セキュリティ匠対談 十三回目
~「サイバー防衛」へどう立ち向かう~
二回目:サプライチェーンの攻防 日本でも機器調達に影響が

セキュリティ匠対談 第十三回目
~「サイバー防衛」へどう立ち向かう~

二回目:サプライチェーンの攻防 日本でも機器調達に影響が

執筆者プロフィール

山崎 文明 山崎 文明:市場開発本部 エグゼクティブエキスパート
国内のセキュリティ第一人者として、今まで数多くの役職を歴任。
著書多数。
官公庁に対しても、積極的なセキュリティ提言を行っている。
栗田 晴彦 栗田 晴彦:ビジネス推進本部 シニアエキスパート
CISSP/CCSP/CISA//PCI DSS QSA/PMP
セキュリティのコンサルティングや監査に長年従事。
現在は、後進の育成にも力を入れている。セキュリティ匠の会事務局。

日本にもとうとうやって来た、サプライチェーンに関わるサイバー防衛

栗田 十三回目の今回のテーマは、国家レベルのサイバー防衛(サイバーディフェンス)に関わる話の二回目で、サプライチェーンに関わる攻防です。この12月になって、国内で中国製通信機器に対する実質的な調達規制がはいるなど、非常にホットなトピックスです。山崎さん、以前からサプライチェーンとサイバー防衛に関わる問題を幾度もお話をされていましたが、いよいよその動きが日本にも来ましたね。
山崎 はい、今までは米中間での話が中心でしたが、それが同盟国などへ大きな拡がりを見せてきています。日本は、その問題に対して、元々危機意識が乏しかったのですが、ようやくここに来てサイバー防衛での重要課題として認識されたということです。
栗田 では、山崎さん宜しくお願い致します。日本での第一人者として興味深いお話が聞けると大変楽しみです。まず、現状での日本の動きを整理してみたいと思います。

情報通信機器の調達に関する新たな指針とその影響

山崎 本年の12月10日に、政府はサイバーセキュリティ対策推進会議を開催し、各省庁の情報通信機器の調達に関する新たな指針を決めています。まだ、政府からの正式な発表は出ていませんが、安倍首相の発言では「サイバーセキュリティを確保する上で、情報の摂取、破壊、情報システムの停止等、悪意のある機能が組み込まれた機器を調達しないようにする」 としています。

https://www.nikkei.com/article/DGXMZO3872805010122018MM0000/

栗田 「特定の企業、機器を排除することを目的としたものではない」と言っていますが、やはり想定としては、今まで米国でセキュリティの問題が指摘されていた中国製通信機器を念頭に置いていることは間違いありませんね。
山崎 そうですね。タイミングとして、中国通信機器最大手、ファーウェイ(華為技術)社の副会長兼最高財務責任者(CFO)が米国の要請に基づいてカナダで身柄拘束されたすぐ後ですし、トランプ大統領が、12月2日の米中首脳会談の後、中国のサイバー攻撃や知的財産保護に大きな懸案を示してもいます。同盟国としても、その動きに同調せざるを得ません。
栗田 この調達制限の動きは、政府のシステムだけではなく、日本の産業活動を支える重要インフラにまで広がっていますね。以下が、その14分野ですが、どれも我々の生活には必須です。

http://www.police.pref.hyogo.lg.jp/seikatu/cyber_defense/index.htm

山崎 政府や自衛隊のシステムだけではなく、これらの分野は日本の経済を支える最重要インフラです。サイバー防衛の観点から、このインフラに対するセキュリティリスクを最小限とするというのは、当たり前の話です。
栗田 ここで制限対象と想定されているファーウェイ社あるいは同じく米国が対象としてきたZTE(中興通訊)社は、次世代移動通信規格「5G」では、世界をリードする技術を持っています。米国とすれば、セキュリティの観点もありますが、技術戦略という観点でも、守らなくてはいけない分野ですね。
山崎 まさに、そうです。前回もお話ししましたが、サイバー防衛およびそれを下支えするITインフラは国防の重要な柱の一つ、それを同盟国以外に押さえられるというのは、防衛上避けなくてはいけない話です。

