CISTEC Journal 3月号掲載[2019.4.1]
ファーウェイ、ZTE の直面する二つの問題
1. 脚光を浴びる長年の問題
華為技術(ファーウェイ)社を巡る刺激的な報道が相次いでいる。2018年12月、米国の要請を受けて、同社副会長でありCFO(最高財務責任者)である孟晩舟氏がカナダで逮捕されたことは衝撃であった。同氏はファーウェイ社創業者の娘で、逮捕は米政府がカナダ政府に求めたものであったという。更に、今年(2019年)1月末には、米司法省は同氏及び同社を訴追し、身柄の引き渡しを要求している。この訴訟は、同社による10年に及ぶ産業スパイ行為(Tモバイル社からのロボット技術情報に関するもの)と司法妨害(在米従業員の他国への異動、証拠隠滅)、イラン経済制裁の回避を対象とするものである。社内Eメールや孟氏の内部メモなどが証拠とされているという1。
これまで、米国は、ファーウェイ社などによる通信機器(ルーターなど)の国家機関での使用に厳しく制限を課してきた。そして、その制限の対象としては、同じく中国資本の中興通訊(ZTE)社が含まれていた。これに関しては、2018年8月に成立した米国防権限法(NDAA)に具体的制限が盛り込まれているが、これが一つの画期といえる。
同月、第5世代通信システムへの両社の参入が豪州で禁じられた。11月には、ニュージーランドでもファーウェイ社の同規格への参入が禁じられた。そして、その翌月12月の孟副会長逮捕を境にするように、多くの国で同様の措置または懸念の表明が続出している。12月には日本でも事実上、両社製品を禁じる措置を採ったし、同月には、英国、欧州連合(EU)、ベルギー及びチェコ、翌1月にはノルウェーで、同様の議論が進んでいると報道された。台湾の蔡英文政権も規制強化の方針を示した。これらの動きには一部国家に対する米国からの呼び掛けが背景にあるとの報道もある。
【各国の通信網にけるサプライチェーン・サイバーセキュリティ脅威対応】
2012年3月 | 豪州はサイバーセキュリティ上の懸念からファーウェイ社の国家ブロードバンド網(NBN)への参加を禁じる。 |
2018年8月 | 米国でファーウェイ社とZTE社に対して政府に対する取引制限を盛り込んだNDAAが成立する。 豪州はファーウェイ社とZTE社に対し第5世代通信規格の提供を受けることを拒否する。 |
2018年11月 | ニュージーランドはファーウェイ社に対し第5世代通信規格製品の供給を禁じる。 |
2018年12月 | 英通信大手BTは第5世代通信網に関してファーウェイ社の製品を調達しない方針を明らかにする。第4世代通信網に関しても2年以内に同社製の技術を排除する計画を示す。 欧州委員会副委員長がファーウェイ社他中国通信機器メーカーの機器の導入が欧州にサイバーセキュリティ上のリスクをもたらすと発言する。 ベルギーで国家機関の通信機器へのファーウェイ社製品の使用を禁じることが検討されていると報道される。 日本政府がファーウェイ社、ZTE社などの排除を念頭に、情報通信機器の政府調達運用を申し合わせる。 チェコ首相は内閣職員のファーウェイ社製品及びZTE社製品の使用を禁じた。 英国国防相は英国の第5世代通信網にファーウェイ社製品を使用することに対し「深刻」で「非常に深い懸念」を表明する。 |
2019年1月 | ノルウェー司法長官は同国の第5世代通信網の構築からファーウェイ社を排除するかどうか検討しているとした。 |
2. 問題は二つある
背景には異なる二つの問題、不正輸出問題とサプライチェーン・サイバーセキュリティ上の問題(サプライチェーン・サイバーセキュリティ脅威)とがある。サプライチェーンというと、「原料の段階から製品やサービスが消費者の手に届くまでの全プロセスの繋がり」を指すが、この繋がり全体がサイバーセキュリティ上のリスクにさらされていることが問題視されているのである。尚、これら二つの問題のどちらもが国家安全保障問題である点で共通している。本稿では両問題に触れるが、専ら、後者を重点的に紹介しようと思う。 もちろん、一連の件には、トランプ政権の対中強硬姿勢から来る貿易戦争も無関係ではない。しかし、不正輸出問題もサプライチェーン・サイバーセキュリティの問題も共に、2017年に始まったトランプ政権よりもかなり古いものである。サプライチェーン・サイバーセキュリティに関していえば、ジョージ・W・ブッシュ政権下の2005年まで遡る。この年、中国資本の米国内通信システムへの進出に対する懸念がシンクタンクによって示されている。そして、この懸念への対応はオバマ政権期を通して行われてきているものである2。 二つの問題は安全保障上の理由で技術情報の流出を抑えたいという米国の懸念に発するもので、この意味で同根である。不正輸出問題とは、核兵器の開発が懸念されるイラン、北朝鮮や人道問題が懸念されるシリアなどを対象とした米国製技術を使用した製品の輸出規制への違反のことである。対してサプライチェーン・サイバーセキュリティ脅威は中国そのものへの技術流出が懸念対象となっているので、両問題は微妙に対象とする国家を異にする。つまり、核兵器保有国である中国とこれから核兵器を開発することが懸念される国々では、米国として制限したい技術情報に差があるのだが、これら二つの問題が中国企業を経由するという一点で集約され、この両社に懸念が集中している。
