IT製品の安全性をベンダーの国籍だけで判断するのは早計だ。中国企業の“脅威”の大半は臆測の域を出ない。ただし、国家と利害が連動する中国企業の体質は理解しておく必要がある。
前編「『Huawei/ZTEは安全保障の脅威だ』――米国が中国製品に懸念」では、Huawei Technologies(Huawei)やZTEといった中国企業のIT製品で懸念される4つのリスクのうち、パケットの送信でネットワーク機器をシャットダウンさせる「マジックキルパケット(Magic Kill Packet)」、悪質なソフトウェアの意図的な導入の可能性について検証した。後編では、残る2つのリスクを検証する。
中国企業が意図的にバックドアを仕込む可能性が低いとすると、昔ながらのシンプルなバグはどうだろう? 重要なインフラの端末やサーバにソフトウェアエラーやハードウェアエラーが含まれ、ネットワークのセキュリティが脅かされる可能性はどの程度あるのだろうか? こうしたバグは、優先サプライヤーのリストからそのベンダーを排除する理由になるのだろうか?
もちろん、これは本気の問いではない。ソフトウェア、ハードウェア、プロセッサのベンダーは、どこであれバグのある製品をリリースしてきているからだ。これは誰もが知っている事実である。
こうしたバグの存在は、丸ごと1つの業界を生み出してもいる。アンチマルウェア、脆弱性分析、パッチ管理、侵入予防ソフトウェアも含め、ITセキュリティ業界の大半は、不良ソフトウェアやバグが多いハードウェア、設定構成の不備などを補うために誕生した。製品にセキュリティの欠陥が見つかったことのある全てのベンダーから購入を控えたりすれば、鉛筆と紙の世界を抜け出せずに苦労するのが落ちだろう。
前編では、「VPNの乱数発生器の欠陥」について取り上げた。ただし、不備のある乱数発生器は偶然に発生し得るものであり、ときには途方もない結果を引き起こすこともある。
例えば、Webブラウザ「Netscape Navigator」の初期のバージョンは、SSL通信に16ビットの乱数発生器しか使っていなかった。そのため、ひどく低速なコンピュータを使っても、暗号化データに対するブルートフォース攻撃を仕掛けることは容易だった。
米マサチューセッツ工科大学(MIT)が開発したユーザー認証方式「Kerberos」は、現在Windowsのセキュリティアーキテクチャの中核をなしている。だがかつては、鍵空間(鍵の候補となり得る値の範囲)が約20ビット程度の乱数発生器を約10年近くにわたって搭載していた(鍵の数は約100万個であり、ブルートフォース攻撃を仕掛けるのは簡単だ)。
だが、セキュリティ意識という点で、例えばHuaweiを米Cisco Systemsや米Juniper Networksと同じカテゴリに分類するのは公平ではない。Huawei自身は、自社が情報セキュリティの強化に意欲的に取り組んでいると主張している。Huaweiは、自社の公式サイトにおいて「サイバーセキュリティの脅威や課題に共同で取り組むべく、さまざまなチャンネルを介して、あらゆる政府、顧客、パートナー企業と協力したい」と述べている。
Huaweiは言うべきことはしっかり言っているが、言ったことをしっかり実行しているわけではない。文化の問題や言語の問題など、さまざまな要因に阻まれ、Huaweiは他のベンダーと同じ道をたどれずにいる。
Copyright © ITmedia, Inc. All Rights Reserved.
AIの進化が加速する「プラットフォームビジネス」とは?
マーケットプレイス構築を支援するMiraklが日本で初のイベントを開催し、新たな成長戦略...
「マーケティングオートメーション」 国内売れ筋TOP10(2024年12月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
2024年の消費者購買行動変化 「日本酒」に注目してみると……
2023年と比較して2024年の消費者の購買行動にはどのような変化があったのか。カタリナマ...