全7289文字
PR

 新型コロナウイルス感染のまん延をくい止めるために、世界は2021年にも引き続き徹底的な対策を必要としている。台湾は新型コロナウイルスによる感染拡大を抑え込み、死亡率も他の国々に比べて圧倒的に低く、新型コロナウイルス感染抑制の模範となっている。ICTサプライチェーンにおいても重要なポジションを占めている台湾は、新型コロナウイルス感染による世界の混乱の中においても、サイバーセキュリティー、デジタル化へ万全の対策を施し、グローバルサプライチェーンのDX(デジタルトランスフォーメーション)ブームの下で、製品やサービスへの信頼を高めている。

セキュリティーを突く4つの攻撃源

 最近のセキュリティーの重大事故は、特定企業のサプライチェーンセキュリティーの脆弱性が発端となったケースが多発している。攻撃者は各産業システムの最も脆弱な部分に目をつけて、ターゲット企業にサイバー攻撃を仕掛けている。特に、ソフトウエアサプライチェーンの脆弱性を突くことによって攻撃に成功しているのだ。米Sonatype(ソナタイプ)が発表した2020年ソフトウエアサプライチェーン状態リポートによると、2015年2月から2019年6月までの約4年間のソフトウエアサプライチェーン攻撃が216件だったのに対し、2019年7月から2020年5月にかけては929件と急増した。台湾工業技術研究院のISTI(Industry、Science and Technology International Strategy Center)が2019年に1068社を調査したところ、回答者の30%しかサプライヤーのサプライチェーンのセキュリティー対策を確実に実施していなかった。将来的には、サプライチェーン攻撃が企業にとって最大のリスク源になるだろう。サプライチェーンのセキュリティー対策の脆弱性は、早急に対処する必要がある。以下、4つの一般的な攻撃源について説明する。

(1)サプライヤーソフトウエアアップデート

 このタイプの攻撃は、偽造あるいは盗取した電子署名を利用して、ソフトウエアアップデートの際に悪意あるプログラムを攻撃対象に持ち込み、ネットワークまたはハードウエアを介して他のクライアントコンピュータへ感染を拡大させる。例えば2020年12月15日、有名な情報セキュリティープロバイダーであるSolarWinds Worldwideは、2020年3~6月にリリースされたSolarWinds Orion Platform 2019.4 HF 5から2020.2 HF 1までのバージョンがハッキングされ、その時点で脆弱性のあるOrionプラットフォームがインストールされている顧客の数は1万8000件近くあると発表した。

(2)オープンソースソフトウエアプロジェクトの脅威

 このタイプの攻撃は、主に開発者アカウントのアクセス権を盗取してオープンソースプログラムを変更し、一般的に使われるソフトウエアパッケージを使用して悪質なプログラムを拡散させることで被害者の機密データを盗むことを目的とする。例えば2020年2月、あるハッカーは、Ruby言語の開発者が一般的に使用する開発ツールを標的にし、サプライチェーン攻撃をした。ハッカーは、開発者が悪質なソフトウエアを特定しにくくなるよう、元のプログラムの名称と機能説明を使用して、ライブラリーやプログラムを提供するマーケットプレイス「RubyGems」に700を超えるマルウエアをアップしたのだ。これは開発者によって、リリース直後に10万回ダウンロードされた。

(3)アプリケーション開発者への攻撃

 このタイプの攻撃は通常、Google PlayまたはAppleのApp Store、および他のサードパーティーアプリケーションの配布プラットフォームを利用し、悪質なソフトウエアをモバイルデバイスに拡散させる。ハッカーは、合法的に見えるように設計したアプリに不正なアドウエアを仕込んで、クレジットカード情報を盗む場合がある。その1つが「XcodeGhost」事件である。使用された攻撃方法は中国のAppleアプリケーション開発者から発信されたものだ。便利だからといって、ローカルのサードパーティーチャネル(Baidu、Xunlei、ソーシャルプラットフォームなど)から開発プログラムをダウンロードした。これらの開発プログラムに「XcodeGhost」と呼ばれる悪質プログラムが注入されていた。それによって開発者が開発したアプリにはバックドアが仕掛けられ、許可なくモバイルデバイス上のサードパーティーに個人情報を送信する可能性がある。

