NTTとNEC、情報通信機器のサプライチェーンセキュリティリスクへの対策技術を開発

　日本電信電話株式会社（以下、NTT）と日本電気株式会社（以下、NEC）は27日、次世代の情報通信インフラを構成する通信機器およびシステムの構成やリスクを、サプライチェーン全体で共有し、セキュリティに関する透明性を確保することにより、サプライチェーンセキュリティリスクの抜本的な低減を図る「トラステッドネットワーク構想」の実現を目指し、構想実現の中核となる「セキュリティトランスペアレンシー確保技術」を開発したと発表した。

　情報通信インフラを構成する通信機器とシステムの調達や、保守・運用に関するサプライチェーンを介して、マルウェアなどの不正なソフトウェアが混入、あるいはサプライチェーン上のセキュリティが脆弱な組織を介して侵害されるなどの、サプライチェーンセキュリティリスクが顕在化している。

　この脅威への対策としては、サプライチェーン上の供給側（通信機器ベンダー、システムインテグレーターなど）が安全性を示し、調達側がこれを確認する方法が考えられるが、現状では技術的に難しく、事業者間の信頼に依存せざるを得ず、双方に負担やリスクを強いるものになっているという。

　こうした状況を受け、NTTとNECでは、情報通信インフラを構成する通信機器およびシステムの構成やリスクを可視化した情報の共有により、情報通信インフラのセキュリティに関する透明性を確保する、セキュリティトランスペアレンシー確保技術を開発した。

セキュリティトランスペアレンシー確保技術の概要およびメリット

　セキュリティトランスペアレンシー確保技術では、通信機器のサプライチェーン（製造、出荷、導入、運用）において、ソフトウェア構成を継続的に可視化し、バックドアや不正な構成要素の検査結果を含む「機器情報」を生成する。この機器情報の網羅性・正確性が、高品質なリスク分析および監視を実施可能にする。

　さらに、これらに基づく機器情報の継続的更新により、透明性を高いレベルで維持し続ける。また、サプライチェーンを形成する事業者間における機器情報の共有が、透明性を活用した対策を可能にし、サプライチェーンの全フェーズおよび全事業者にセキュリティ向上をもたらすとしている。

　この技術により、通信機器を調達する顧客は、調達・運用時に機器情報を参照して不正なソフトウェアの有無を確認可能になり、通信機器の供給者は不正な構成要素の混入リスクについて客観的に説明可能になると説明。また、ユーザー事業者は、新たなソフトウェア脆弱性の発見時に、機器情報との照合により、影響の有無とリスクを把握して、速やかな対処が可能になるとしている。

　セキュリティトランスペアレンシー確保技術は、NTTが持つ通信機器のソフトウェア構成を可視化する構成分析技術と、NECが持つ機器ソフトウェアへ不正機能混入の可能性を検出するバックドア検査技術、通信システムにおける攻撃ルートを可視化するサイバー攻撃リスク自動診断技術により実現した。

　今後は、セキュリティトランスペアレンシー確保技術を活用した、ローカル5Gでの技術検証を2021年度内に実施し、各要素技術の有効性検証および課題抽出を行う予定。さらに、通信機器ベンダー、システムインテグレーター、ユーザー事業者などによるコンソーシアムの設立を目指し、単一事業者では困難なサプライチェーンセキュリティリスク対策を実現していくとしている。