スルガ銀行(株)【8358】の掲示板 2018/12/11〜2018/12/13

ファーウェイ製品危ないか　セキュリティー専門家の目

ネット・IT エレクトロニクス 2018/12/12 1:52日本経済新聞　電子版


米国の働きかけを受け、日本政府は情報漏洩など安全保障上の懸念から中国・華為技術（ファーウェイ）などの製品を政府調達から事実上、排除する指針をまとめた。携帯電話各社も次世代通信「5G」の基地局で中国製品を使わない方針だ。中国製通信機器は何が問題で、どんなデータ流出が起きうるのか。サイバーセキュリティーの専門家に聞いた。

【関連記事】ファーウェイ製品、使っているだけでも取引停止

■悪用なら機密情報漏洩（NRIセキュアテクノロジーズ・時田剛氏）

時田氏

――ファーウェイ製品による情報漏洩の被害は実際に起こっていますか。

「実害は断定できないが、これまでに何度か深刻な問題が見つかっている。例えば通信機器に、仕様書にないポート（通信の出入り口）が見つかった例がある。インターネットで外部と通信が可能なため、不正にデータを盗み出すバックドア（裏口）に悪用できる」

「ただ、それがファーウェイの故意かどうかは分からない。開発時の設定作業に利用していたポートを停止せずに製品を出荷したとしても不思議ではない」

――バックドアを使うとどんな情報を取得でき、何ができるのですか。

「携帯電話の基地局を例に取ると、基地局を経由するスマートフォン（スマホ）の端末識別用の情報や通信の宛先情報が分かる。悪用すれば、政府の要人がどこで誰とやり取りしているのかなどを特定できる」

「企業の拠点に設置するネット接続用のルーターなどは、設定次第で社内ネットワークに流れるあらゆる情報を取得できる。機密性の高い技術情報を盗むなどの被害が考えられる」

――最新技術で不正な機器を見つけ出せないのでしょうか。

「難しい。全ての製品を検査するのは不可能だ。しかも最近の不正プログラムは特定の時間しか動作しないなど手が込んでいる。どこまで検査すれば安全なのかというゴールを設定できない」

■機器排除では解決せず（S&J社長・三輪信雄氏）

三輪氏


――特定の企業の製品を排除することでセキュリティーを確保できますか。

「特定の国やメーカーの製品を排除することはセキュリティー上の懸念を払拭するのに一定の効果はあるだろう。ただ全ての問題が解決するわけではない。安全とされるメーカーや製品でも、悪意のあるプログラムが入り込む余地はいくらでもあるからだ。そのチェックは極めて難しい」

――どのような対策を講じればよいのでしょうか。

「政府機関や重要インフラで使う機器やシステムに関して、国が責任をもって脆弱性がないかを確認すべきだ。国の研究機関などを受け皿とし、大学の研究室といったそれぞれの専門分野で知見を持つ組織の協力を仰ぐのがよい。データの流れを見ることができる通信事業者との連携も求められるだろう」

「通信機器やスマホだけでなく、自動運転車や（あらゆるモノがネットにつながる）IoT機器などリスクを抱える製品はますます増えていく。ひとつの組織で全てのセキュリティー事案に対応することは不可能になっている」

――ドイツなどはファーウェイなど中国製品を排除する必要がないとしています。

「特定メーカーを排除したとしても期待される効果は薄い、と判断したのだろう。それもある意味で正しい選択だ。各国政府は今、セキュリティー問題と外交問題のはざまにある」