【トランプ政権以前の中国通信機器メーカーへのサプライチェーン・サイバーセキュリティ脅威対策】
2008年3月 | ファーウェイ社と米ベインキャピタルパートナーズ社が進めていた米ネットワーク関連機器メーカー、スリーコム社の買収が、対米外国投資委員会(CFIUS)によって却下される。 |
2011年2月 | ファーウェイ社は米サーバー技術会社スリーリーフ社からの設備取得をCFIUSによって拒否される。 |
2011年11月 | 米下院情報委員会がファーウェイ社の調査を開始する。 |
2012年9月 | 米下院情報委員会の公聴会にファーウェイ社とZTE社が召喚され、サイバースパイの疑惑などを問いただされる。 |
2012年10月 | 米下院情報委員会によってファーウェイ社とZTE社を国家安全保障上の問題と見なすとするレポートが提出される。 ロイター社の取材で、米政府機関はファーウェイ社の製品にスパイ行為の証拠を見つけられなかったことが明らかになる。 |
3. サプライチェーン・サイバーセキュリティとは何か
電子機器の集積化が進んだ昨今は、一つの製品が製造、供給される過程にサプライチェーン上で多くの企業が関与している。この為、システム全体となると更に膨大な企業が関与することとなる。この全ての企業のセキュリティが十分でなければ最終製品の安全性が守れない訳である。更に、国家安全保障の見地から考えると、それら企業が海外企業である可能性が気に懸かる。米国の製品も低廉な中国の部品を使用しているし、多くは中国や東南アジアの工場で生産されている。また逆に、中国やロシアで開発される製品も多くは米国製の基本ソフト(OS)を使用せざるを得ない。
様々な機器がネットワークで接続されるIoT(モノのインターネット)時代の到来によって、サプライチェーン・サイバーセキュリティ脅威がサイバーセキュリティにおける問題の一角を占める大きな存在となっている。サイバー攻撃というと、第一にインターネット回線(もしくはUSBドライブなどのメディア)を介したものがイメージされる。もちろん、そのような経路を介したマルウェア(悪意のソフトウェア)による攻撃には最低限、気をつけなくてはいけない。そして、この種のリスクは、ウィルス対策ソフトなどの導入で一定程度は抑えられるものなので、多くのコンピュータ利用者は日頃、対策しているだろう。
しかし、実際には、もっと根源的で回避の難しいタイミングでの攻撃がある。それは、製品購入前の、むしろ製品の製造や流通といったタイミングで行われるものである。コンピュータやネットワーク機器といった情報機器が製造、供給される過程(すなわちサプライチェーン上)でハードウェア的な、もしくはソフトウェア的な作為(あるいは脆弱性を突いた改変)がなされる懸念があるのである。このような問題はサプライチェーン・サイバーセキュリティ脅威と呼ばれ、過去にも何度か起こっている。
ソフトウェアやハードウェアを供給する大手企業は相対的に高度なサイバーセキュリティが施されており、攻撃を成功させることは容易ではない。しかし、その下請企業は、それらに比べてセキュリティが甘く、攻撃されやすいという問題が指摘されてきた。サプライチェーン・サイバーセキュリティ脅威とはこのような製造プロセスにおける脆弱性を含む言葉である。しかし、ファーウェイ社、ZTE社など中国大手通信メーカーへの懸念には、サプライチェーン上にある会社そのものがこれを意図的に改変することへの懸念が多分に込められている。
(つづく)
参考文献
1. Sanger, David E., Benner, Katie , Goldstein, Matthew. Huawei and Top Executive Face Criminal Charges in the U.S. the New York Times. ( オンライン) 2019 年1 月28 日. ( 引用日: 2019 年1 月30 日.) https://www.nytimes.com/2019/01/28/us/politics/meng-wanzhou-huawei-iran.html.
2. Medeiros, Evan S., ほか, ほか. A New Direction for China’s Defense Industry. 出版地不明 : Rand Corporation, 2005.