特別企画

パートナーとの豊かなエコシステムで――、ファーウェイが進める法人向け事業

深セン本社で戦略説明会を開催

IoTセキュリティへの取り組み

 産業向けソリューションとしてIoTが多く取り上げられたが、IoTにはMiraiマルウェアのようにセキュリティの問題もある。その取り組みについて、Tobias Gondrom氏(プロダクト・ソリューション グループ セキュリティCTO)が解説した。

 Gondrom氏は、IoTとそのセキュリティ問題について説明したうえで、IoTのセキュリティの課題を「デバイス」「ネットワーク」「プラットフォーム&アプリケーション」の3つのレイヤーに分けて解説した。

 まずデバイスのレイヤーでは、リソース量や電力消費を抑えなくてはならず、またCPUの処理能力が小さいため、TLSなどの暗号化があまり考えられてこなかったという制約がある。さらに、多数のリモートで動く機器にいかにセキュリティアップデートを適用するかという問題もある。ネットワークのレイヤーでは、いかに異常なトラフィックを認識するかが課題となるし、プラットフォーム&アプリケーションのレイヤーでは、デバイスから収集したデータをさまざまな方法で守ることが重要だ。

 まずデバイスのレイヤーについては、ファーウェイがオープンソースで公開しているIoT向けOS「LiteOS」が紹介された。組み込み機器向けの少ないリソースで動く中にセキュリティのメカニズムを組み込み、TLSなどの暗号化プロトコルやデバイス認証、外から入れないSafeAreaなどをサポートするという。

 ネットワークのレイヤーについては、同社のネットワーク監視や異常検知の技術を挙げ、さらに通信事業者との長い提携の歴史も語った。

 プラットフォーム&アプリケーションのレイヤーでは、プライバシー保護や匿名化を紹介。さらに、IoTセキュリティに関するビッグデータを提供していることを話す。

 こうしたファーウェイ自身のソリューションと同時に、Gondrom氏はパートナーとの協力についても強調した。ファーウェイはアプリケーションには手を出さずにプラットフォームに徹することや、3GPPやIETFなどの団体での標準化に参加してしていることなどが語られた。

 また、少し前までのネットワークセキュリティ技術はファイアウォールなどの「壁」を作ることだったが、現在では壁では守れなくなっているとGondrom氏は指摘。静的な防御から動的な防御にモデルを変える必要があるとして、米軍で提唱された「OODA(Observe, Orient, Decide, Act)ループ」を意識し、それらの4つを強化しなければならないと語った。「例えば、Decideで意思決定にAIを導入することや、Observeでネットワークにたくさんのセンサーを設けること、Actで自動的にネットワークを変更して対応するといったことが考えられる」とGondrom氏。

Tobias Gondrom氏(プロダクト・ソリューション グループ セキュリティCTO)
デバイスのセキュリティ:LiteOS
ネットワークのセキュリティ:監視や異常検知
プラットフォーム&アプリケーションのセキュリティ:プライバシー保護や匿名化
ファーウェイのIoTセキュリティとパートナーエコシステム
米軍が提唱したOODAループによる動的な防御

第三者の視点で製品のセキュリティを検証

 セキュリティへの取り組みに関しては、製品のセキュリティを第三者の視点で検証する「Internal Cyber Security Lab(ICSL)」についても説明された。製品開発プロセスとは独立した第三者として、開発プロセスから制約されずに、製品のセキュリティを検証する施設だ。GSPCGlobal Cyber Security&Privacy Committee)の直接の指揮系統にあり、製品のリリースを止める権限も持つという。

 ICSLは2013年に設立された。イギリスなどの顧客から「セキュリティをきっちりテストしてほしい」という要望があったのが設立の背景だとJeff Han氏(ICSL 検証部門マネージャー)は説明した。直接関係するかどうかは不明だが、2012年には米下院情報特別委員会が安全保障上の懸念から、ファーウェイやZTEの製品を政府の通信システムから除外するよう求めたという事件があった。

 設立以来、ICSLにはコンスタントに130~140名のスタッフが働いているという。製品開発と並行して作業して、ところどころで連絡する「はめこみ型プロセス」をとっている。β版がICSLに届くと、正式発表前までにICSLがアタックテストなどからどのぐらいリスクがあるかを検証してまとめ、「Go」か「Not Go」かをレポートするという。「試験機関を認定するISO/IEC 17025も取得しました。われわれのレポートを顧客が信用してくれることが大事だと考えています」とHan氏は語った。

Internal Cyber Security Lab(ICSL)。施設の性質上、内部にはカメラは持ち込み不可