(4)ハードウエアレベルの攻撃

 このタイプの攻撃は通常、ハードウエアを利用して設計を改ざん、もしくは企業秘密を盗取するために、ハードウエア生産サプライチェーンに侵入できる偽造製品を使用する。例えば、2018年、米Bloombergは、サーバーシステム・サプライヤーとして世界トップ3に位置づけられる米Super Micro Computerが生産するサーバーのマザーボードに、ハッカーによるものとみられる極小チップが埋め込まれていたと伝えた。最終的に報道の信ぴょう性については確認しきれなかったものの、似たようなハードウエアへのコンポーネント攻撃が存在し、業界では懸念が広がっている。

各国政府はどう動いたか

 ここまで紹介してきたように、サプライチェーンの情報セキュリティー事件が後を絶たない。これらの事例は、サプライチェーン攻撃が常態化し、悪質なプログラムが短時間かつ大規模に拡散する可能性があることも示している。各国の政府および重要なインフラストラクチャー業界にとっては、より一層リスク評価を進める必要がある。例えば、5Gセキュリティーの議論では、主にハードウエアの製造とそのセキュリティーに焦点を当てると同時に、従来の機器サプライヤーへの依存を減らすために、世界各国が協力してオープンRANを促進するとなった。オープンネットワークアーキテクチャーおよび通信インフラストラクチャーを一緒に構築することは、ICT製品サプライチェーンのセキュリティーチェックが、さらに重要視されることを意味する。特に将来的には、5Gはより多くのハードウエア機能をソフトウエアにシフトするため、ソフトウエア製品のサプライチェーンセキュリティーが重要な競争要素になる。台湾の産業を例に挙げると、その影響は次の通りである。

-ICT商品の安全性:海外の顧客は、台湾のICT企業に対してサプライチェーンセキュリティーの対応計画と情報セキュリティー証明書の提供を要求し始めている。大手グローバル企業の監査に対応できない場合、調達セキュリティーのホワイトリストに登録されなくなる。

-独自のデジタルインフラストラクチャーのセキュリティー:台湾のICT業界はDXを積極的に展開しており、運営の中断を引き起こす可能性のあるサプライチェーンからのサイバー攻撃を回避するように取り組んでいる。

-上流サプライヤーの情報セキュリティーと柔軟性の評価:サプライヤーの情報セキュリティーと柔軟性は、サプライチェーン全体に拡大される。これには中流・下流の企業も含まれ、情報セキュリティーを調達契約に組み込むことでセキュリティートラブルを抑制していくことが急務となっている。

