CISTEC Journal 3月号掲載［2019.4.1］

サプライチェーン・サイバーセキュリティの不透明な展望

1.  スパイ網獲得競争という側面

　NSAの下請け会社に勤務し、後にその内部文書を暴露して話題になったエドワード・スノーデン氏によれば、米政府による中国通信機器メーカーへの非難は、スパイ網の奪い合いの側面があるという。もし、スパイ行為の懸念を感じた米企業が中国の通信機器メーカーの製品を避けることがあっても、（米国から見た）外国では、同じ懸念を米国製品に持たなくてはいけないと警告している。2010年6月のNSAの資料によれば、同組織は米国から輸出されるルーターやサーバーといったネットワーク機器を受け取るか途中で押さえるかして、バックドアを埋め込み再梱包してから送付していたという。米政府が中国製品の排斥を訴える動機には、中国による監視に対する懸念と同じぐらい、米製品の普及が妨げられることによって、NSA自身の到達範囲が限定されることを懸念しているのだろうとのことである⁸。

　全世界のインターネット通信の多くが自国を経由することから、米国はデータの窃取が容易な位置づけとなっている（図3）。そして、このデータを盗み見ることは、米国民の監視こそ法的に制約されているものの、外国から外国への通信は法的に保護されていない。つまり、この情報に対するスパイ行為は違法ではない。もちろん、他国へのスパイ行為を違法として禁じることにメリットを感じる国はない訳である。つまり、米国はそこに居ながらにして法的な懸念なしに国家間の通信の多くを傍受できるのである。この上、上述のようにNSAがスノーデン氏の言うように他国に輸出されるネットワーク機器にバックドアを仕掛けようとしたのだとすると、なぜそこまでするのかと疑問に感じたりもするが、やはりNSAには完璧さが求められており、米国を通過しない残りの情報も手に入れようと努力を重ねていたのかもしれない。

　そうなると、中国による自国製の安価なネットワーク機器の世界的普及と、それへの監視機能の埋め込みがもしあるとすれば、それは巨大スパイ網を誇る米国へ一矢報いる工夫といえるかもしれない。各国は、米国に盗聴されるか、中国に盗聴されるかの二択を迫られているのだろうか。日本がもし選ぶとするならば、それは同盟国たる米国に盗聴される道かもしれない。しかし、例え相手が同盟国であっても一方的に情報を窃取されていては、例えば外交交渉などにおいて不利な立場に立たされかねない。

2. 中国は国内のトラフィックだけでは我慢できない

　合法的傍受（LI: Lawful Interception）は多くの国で導入されているという。そのような中で、国内を通過する他国の情報を盗み見ることへの誘惑は絶ち難い。まして、他国へのスパイ行為が違法な国などない。当然、それを見て活用する。特に殆どのトラフィック（データの流れ）が集中する米国は尚更そうであって、それは将来も変わる可能性は低いだろう。

　問題は、国内トラフィックの監視に留まらず、他国へ輸出する機器にも監視機能を埋め込もうとする米国のやり方である。そして、中国などの米国以外の国々では自国を通過するトラフィックを監視するだけでは物足りない。特に、安価な製品や労働力を提供し、世界の工場となっている中国は、製品にバックドアを付けたいという動機は、米国以上であろう。

　落とし所は国内のトラフィックの監視は規制せず、他国へ輸出する製品を利用したサプライチェーン攻撃を規制するといったものだろうが、これは米国に有利で、中国を始めとするその他の国々に不利である。そうであるならば、合意せずに監視機能を埋め込むなどして、将来、スパイツールとして使用できる可能性を持った通信機器を輸出し続けた方がよい。

　それでも常時自国内を経由するデータを監視できる米国と違い「いざとなったら監視に使える」ではかなり不利である。企業はスパイ行為への監視が露見してしまえば企業生命にかかわるわけであるから、反対するかもしれない。しかし、その反対を押し切ってでも常時監視を行いたいと国家側が考えるということはありそうだ。

3. 二つの通信インフラ国家群という可能性

　当然、米国は中国によるサプライチェーン・サイバーセキュリティ攻撃によるスパイ行為を許したくはない。しかし、安価で十分な性能のある（というより最先端と評価されている）中国製の機器を使わない次世代通信網は性能面でも価格面でも立ち遅れる可能性がある。そしてもし、米国製の技術や部品の使用を禁じられたとしたら、中国の製品もダメージを受け、それらを使用する次世代通信網も当面は実現が困難になるだろう。

