こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
米CISAは現地時間5月1日、FCC対象リストをリスク管理計画に組み込むよう、重要インフラの所有者及び運営者に要請した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】リスクをもたらす通信機器及びサービスの対象リストをリスク管理計画に組み込むよう、要請が出されています。特定製品の利用に関する懸念や排除する流れができた背景や、サプライチェーンを保護するために必要な措置について説明します。
米連邦通信委員会FCCは、米国の国家安全保障または国家安全保障に対する米国人の安全と安心に許容できないリスクをもたらすと米国政府が決定した通信機器及びサービスの対象リストを維持しています。米CISAでは、この対象リストをサプライチェーンのリスク管理の取り組みに取り入れるよう強く要請しています。
また、全ての重要インフラ組織は、この対象リストに掲載されているような脆弱な機器やその他のリスクの高い機器を特定するための支援として、CISAの無料の脆弱性スキャンサービスへの登録を求めているということです。
FCCの対象リストを見てみると、主に中国製品が挙げられているようです。米国以外の国や日本からも、中国製品の利用に関する懸念や排除する方針が発表されています。
オーストラリアでは、国家安全保障上の懸念があるとして、中国製の監視カメラを国防施設から排除する方針を明らかにしています。また、カナダでは中国企業のCFOを米警察当局の要請により逮捕したと発表してしています。日本でも、政府はミサイルや艦船などの防衛装備品に組み込む部品や企業が扱う機器から機密情報が漏れないよう、経済安全保障の観点から懸念がある中国製機器の使用を防ぐと発表しています。
このように、各国で中国製品の利用に関して懸念や排除する方針が発表されている背景として、米国政府が中国企業のスパイ行為を断定する動きがきっかけとなっていると考えられます。
例えば、米国企業が買収を検討していた企業に対してセキュリティ調査を実施したところ、サーバ内にデータを盗み出すための小さなチップが発見されたという報道がなされました。このチップは本来の設計にはないパーツで、チップの埋め込みは基盤製造を担当した中国の下請け工場内で行われていたため、単なる企業からデータを盗み出すという目的を超えて、中国当局によるサプライチェーン攻撃の疑いがかけられました。また、米国防総省のデータセンターなどにも同基盤が利用されたサーバーが納入されていたことから、本件は米国最高機密の捜査対象になったということです。
日本でも、中国企業によって開発されたキーボードアプリが、入力された情報をユーザーに無断で外部に送信しているとの報道がなされました。中国企業は当初、ログの送信は規約に同意したユーザーに対してのみ行っているとしましたが、確認の結果、ログ送信をオフにしている場合も送信が行われていたことを認めています。
このような中国企業に対する不信感の積み重ねにより、各国の中国製品の利用に関する懸念や排除する流れができたと考えられます。
サプライチェーンを保護するために必要な措置のひとつとして、全員参加のセキュリティが常に求められます。
今回の要請でも、全ての重要インフラ組織に対して、無料の脆弱性スキャンサービスへの登録が求められています。自己責任論が一般的な米国においても、無料のセキュリティ対策を導入してでも、より多くの組織がセキュリティ対策をすることの重要性を認識していると考えられます。
日本でも、人、技術、お金の問題で、セキュリティ対策ができない組織が多く存在しています。サプライチェーンそして、それと同様に求められるのは、すべての人がセキュリティに対して前向きな姿勢を持つことです。皆さんに関心を持っていただけることが、社会課題であるサプライチェーンリスクを解消するための一助になることは、言うまでもありません。
今回は、特定製品の利用に関する懸念や排除する流れができた背景や、サプライチェーンを保護するために必要な措置についてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
