国家の安全を脅かす通信機器やサービス、米国内外問わず排除の動き
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」5月17日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・日本にも影響、安全にリスクをもたらす通信機器やサービスへの排除方針
・国にとっても重要なサプライチェーンを保護する為の必要な措置とは
今回の解説ニュース
リスクをもたらす通信機器及びサービスの対象リストをリスク管理計画に組み込むよう、要請が出されています。特定製品の利用に関する懸念や排除する流れができた背景や、サプライチェーンを保護するために必要な措置について説明します。
米連邦通信委員会FCCは、米国の国家安全保障または国家安全保障に対する米国人の安全と安心に許容できないリスクをもたらすと米国政府が決定した通信機器及びサービスの対象リストを維持しています。米CISAでは、この対象リストをサプライチェーンのリスク管理の取り組みに取り入れるよう強く要請しています。
また、全ての重要インフラ組織は、この対象リストに掲載されているような脆弱な機器やその他のリスクの高い機器を特定するための支援として、CISAの無料の脆弱性スキャンサービスへの登録を求めているということです。
日本にも影響、安全にリスクをもたらす通信機器やサービスへの排除方針
FCCの対象リストを見てみると、主に中国製品が挙げられているようです。米国以外の国や日本からも、中国製品の利用に関する懸念や排除する方針が発表されています。
オーストラリアでは、国家安全保障上の懸念があるとして、中国製の監視カメラを国防施設から排除する方針を明らかにしています。また、カナダでは中国企業のCFOを米警察当局の要請により逮捕したと発表してしています。日本でも、政府はミサイルや艦船などの防衛装備品に組み込む部品や企業が扱う機器から機密情報が漏れないよう、経済安全保障の観点から懸念がある中国製機器の使用を防ぐと発表しています。
このように、各国で中国製品の利用に関して懸念や排除する方針が発表されている背景として、米国政府が中国企業のスパイ行為を断定する動きがきっかけとなっていると考えられます。
例えば、米国企業が買収を検討していた企業に対してセキュリティ調査を実施したところ、サーバ内にデータを盗み出すための小さなチップが発見されたという報道がなされました。このチップは本来の設計にはないパーツで、チップの埋め込みは基盤製造を担当した中国の下請け工場内で行われていたため、単なる企業からデータを盗み出すという目的を超えて、中国当局によるサプライチェーン攻撃の疑いがかけられました。また、米国防総省のデータセンターなどにも同基盤が利用されたサーバーが納入されていたことから、本件は米国最高機密の捜査対象になったということです。
日本でも、中国企業によって開発されたキーボードアプリが、入力された情報をユーザーに無断で外部に送信しているとの報道がなされました。中国企業は当初、ログの送信は規約に同意したユーザーに対してのみ行っているとしましたが、確認の結果、ログ送信をオフにしている場合も送信が行われていたことを認めています。
このような中国企業に対する不信感の積み重ねにより、各国の中国製品の利用に関する懸念や排除する流れができたと考えられます。
その他のトピック