なぜ世界はファーウェイ排除へ動いたか
日本ではあまり知られていないが、ファーウェイは英国政府からの信頼を勝ち取るため2010年にファーウェイの英国法人内にファーウェイ・サイバーセキュリティ評価センター(HCSEC)を設置し、自社の通信機器の安全性を検証してきた。
ここで出された検証報告書は、2014年にNCSCに設置された「ファーウェイ・サイバーセキュリティ評価センター監督委員会」に送られ、毎年、最終審査を受けることになっている。
検証作業に当たっているHCSECの38名のスタッフ全員は、NCSCが開発したベッティング・セキュリティクリアランス(Vetting Security Clearance)という英国家機関に志願する人物の身元調査をクリアしており、HCSECは検証結果の中立性を強調している。
そのHCSECが昨年2月に、いったんは「5Gにファーウェイ製品を利用した場合のリスクは抑制可能」と報告していた。それが今回、5Gネットワークからのファーウェイ製品の排除を英国が決定した背景には、ファーウェイの技術力と製品への拭い難い不信感があった。
NCSCは、2020年1月28日に発表した「英国の通信ネットワークにおけるリスクの高いベンダーの機器の使用に関するNCSCのアドバイス」のなかで、ファーウェイを排除すべき理由としてこう述べている。
「私たちの経験から、ファーウェイのサイバーセキュリティとエンジニアリングの品質は低く、そのプロセスは不透明であることがわかりました。たとえば、HCSEC監督委員会は、2018年にファーウェイのエンジニアリングプロセスについて重大な懸念を表明しました。2019年の報告では、2018年の報告書で報告された技術的な問題の修正においてファーウェイによって『重大な進展はなかった』ことが確認され、以前は特定されていなかった『さらなる重大な技術的問題』が強調されました(5)」
つまり2018年に一部の製品について検証を行った結果、数百の脆弱性が見つかったが、昨年の検証結果でもそれら脆弱性に対する修正が行われていないどころか、新たな技術的問題が見つかった。ファーウェイには技術力がないと言わざるを得ない、というわけだ。
ファーウェイも認めていた脆弱性
実は、ファーウェイもこの点については認めており、「改善するには5年はかかるだろう」との声明を出している。
脆弱性とは、コンピュータやOS(Operating System)、ソフトウェアにおいて不具合や設計ミスを指す言葉として用いられるが、1年以上も問題を放置する姿勢は意図的脆弱性(ハッキングを可能とするために意図的に脆弱性を作りだす行為)といわれても仕方がない。
NCSCが指摘した「さらなる重大な技術的問題」とは、ファーウェイから検証用に提供されている4製品のソースコードが、英国で実際に使用されている製品のソースコードと一致しないことを指している。
検証用と実際の製品とが異なるコードを持つなどというのは、HCSECの業務を根底から覆す、あり得ない事態である。
