導されたりするリスクがあるということだ。

 では、こういった環境でGmail や Facebook を使うことは本当に危険なのだろうか、実のところ無料Wi-Fiでこれらのサービスを使ってもさほどリスクはない。なぜだろうか?

「疑ってかかる」ところからはじまるセキュリティ

 Facebook やGmail を運営するGoogle は通信経路の安全性をそもそもアテにしていない。いまはどのサイトでも当たり前になったが、錠前のマークがつくことでわかるSSL (https) によって通信経路での盗聴や改ざんを防ぐだけでなく、通信相手が信頼に足りるかを確認するリストを独自に管理し、ブラウザからスマートフォン本体に至るまで改ざんが為されていないかをチェックする仕組みをつくり、しまいには通信の経路すら秘匿する技術まで投入されている。要には「誰も信用できない」ことを前提にセキュリティを担保しようとしているのだ。

Googleが販売するパスワードを生成するための小型機器。ログインの機能をパソコンやスマートフォンから独立させることにより、仮にOSやキーボードが侵害されていても不正ログインを防ぐことができる。Googleは政情が敏感な地域に住むジャーナリストや政治家などにこの機器の利用を推奨している。
Googleが販売するパスワードを生成するための小型機器。ログイン機能をパソコンやスマートフォンから独立させることで、仮にOSやキーボードが侵害されていても不正ログインを防ぐことができる。Googleは政情不安な地域のジャーナリストや政治家などにこの機器の利用を推奨している。

 話をファーウェイに戻そう。ファーウェイが納入する5Gの通信機器においてセキュリティ上の懸念が示されたとある。もちろんファーウェイが安全な製品を作ってくれることを願いたいが、それを信じることはあってはならない。なぜならばファーウェイの機器が通信経路となる以上、途中で通信を改ざんされたり盗聴されたりするリスクは依然存在するからだ。それはファーウェイ自身が仕掛けなくても政府や諜報機関、あるいはライバル企業やサプライチェーンから仕掛けられることもある。そして、そのことはエリクソンやノキアなど現在アメリカが懸念を示していない会社においても同様に起きる可能性がある。

 つまるところ「中国のベンダーだから危険」「スウェーデンやフィンランドのベンダーだから安全」と考えることはナンセンスであり、通信経路にセキュリティを求める考え方こそが、リスクとなる。GoogleやFacebookがやってきたように「誰も信用してはならない」という考え方に立つべきなのだ。

「トラストレス」を維持するための国際協調

 誰をも信用しないことを前提にシステムを組み上げても信頼性が保てる、という最先端のITセキュリティの取り組みは「トラストレス」と呼ばれており、社会実装が着実に進んでいる。しかし現実には特定の誰かを信頼することを前提にしたシステムは依然残っている。例えばスマホに着信があると誰からかかってきたか電話番号や名前が表示されるが、その番号はドコモやソフトバンクなどの通信事業者のシステムから通知されるものであり、現在のスマホは通信事業者から届いたデータを疑うことなく表示している。例えSSL (https、鍵マークが表示されるサイト) のように技術的には既に誰もが利用できる技術があったとしても、最終的にはサイト運営者の対応が必要になることから、依然httpsになっていないサイトはたくさん残っている。

 そんな理想と現実のギャップを埋め、トラストレスの仕組みを着実に進めているのが国際協調だ。AppleとGoogleはスマートフォン市場では激しく争っているものの、セキュリティに関してはプラットフォームで手を組んで足並みを揃えた対応をしている。例えば最近のブラウザではSSLではないサイトに「安全ではない」という表示が出るようになったが、これはApple、Google、Microsoft、Mozilla Foundation (Firefox) などが共同で進めているプロジェクトの一環だ。中国のテクノロジーコミュニティとも協調していて、中国でメジャーな360 Safety Browser、QQブラウザなども足並みを揃えた対応が行われている。こうした国際協調の取り組みを通じて、どの国の利用者に対してでもSSLを利用していないサイトやその利用者に注意喚起をおこなうことができる。

 また欠陥を早期に見つけて報告するプログラムにおいても中国の貢献は多い。Google Chrome や Safari といった欧米のプロダクトに対しても、テンセントやバイドゥ、奇虎360といった中国のIT大手が専門のリサーチチームを設けてコミュニティにフィードバックを進めている。iOS や Chrome のアップデートのうちかなりの割合を占めているのは、こうした世界中のエンジニアの協力によってなされたセキュリティホールの事前修正である。

リスク排除だけでは対策にならない

Qihoo 360 Nirvan Team という中国のネット大手奇虎360が保有するセキュリティチームの活動実績。マイクロソフト、Google、Apple からテスラに至るまで多くの製品を調査対象とし、発見したセキュリティホールを開発元に報告している。
Qihoo 360 Nirvan Team という中国のネット大手奇虎360が保有するセキュリティチームの活動実績。マイクロソフト、Google、Apple からテスラに至るまで多くの製品を調査対象とし、発見したセキュリティホールを開発元に報告している。

 残念なことに国際協調は攻撃者側にも存在する。ダークウェブには流出したパスワードやクレジットカード番号から未対処の欠陥情報に至るまで、私設のマーケットプレイスで取引がなされている。Torとよばれる秘匿性の高い通信手段と秘匿性の高い仮想通貨を用いてやりとりされるため、規制や監視などは極めて難しい。また攻撃者は経済的なメリットを受けられるため攻撃者の職業化が進む傾向にある。

 このように攻撃者側は国境を越えて高度化している一方、守りの要であるエンジニアリングの世界で輸出制限や特定国の技術排除が行われることとなれば、相対的に守りが不利になることが想定される。ファーウェイへの輸出制限がきっかけに、米国由来の技術の調達が不自由になれば、米国に依存しないOSやエコシステムが生まれることになる。そうなると、その分エンジニアのリソースは分断し、減少して守りが脆弱になる。また中国は依然としてセキュリティ軽視の傾向が強く、未だhttps化されていないページが数多く残っていたり、インターネットに接続されたWindows XP が未だ現役で多数稼働していたりすることも事実だ。これらのコンピュータが悪意を持ったユーザの手により一斉に制御されれば、中国国内のみならず世界中のインターネットが攻撃対象となることもなりかねない。世界のセキュリティレベルを満遍なく引き上げるために国際協調は欠かせない。

既にサポートを終了しているWindows XPの国別シェア。中国は比率、台数ともに多い。こうしたコンピュータはハッカーの踏み台にされ、サイバー攻撃に悪用される。
既にサポートを終了しているWindows XPの国別シェア。中国は比率、台数ともに多い。こうしたコンピュータはハッカーの踏み台にされ、サイバー攻撃に悪用される。

 自動運転やドローンなど、多くの先端技術がインターネットを基盤にして発展していく未来において、そこに潜むリスクや課題を科学的に解決しつづけていくことがエンジニアの役目である。そして、それを分断させるのではなく、協働する環境を整え、支えるのが国際社会の役目なのではないだろうか。

澤田翔 Written by
インターネットプラス研究所 所長 慶應義塾大学環境情報学部卒。複数のITスタートアップの立ち上げからEXITまでを経験し、2017年より独立。現在はテクノロジー企業やコンサルティングチームへの経営アドバイスから設計レビュー、プロトタイプの開発を請け負っている。世界の決済サービスやニューリテール (インターネットを中心に捉えた小売業) などのデジタルトランスフォーメンション(DX)事情に造詣が深く、インターネットの社会実装をテーマにした「インターネットプラス研究所」を2018年に設立した。Twitter: shao1555