ファーウェイは9日、これまでで最大規模のサイバーセキュリティセンターを開設した。同社の機器やサービスを行き交うデータがスパイ活動に使われているのではないかと疑う人々を納得させるという、これまで失敗してきた取り組みに新たな活力を与えようという挑戦だ。

中国東莞市に新設された 「グローバルサイバーセキュリティおよびプライバシー保護トランスペアレンシーセンター」 は、ファーウェイにとってこの手の施設としては7番目となる施設であり、これまでで最大のものだ。

ファーウェイには中国政府と軍の後ろ盾があると考えている各国政府やセキュリティ専門家たちが同社の技術をどのように受け止めているかについて、ファーウェイの認識は今のところ大きくは変わっていないが、7番目のテストセンターや関連する取り組みがパラダイムを変えるかもしれないという希望を持っている。

ファーウェイのネットワーク機器やソフトウェアは中国のスパイがトラフィックを監視するためのバックドアになっているという見方を同社は一貫して繰り返し否定してきた。しかし、多くの欧米諸国政府は自国内でのファーウェイ製機器の使用を禁止する法令やその他の仕組みを断固として保持している。

こうした障害があるなか、ファーウェイは今も170カ国で事業を継続している。同社はRAN機器の世界最大のサプライヤーであり、約1,500社のネットワーク事業者と取引がある。ファーウェイによると、同社はセキュリティの専門家を3,000人以上抱えており、研究開発費の約5％（昨年は約10億ドル（約1,100億円））を製品のセキュリティ強化に充てているという。

また、合わせて「Product Security Baseline」もリリースしている。同社の製品セキュリティの基準となるフレームワークと管理方法を初めて公開したものだという。

ファーウェイ、7つ目のセキュリティテストセンターを開設

ファーウェイのSVP兼グローバルCSO（最高セキュリティ責任者）、John Suffolk氏が記者ブリーフィングで話したところによると、新しいセンターでは他国に設立した各センターと同様に、クラウドコンピューティング製品、エンタープライズ製品、通信インフラ製品など、すべてのファーウェイ製品を取り扱うという。「新センターでは、そうした特定のハードウェアに適用可能な限り、同じセキュリティベースラインを全製品に適用することを目指しています」と氏は言う。

また、ファーウェイは研究者、顧客、各国政府の規制官を各センターに招き、自社製品のセキュリティ水準をテスト・検証してもらっていると述べている。Suffolk氏によると、英政府の元CIO（最高情報責任者）・CISO（最高情報セキュリティ責任者）である自身を含め、年間数千人がこうしたセンターを訪れているという。

同社によると、各センターは事実上のオリーブの枝（和解の象徴）であり、同社の製品やサービスがどういった形であれセキュリティ上の脅威を可能にするものかどうか、同社の技術を深く掘り下げて独自に判断したいと考えるあらゆる人々に対して進んで扉を開けているのだという。

Suffolk氏は言う。「私たちはこう話しています。誰でも自由に連れてきてください。最高の専門家を連れてきて、サードパーティを連れてきて、自前のツールを持ってきてもよいし、当社のツールを使用するのもよい、好きなだけ滞在してください、と。私たちは喜んでドアの下から食料を押し込んで差し上げますし、好きなだけ飲み物も飲んでください。好きなだけ滞在して当社の製品を検証してください、と」

「コードを触ってあらゆることを確認してください。いわゆる多くの目と手による検証です。見る人が多ければ多いほど、触れる人が多ければ多いほど、真実を見つける可能性が高くなるのですから」と氏は付け加えた。

「サードパーティや顧客がどのようにテストするかを私たちが決めることはできません……（中略）……何をするかは彼ら次第です。何が行われているか、私たちは知ることができないことも多いです」

憤慨と歓迎

ファーウェイはバランスを取ろうとしている。同社が中国政府のための世界的なスパイ組織となっているという主張に憤慨すると同時に、進んでそうした批判者に対し、自らの主張の正しさを独自に証明するための検証手段を無制限に与えているのだ。また、ファーウェイやその技術を信用していない人々に好感を抱かせるために、ちょっとした謙虚さも加えている。

「サイバーセキュリティに関して、あらゆる答えを持っている企業はこの世に存在しません」とSuffolk氏。この考え方はセキュリティ標準についても当てはまる、なぜなら多くの標準については世界的な合意や広範な遵守がなされていないからだ、と氏は付け加えた。

「標準が抱える問題は、標準的なものになっていないことです」と氏は言い、欧州、米国、中国はセキュリティ標準について合意を形成しておらず、これらの国やその他の国で制定されている標準を受け入れることもしていない、と補足した。

「これ以上の標準は必要ありません。あらゆる技術で実現可能であるべき、核となる標準だけに集約する必要があります。このような状況においては、少ないほどよいのです」と氏は言う。

「私たちのグローバルでの目標は、製品の基本的なセキュリティと能力を向上させたのち、管理基準を使ってそうした製品やサービスの実行の仕方を改善することです」とSuffolk氏は言う。氏の補足によると、標準について議論したり、特定の要件について合意を得ようとしたりするのではなく、技術の中核となる活動にもっと注力し、何が良くて何が良くないのかについて広く受け入れられる考え方が必要だという。

「世の中には非常に優れたフレームワークがありますが、問題は、誰かがそれを相手に遵守するよう求めなくてはならず、なお且つ相手が遵守していることを確認できなくてはならないことです」と氏は言う。「世界中にある1,500社の通信事業者を見渡しても、そのようなレベルの詳細を調べている人はほとんどいません。彼らが求めているのはネットワーク設計のアウトプットであって、インプットを求めているのではないのです」

ファーウェイ、セキュリティ標準を取り合わず

セキュリティ標準は有用だが、「救世主ではありません」とSuffolk氏は言う。氏の主張によると、各国政府はそうした目的を実行に移すためのリソースを持っているものの動きが遅く、標準というのは遵守するのが遅くなる仕組みだという。また、二要素認証のようなすぐに取ることができる実際的な手順にもっと重点を置くべきだと付け加えた。

Suffolk氏は新しいセンターの開所式のために準備した演説の中で、ファーウェイはグローバル社会と世界の技術は変曲点にあると考えている、と述べた。「それを妨げるのはセキュリティやプライバシーではありません。私たちの課題はそうではない。進歩のための課題となっているのは、恐怖――未知への恐怖です」

また、「違いに対する恐れもあります。世界は違う。各国は違う。価値観も違う。信念も違う。東と西は違う。その恐怖心が、精神的にも物理的にも障害となるのです」とSuffolk氏は言う。

恐怖心は、ファーウェイの競合や一部の政府にも現れている、と氏は付け加えた。「ファーウェイの製品は十分に良いものではない、設計は十分に良いものではない、検証は十分に良いものではない、と世界に宣言することへの恐れです。あるいは、いくつかの国は自分たちがナンバーワンではないかもしれないと恐れている。もし製品やサービスでナンバーワンになれないのであれば、私なら競合他社の前進を阻む別の方法を考えるでしょう」とSuffolk氏は締めくくった。

https://www.sdxcentral.com/articles/news/huawei-dares-critics-to-prove-security-vulnerabilities/2021/06/