2013年03月22日 08時00分 UPDATE
特集/連載

「中国製」に潜む4つのリスクを検証する【後編】「中国共産党」と「顧客」、Huawei/ZTEが忠誠を尽くすのはどっち?

IT製品の安全性をベンダーの国籍だけで判断するのは早計だ。中国企業の“脅威”の大半は臆測の域を出ない。ただし、国家と利害が連動する中国企業の体質は理解しておく必要がある。

[Joel Snyder,TechTarget]

 前編「『Huawei/ZTEは安全保障の脅威だ』――米国が中国製品に懸念」では、Huawei Technologies(Huawei)やZTEといった中国企業のIT製品で懸念される4つのリスクのうち、パケットの送信でネットワーク機器をシャットダウンさせる「マジックキルパケット(Magic Kill Packet)」、悪質なソフトウェアの意図的な導入の可能性について検証した。後編では、残る2つのリスクを検証する。

リスク3:意図しない悪質なソフトウェア

 中国企業が意図的にバックドアを仕込む可能性が低いとすると、昔ながらのシンプルなバグはどうだろう? 重要なインフラの端末やサーバにソフトウェアエラーやハードウェアエラーが含まれ、ネットワークのセキュリティが脅かされる可能性はどの程度あるのだろうか? こうしたバグは、優先サプライヤーのリストからそのベンダーを排除する理由になるのだろうか?

 もちろん、これは本気の問いではない。ソフトウェア、ハードウェア、プロセッサのベンダーは、どこであれバグのある製品をリリースしてきているからだ。これは誰もが知っている事実である。

 こうしたバグの存在は、丸ごと1つの業界を生み出してもいる。アンチマルウェア、脆弱性分析、パッチ管理、侵入予防ソフトウェアも含め、ITセキュリティ業界の大半は、不良ソフトウェアやバグが多いハードウェア、設定構成の不備などを補うために誕生した。製品にセキュリティの欠陥が見つかったことのある全てのベンダーから購入を控えたりすれば、鉛筆と紙の世界を抜け出せずに苦労するのが落ちだろう。

 前編では、「VPNの乱数発生器の欠陥」について取り上げた。ただし、不備のある乱数発生器は偶然に発生し得るものであり、ときには途方もない結果を引き起こすこともある。

 例えば、Webブラウザ「Netscape Navigator」の初期のバージョンは、SSL通信に16ビットの乱数発生器しか使っていなかった。そのため、ひどく低速なコンピュータを使っても、暗号化データに対するブルートフォース攻撃を仕掛けることは容易だった。

 米マサチューセッツ工科大学(MIT)が開発したユーザー認証方式「Kerberos」は、現在Windowsのセキュリティアーキテクチャの中核をなしている。だがかつては、鍵空間(鍵の候補となり得る値の範囲)が約20ビット程度の乱数発生器を約10年近くにわたって搭載していた(鍵の数は約100万個であり、ブルートフォース攻撃を仕掛けるのは簡単だ)。

 だが、セキュリティ意識という点で、例えばHuaweiを米Cisco Systemsや米Juniper Networksと同じカテゴリに分類するのは公平ではない。Huawei自身は、自社が情報セキュリティの強化に意欲的に取り組んでいると主張している。Huaweiは、自社の公式サイトにおいて「サイバーセキュリティの脅威や課題に共同で取り組むべく、さまざまなチャンネルを介して、あらゆる政府、顧客、パートナー企業と協力したい」と述べている。

 Huaweiは言うべきことはしっかり言っているが、言ったことをしっかり実行しているわけではない。文化の問題や言語の問題など、さまざまな要因に阻まれ、Huaweiは他のベンダーと同じ道をたどれずにいる。

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news075.jpg

楽天と楽天データマーケティング、広告主向けマーケティングツール「RMP - For Brands」を提供開始
楽天と楽天データマーケティングは、「楽天市場」における広告主向けマーケティングツー...

news067.jpg

データで振り返る「山田孝之の1日受付」、測ったバストは合計222メートル56センチ
ミーアンドスターズとシーオーメディカルはSHIBUYA109にてイベントを開催。俳優でミーア...

news021.jpg

GDPR、施行目前でも「知らない」「理解していない」が6割超──トレンドマイクロ調査
施行が2018年5月25日に迫るGDPR。その認知や理解は進んでいるのでしょうか。