米中間のサプライチェーンに関わる攻防の歴史

栗田 今回は、国内の調達に大きな影響を与えるということで、日本でも大きなトピックスとして取り上げられていますが、米中間では、すでに数年前からサプライチェーンに対する攻防が激しく繰り広げられていたそうですね。
山崎 はい、元々は、米国が中国に課していた中国製情報機器の輸入制限があります。現在大きな問題となっている両国間の貿易摩擦も原因にはあるでしょうが、それとは別次元で以前から、情報機器にバックドアが仕掛けられているなどの疑惑がありました。実際、中国製のPCやNAS(ネットワークストレージ)にはそのような問題が見つかっています。
栗田 そのような機器が、米国内、特に政府や軍のシステムに入っていたら、それはサイバー防衛上、大きな問題ですね。
山崎 まさにその通りです。そのため、オバマ政権の時から、対象となる中国企業を名指しで示し、政府関係のシステムでの購入禁止や、米国企業での使用中止の勧告を行ってきていました。5年前、米国議会下院では、すでに以下のようなレポートを出して、今回大きな注目を浴びている中国のファーウェイ社とZTE社の両社の製造する通信機器の使用に対する警告を出しています。最近では、2018年8月に2019年度国防権限法(NDAA2019)で、米政府機関とその取引企業に対し、両社の機器を使うことを禁止しています。米国にとっては、以前から行っている「サイバー戦争」がそのまま続いているということでしょう。トランプ大統領は、その動きを加速しているように見えます。

https://intelligence.house.gov/sites/intelligence.house.gov/files/documents/huawei-zte%20investigative%20report%20(final).pdf

栗田 前回は、米国、中国、それぞれ自国内での監視の話を扱いましたが、当然それと同じことを相手国でも行うことが安全保障上大切ですね。これが諜報活動というものです。相手国の機器を排除するというのは、それを防ぐためのまずすべき対策です。ところで、米国のこのような対応に対し、中国ではどのような対抗策を講じてきたのでしょうか?
山崎 中国では、2012年から2015年にかけ、CISCOやIBM、Microsoftなど、米国を代表するIT企業の大手の製品を重要なシステムから排除することを進めて来ました。例えば、銀行基幹系ではIBM製コンピュータが使用禁止となっています。また、2014年10月には、「テロ対策法」の中で、IT企業に暗号の解読方法の開示などを求めています。これは、IT企業のノウハウを丸裸にするリスクがあり、知的財産の保護の観点から当時のオバマ政権から批判を浴びています。

同盟国での同調の動き

栗田 この米国の動きは同盟国に対して大きな影響を与えていますね。
山崎 米国が、諜報活動や安全保障活動を共同する同盟国として、「ファイブ・アイズ」というのが有名です。オーストラリア、カナダ、ニュージーランド、英国、米国の5か国からなり、UKUSA協定とも言われます。
栗田 米国と英国が主導して作られた協定ですね。1948年にカナダが、そして1956年にオーストラリアやニュージーランドが参加し、現在の姿になったと聞いています。
山崎 はい、そうです。また、米国は認めていませんが、存在が噂されている諜報システム「エシュロン」は、この協定が諜報活動に用いているコンピュータネットワークです。この同盟国では、日本に先んじて中国製機器に対する制限を実施しています。オーストラリア、ニュージーランドでは、5Gへの参入を認めていません。英国では通信大手のBTグループで使用しない方針を出しています。

危機意識に乏しかった日本

栗田 この動きが日本にも波及し、現在の状況につながっているのですね。ファーウェイ社の調達問題があり、このサプライチェーン問題にようやく日本でも大きな関心がもたれていますが、今まではどのような対応だったのでしょうか?
山崎 全く、お寒い限りでした。皆様の記憶から消えかけているかもしれませんが、2013年12月に、政府内でも使用されていた中国製日本語入力フリーソフトで、入力した日本語が意図せずソフト提供元のサーバ送信させていることが発覚した事件がありました。その提供元は変換効率を上げるためで悪意はないというコメントを出していますが、職員の使用が確認された外務省はこれを「意図せぬ情報漏洩の情報セキュリティインシデント」に登録し、対策が講じられています
栗田 これも、基本的にはサプライチェーンに関わるセキュリティですね。国産技術に固執するというのはもちろん問題ですが、少なくとも官公庁は最大限の注意を払うべきでした。最悪は国家機密の情報漏えいにつながっていたわけですからね。
山崎 米中両国で見られるサイバー空間での安全保障戦略、調達戦略から考えると、やはり、日本は脇が甘かったということは、認めざるを得ませんね。私は数年前からこの問題を話してきていましたが、今回の件があってやっとサイバー防衛に与える影響の大きさが強く認識されたと思っています。

次回は英国の動き

栗田 山崎さん、興味深い話を有難うございました。国家間の排他政策や貿易摩擦の側面ももちろんありますが、セキュリティ専門家はサプライチェーンリスクを更に注意しなくてはいけないことがよくわかりました。紙面の関係で、今回はこれで終わりにしたいと思います。次回は、英国の話ですね。
山崎 はい、米国や中国のように覇権争いを行う超大国ではないが、高いIT技術を有する西欧先進国として、日本が参考にすべきことが多くあります。それについて議論したいと思います。

イベント/レポート

pagetop