　ただ、ファーウェイ社は開発力も強く、半導体の技術が進んでいるという。2017年度の集計値でみると同社は世界第一位の携帯インフラメーカーで、世界第二位のスマートフォンメーカーであると共に、アマゾン社、米アルファベット社（Google社を傘下に収める持株会社）に次いで世界で三番目に研究開発に資金を投入している企業でもある²⁶。そして傘下には独自の半導体企業ハイシリコンを収めている。

　実際のところ、中国は半導体の自給率も低く、技術的に米国に追いついていない為、現時点では自国で賄うのは簡単なことではないようである²⁷。しかし、すぐには無理だとしても、いずれ米国の技術抜きで、自前の技術だけで復活して来ないとも限らない。このとき、中国製品を使う国家群と米国製品を使う国家群に世界は二分されるのだろうか。これまで、自国の市場と技術を人質に、米国はZTE社との交渉を有利に進めてきた。ファーウェイ社に対しても同様である。しかし、もし米国とファーウェイ社が完全に決裂したときは、このもう一つの通信インフラ国家群の構築という中国の努力が始まるのかもしれない。このとき米国は国家対企業という有利な戦いの世界を離れ、これら二つの通信インフラ国家群の並立という厄介で不確定要素の多い世界に足を踏み入れることになるのかもしれない。

　議会がZTE社への米国製技術提供制限の復活を繰り返し法制化しようとしたにもかかわらず、ホワイトハウスはこれを押し留めてきた。例えば、2018年7月に、トランプ大統領は当時、まだ有効であったZTE社への同制裁を暫定的に解除すると宣言している。そして結局、同月中に制裁は解除されている。更に、その翌月のNDAA（第3回第1節参照）の法制化のときには、超党派の議員が同法にZTE社への制裁復活の条項を盛り込もうとしていた。しかし、この条項は結局、共和党議員達の反対によって削除されたのであった。この共和党員の動きはホワイトハウスに促されたものだと報道されている²⁸。以上のようなホワイトハウスの動きの背景には、上記のような世界戦略的な展望を踏まえての判断があったのかもしれない。

　ZTE社は米国の求めに応じて、経営陣を繰り返し変更し、巨額の賠償金を米財務省に支払うなどし、いわば、手なづけられつつある。同社が積極的に輸出規制違反をするような企業であったにもかかわらず、米国政府はこれに対し、敢えて大鉈を振るうことはせず、根気強く応じてきたように自分には見える。ファーウェイ社に対してもまた同じようにして、米国製技術提供の道を完全に絶つことなしに、企業文化を変えていくことができるだろうか。ファーウェイ社を産業スパイに報奨を出すような文化から脱却させるまで、根気強く付き合って行けるだろうか。

　もし、米国がまたこの根気強い方策を採るとしても、それは米国製技術の輸出制限を「しない」ことを必ずしも意味しない。かつてZTE社に対して行ってきたように、実際には輸出制限と同時にその解除の条件を示し、ファーウェイ社がそれに応じるのを待つという形を採ることになるかもしれない。これを前記の通り「大鉈」と呼ぶかどうかの違いは、最終的に無条件の制裁を加えるかどうかにある。この根気強い戦いで勝ち得られるものは、国家対企業という有利な戦いの場の維持である。これを諦めてしまったときには、二つの通信インフラ国家群の並立という不確定要素に満ちたステージへの扉が開かれるかもしれないからである。

4. 解決への遠き道のり

　ファーウェイ社やZTE社といったセキュリティ上の懸念を抱かせる企業の製品を排除することは、効果が限定的であるとの主張が、米国のセキュリティ技術者ブルース・シュナイアー氏からなされている。同氏はハーバード大学で教鞭をとる暗号の専門家であり、昨年（2018年）は北大西洋条約機構（NATO）のサイバー防衛機関、サイバー防衛協力センター（CCDCOE）の主催する講演会でもサプライチェーン・サイバーセキュリティ脅威に関して講演している。

　同氏によれば、全てのコンピュータ化されたシステムは（製造プロセスが）徹底的に国際化されており、関連する企業や国家を信じるより外に選択肢はないのだという。スマホのソフトウェアは極度に複雑化されているため、プログラマーにとって、そこへ改ざんした機能を潜ませることは比較的容易であり、逆に、探し出すことは難しくなっている。製品メーカーだけではなく、下請けやそのメーカーに部品を供給する部品メーカーも疑わなくてはいけない。また、規模の大きいソフトウェアは世界中に散らばった数百人のプログラマーのチームによって制作されているという。その一人ひとりに改ざんのチャンスがあるのである。この実態を踏まえたとき、全てを自国でデザインし製造するというやり方は現実的ではないという主張である²⁹。