表1 国際的な政策と規範の形成動向
省庁規範に関する説明
米国国土安全保障省・2018年11月、「ICT Supply Chain Risk Management Task Force」を制定。20の政府省庁、ICT業者とチップ大手40社が参加
・セキュリティーリスクのあるICT製品を脅威から守るために、2019年から、参加者が連携して認定製造者リストの作成を検討。このリストに登録されていない事業者は今後、米国政府機関および米国大手企業への製品供給ができなくなる恐れがある
通商代表部情報セキュリティー対策に関連する輸出入規制:2019年5月、トランプ米大統領(当時)が情報通信技術とサービスのサプライチェーンの保護「Executive Order 13873 , Securing the Information and Communications Technology and Services Supply Chain」という大統領令に署名。米国の機関、企業、個人の取引について、米国の国家安全に重大なリスクを与えるICT製品やサービスの使用を禁止した。仮に外国のサプライチェーンが国家の安全に脅威を与えた場合、米国通商代表部の代表に取引を禁止できる権利を委任。その後、中国ファーウェイ製品の調達禁止令発令へと発展
国家安全保障会議(NSC)国家安全保障会議(NSC)は2020年9月、2020年から2022年にかけての防諜(ぼうちょう)戦略を発表した。5大目標の1つが「米国の主要なサプライチェーンに対する脅威の軽減」がである。外国が米国政府、米軍、および民間企業が購入した商品とサービスを破壊することを防ぎ、その完全性、信頼性、および信ぴょう性を確保する
EUENISA(欧州ネットワーク・情報セキュリティー機関)・EUにおけるICTのハードウエア・ソフトウエア情報セキュリティー法を制定:2016年に制定されたGDPR(EU一般データ保護規則)に続き、EUは2017年9月に「Cybersecurity Act」を発表、2019年6月27日に発効となった。さまざまなICT製品、サービス、プロセスなどを包括する多くのEUネットワークセキュリティーに関する体制を確立する
・EUにおけるICTのハードウエア・ソフトウエアの情報セキュリティーの標準と認証制度の確立:2020年6月、EUはICT製品、プロセス、サービスの優先リストを発表。2023年には強制認証項目に登録される見通しで、台湾のICT産業サプライチェーンに与える影響は大きい
・欧州議会(European Parliament)シンクタンクは強制的にEUサプライチェーンデューデリジェンスシステムを確立するようEUに強く要請し、欧州委員会は調査報告書の発行と公開協議の実施を開始した
英国NCSC(国立サイバーセキュリティーセンター)・英国は情報セキュリティーの脅威からサプライチェーンを保護することを目的として、2019年9月12日に防衛省(MOD)と産業界による防衛情報保護パートナーシップ(DCPP)を提案した
・2019年に「英国通信サプライチェーン回顧報告書」を公表。報告書では英国の5G発展目標および経済発展と社会発展における5Gの役割を組み合わせて、通信という基盤施設領域の安全という重大な意義を強調し、通信サプライチェーンマネジメントを総合的に評価している
日本NICT(情報通信研究機構)・日本は2018年版の「サイバーセキュリティ戦略」で、企業の能力を強化し、サプライチェーンの各方面での積極的な協力を呼びかけ、企業間の多様な連携を通じて、価値のあるサプライチェーンを創造すると強調。具体的な施策は次の2点
(1)サプライチェーン全体に存在する脅威を確実に見つけ出し、関連の保護フレームワークを制定する
(2)中小企業による積極的な取組と革新を十分に推進する
・日本政府は「特定高度情報通信技術活用システムの開発供給及び導入の促進に関する法律案」を制定。5G、ドローンなどのシステムのサイバーセキュリティを確保しながら、日本企業による新世代ネットワーク技術を慎重に活用・確保することを目的とする
中国中国国家標準化管理委員会・中国国家標準化管理委員会は同国初の国家ICTサプライチェーンセキュリティー基準として、国家標準GB/T36637-2018「情報セキュリティー技術ICTサプライチェーンのセキュリティーリスク管理ガイドライン」を2018年10月に正式に発表した。それまで十分に考慮されていなかったICTサプライチェーンの情報セキュリティーリスクを補い、IB5:D12CTサプライチェーンのセキュリティーの脅威、脆弱性、および想定されるリスクを体系的に提示した
・2020年4月、中華人民共和国中央サイバーセキュリティー情報委員会事務局や中華人民共和国国家発展改革委員会を含む12の部門が共同で、「サイバーセキュリティーレビュー措置」を発行した。この措置により中国情報セキュリティーレビューシステムを確立し、重要な情報インフラストラクチャーの運用に対する製品やサービスの購入に関わるリスクの早期発見と回避、重要な情報インフラストラクチャーのサプライチェーンのセキュリティーの確保、および国家安全保障の維持を確保する
出典:工研院産業科技国際策略発展所

 各国による政策の導入に伴い、グローバルサプライチェーンのほとんどのエンドユーザーもICT製品サプライチェーンのリスク管理を要求し始めている。台湾を例にとると、そのハイテク製造産業はサプライチェーンの重要な一部として、大手グローバルメーカーと密接に関連している。2020年以降、国際大手メーカーのサプライチェーンのセキュリティーに関する監査に対応できない場合には、調達のホワイトリストに登録されることが難しくなり、サプライチェーンシステムから除外される可能性もある。そのため、独自の情報セキュリティー機能の強化に加えて、サプライヤーおよびサードパーティーのパートナーとも情報セキュリティーのリスクを管理する必要がある。サプライチェーンの合理的な情報セキュリティーレベルと関連する管理手段を定義して、サプライヤーを定期的に評価・監視するわけだ。その上で、情報セキュリティー評価プロジェクトを契約に追加し、国際顧客との信頼関係を構築している。