前編「『Huawei/ZTEは安全保障の脅威だ』――米国が中国製品に懸念」では、Huawei Technologies(Huawei)やZTEといった中国企業のIT製品で懸念される4つのリスクのうち、パケットの送信でネットワーク機器をシャットダウンさせる「マジックキルパケット(Magic Kill Packet)」、悪質なソフトウェアの意図的な導入の可能性について検証した。後編では、残る2つのリスクを検証する。
中国企業が意図的にバックドアを仕込む可能性が低いとすると、昔ながらのシンプルなバグはどうだろう? 重要なインフラの端末やサーバにソフトウェアエラーやハードウェアエラーが含まれ、ネットワークのセキュリティが脅かされる可能性はどの程度あるのだろうか? こうしたバグは、優先サプライヤーのリストからそのベンダーを排除する理由になるのだろうか?
もちろん、これは本気の問いではない。ソフトウェア、ハードウェア、プロセッサのベンダーは、どこであれバグのある製品をリリースしてきているからだ。これは誰もが知っている事実である。
こうしたバグの存在は、丸ごと1つの業界を生み出してもいる。アンチマルウェア、脆弱性分析、パッチ管理、侵入予防ソフトウェアも含め、ITセキュリティ業界の大半は、不良ソフトウェアやバグが多いハードウェア、設定構成の不備などを補うために誕生した。製品にセキュリティの欠陥が見つかったことのある全てのベンダーから購入を控えたりすれば、鉛筆と紙の世界を抜け出せずに苦労するのが落ちだろう。
前編では、「VPNの乱数発生器の欠陥」について取り上げた。ただし、不備のある乱数発生器は偶然に発生し得るものであり、ときには途方もない結果を引き起こすこともある。
例えば、Webブラウザ「Netscape Navigator」の初期のバージョンは、SSL通信に16ビットの乱数発生器しか使っていなかった。そのため、ひどく低速なコンピュータを使っても、暗号化データに対するブルートフォース攻撃を仕掛けることは容易だった。
米マサチューセッツ工科大学(MIT)が開発したユーザー認証方式「Kerberos」は、現在Windowsのセキュリティアーキテクチャの中核をなしている。だがかつては、鍵空間(鍵の候補となり得る値の範囲)が約20ビット程度の乱数発生器を約10年近くにわたって搭載していた(鍵の数は約100万個であり、ブルートフォース攻撃を仕掛けるのは簡単だ)。
だが、セキュリティ意識という点で、例えばHuaweiを米Cisco Systemsや米Juniper Networksと同じカテゴリに分類するのは公平ではない。Huawei自身は、自社が情報セキュリティの強化に意欲的に取り組んでいると主張している。Huaweiは、自社の公式サイトにおいて「サイバーセキュリティの脅威や課題に共同で取り組むべく、さまざまなチャンネルを介して、あらゆる政府、顧客、パートナー企業と協力したい」と述べている。
Huaweiは言うべきことはしっかり言っているが、言ったことをしっかり実行しているわけではない。文化の問題や言語の問題など、さまざまな要因に阻まれ、Huaweiは他のベンダーと同じ道をたどれずにいる。
中小企業のDX支援へ「HubSpot CRM」と「Eight 企業向けプレミアム」が機能連携
名刺情報をコンタクト情報と同期させることでユーザー企業は社員が個別に蓄積してきた名...
「E-Waste」最新事情 国民一人当たりで最も多くの電子廃棄物を排出しているのは?
マーケターの頭の片隅を刺激するトピックをインフォグラフィックスで紹介。
「不祥事によって購入・利用意向が下がる」 回答者の6割以上――ネオマーケティング調査
20〜69歳の男女1000人に聞いた、広報のリスク管理に関する調査の結果です。