　これを聞いてしまうと、先述した通り、2018年8月のNDAAによる制限は、やはり、問題全体から見ると限定的であるように思われてくる。制裁対象5社以外の中国企業によるサプライチェーン攻撃だけではなく、個々の中国人プログラマーまで警戒することは果たして現実的なのだろうか。

5. 抑止か規範か

　お互いに防ぎようがないという、このサプライチェーン・サイバーセキュリティの様相は、第二次世界大戦後の核兵器技術の普及過程を思い出させる。広島、長崎への原爆投下後、核兵器技術をほぼ独占しているかに見えた米国は、この圧倒的な破壊力を持つ兵器を所持する唯一の国家という地位をまたたく間に失っていった。その後、決して円満な関係にはなかった核保有国家に、お互いに対して核兵器を使用させなかったものは、抑止という概念であった。自国がどこかに核兵器を使用すれば、相手国も反撃に使用してくるかもしれないという懸念が使用を思いとどまらせたわけである。核兵器のような強すぎる力に限っていえば、お互いに使えるということが、誰にも使えないことに繋がるのである。

　サプライチェーン・サイバーセキュリティに関して、どこまで抑止が通用するだろうか。恐らく、スパイ行為のようなことには抑止は効果を持たず、お互いにやり続けることになるのだろう。しかし、例えば、相手国の電力供給を完全停止させるような攻撃はどうだろう。もしどちらかがこれを行った場合、被害国側の誰かのノートPC（大概しばらくは電池で動く）から衛星回線を介したサイバー攻撃が反撃として返ってくるかもしれない。この「かもしれない」というところが重要である。このような攻撃に反応するようなサプライチェーン・サイバーセキュリティ上の仕掛けが自国システム上に存在しないと誰にも確証を抱かせないところが、この問題の特徴である。このように、強力なサイバー攻撃にはあるいは、抑止の考え方が適用できるかもしれない。

　先述のシュナイアー氏によれば、もう一つ解決方法がある。それが「規範」と「国際条約」である。規範という言葉は社会学上で定義されており、それに従わなければ社会的に「何らかの種類の賞罰」を受けるような行動規則をいうとされている。つまり、サプライチェーン攻撃の使用を思いとどまらせるような行動規則と、それに従わなければ何らかの賞罰を受けるような環境が国際社会に生まれてくれば良いのである。そうはいっても、これにはそれなりに時間を要することだろう。サイバー空間の安全保障を巡る国際条約は国連の政府専門家会合（GGE）を舞台に議論されてきているが、着地点を見いだせずにいる。

　抑止にせよ規範にせよ、それなりに迂遠な方法ではある。サプライチェーン・サイバーセキュリティへの特効薬は見つからず、目下、各国には根気強い牽制や議論の応酬が求められているのである。抑止の実現に向けた研究、対応や規範醸成、国際条約締結も急がなくてはならないだろう。輸出入の制限は問題解決へ向けた行動の端緒に過ぎないのである。（了）

※すべての関連年表とそれに付随する参考文献に関しましては、CISTEC Journal 3月号をご覧ください。

参考文献

8. Greenwald, Glenn. No Place to Hide. New York : Picador, 2014. ページ: 147-151.
26. Hooker, Locy, Palumbo, Daniele. Huawei: The rapid growth of a Chinese champion in five charts. BBC News. (オンライン)2018年12月7日. (引用日:2019年1月23日.) https://www.bbc.com/news/business-46480208.
27. 湯之上隆. ファーウェイが開発した5G 半導体、製造可能なのか？ JBpress. (オンライン)2019年2月4日. (引用日:2019年2月7日.) http://jbpress.ismedia.jp/articles/-/55346.
28. Binder, Matt. President Trump signs NDAA, banning government use of ZTE and Huawei technology. Mashable. (オンライン)2018年8月15日. (引用日:2019年2月15日.) https://mashable.com/article/ndaa-zte-huawei-ban/.
29. Schneier, Bruce. Banning Chinese phones won’t fix security problems with our electronic supply chain. the Washington Post.(オンライン)2018年5月8日. (引用日:2018年12月3日.) https://www.washingtonpost.com/news/posteverything/wp/2018/05/08/banning-chinese-phones-wont-fix-security-problems-with-our-electronic-supply-chain/.