英国政府は、ファーウェイの通信ネットワーク機器に関するセキュリティ報告書を発表したが、その内容は概ね否定的なものだ。報告書では、ファーウェイのソフトウェアエンジニアリングとサイバーセキュリティ能力に「深刻かつ体系的な欠陥」があると指摘されている。
誰がレポートを書いたのか?
ファーウェイ・サイバーセキュリティ評価センター(HCSEC)は、英国の国家安全保障機関に対し、同社の機器が英国の通信インフラで安心して使用できることを保証する手段として、2010年に設立されました。2014年に設立されたHCSECの監督委員会を通じて、英国政府はファーウェイの製品戦略とロードマップを把握し、ファーウェイのハードウェアのセキュリティを評価することも可能になっています。
HCSEC監督委員会の委員長は、英国国家サイバーセキュリティセンター(NCSC)のCEOであり、GCHQ理事会の執行委員でもあり、サイバーセキュリティを担当するキアラン・マーティン氏です。ファーウェイからも副委員長が委員に名を連ねています。英国政府と通信業界を代表する他の上級幹部も委員に含まれています。英国政府によると、この委員会はファーウェイから完全に独立して運営されています。
ファーウェイのエンジニアリングプロセスにおける重大な問題
HCSEC監督委員会は報告書の中で、ファーウェイのエンジニアリングプロセスに「重大な技術的問題」が見つかり、それが英国の国家通信インフラに新たなリスクをもたらす可能性があると述べた。
主な問題は、英国政府の審査のためにファーウェイが提供したソフトウェアのソースコードが、実際のファーウェイ機器で使用されているものと同一であるかどうかを監督委員会が適切に検証できないことにあるようです。これが修正されない限り、ファーウェイは審査には「クリーン」なバージョンのソフトウェアを提供し、通信機器にはバックドアを仕込んだバージョンを提供する可能性があります。
報告書では、現在、同じファーウェイ製ハードウェアであっても、ネットワークの異なる部分で異なるソフトウェアビルドが使用されている可能性があると指摘されており、これはビルドごとに異なるセキュリティレベルで動作している可能性があることを意味します。例えば、一部のビルドにはバグ修正パッチが適用されている一方で、他のビルドには適用されていない可能性があります。
HCSEC監督委員会は、ファーウェイが安全でないサードパーティ製ソフトウェアコンポーネントを使用し続けており、LTEソフトウェアはコード品質の観点から悪化の一途を辿っていると警告した。委員会は、ファーウェイのエンジニアには十分な技術力が欠けていると考えている。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
昨年、ファーウェイは当初、各国政府からのセキュリティ上の懸念を軽視しようとしていましたが、英国証券取引委員会(HCSEC)監督委員会がファーウェイの通信機器に関して長年抱いていた懸念に対処するため、20億ドルの投資を約束しました。しかし、最新の報告書によると、英国政府はファーウェイがセキュリティ上の懸念に対処するという約束を果たす能力に信頼を置いていないとのことです。また、報告書は昨年以降、ファーウェイが問題の解決に実質的に進展を見せていないことも指摘しています。
英国政府の一部関係者は、中国政府によるファーウェイ機器への干渉がもたらすリスクは政府が軽減できると述べているが、新たな報告書はそうした評価とほぼ矛盾している。
HCSEC監督委員会は、「英国の重要ネットワークへのファーウェイの関与による英国の国家安全保障へのあらゆるリスクが長期的に十分に軽減されるという保証は限定的である」と述べた。言い換えれば、中国政府がファーウェイのハードウェアに干渉した場合、監督委員会はそれを阻止できない可能性が高いということだ。
英国のHCSEC監督委員会が5年間にわたってファーウェイを監査してきたが、いまだにファーウェイがハードウェアとソフトウェアにバックドアがないという基本的なセキュリティ保証を提供しているとは信じていないのに、小国がファーウェイに同等かそれ以上の基準を課し、自国のネットワークが中国のスパイ活動によって侵害されないことを保証できるとは考えにくい。
