スマートフォンからPC、企業/通信事業者向け製品まで「セキュリティは最優先事項」
ファーウェイ全製品が検査されるセキュリティラボを訪問してきた
2017年07月24日 07時00分更新
中国を拠点にグローバル企業を目指すファーウェイ(Huawei Technologies)にとって、セキュリティと品質に対する取り組みは重要というよりも「必須」の事柄だ。ともすれば政治的な理由からセキュリティが懸念されかねないこともあり、ファーウェイは2011年、それまで英国政府でCIOとCISOを兼務したジョン・サフォーク(John Suffolk)氏をセキュリティ部門のトップに引き抜くなど、セキュリティ対策の強化に取り組んで来た。
しかし、その具体的な“中身”はよく見えない部分も多かった。そこで筆者は今回、ファーウェイの全製品に対するセキュリティチェックを行うサイバーセキュリティセンター「Internal Cyber Security Lab(ICSL)」を訪問した。ICSLの設立は2013年だが、日本のメディアに門戸を開いたのは今回が初めてだという。
ファーウェイの「Internal Cyber Security Lab」入り口。カメラ撮影は一切禁止で、施設内の写真は撮ることができなかった(写真提供:ファーウェイ)
「セキュリティは最優先事項、製品ラインから独立している」
ファーウェイ本社は深圳(しんせん)にあるが、その近くの松山湖にある72平方キロメートルの敷地に、ファーウェイは工場を順次開設している。今回訪問したICSLもそのエリアにある。元々は工場だったところを改造した建物で、スマートフォンなどのコンシューマー向け端末を含め、ネットワーク機器、エンタープライズ向けと、社内のあらゆる製品のセキュリティを一手に引き受けている。
ICSLを紹介してくれたマネージャーのJeff Han(ジェフ・ハン)氏は、セキュリティ部門の「独立性」を強調した。ハン氏は「(ICSLは)独立してセキュリティをチェックしており、製品ラインの制約を受けることはない」「製品のスケジュールを優先させることはない」と断言する。実際に、セキュリティチェックで“No”が出た製品はリリースできないのだという。また、創業者兼CEOのレン・ツェンフェイ(Ren Zhengfei)氏も「サイバーセキュリティは最優先事項であり、自社の商業利益をこれに優先させることはない」と述べている。
組織的に見ると、サフォーク氏が務めるGSPO(グローバル・サイバーセキュリティ&ユーザープライバシー保護責任者)はレン氏の直下にあり、ICSLはサフォーク氏の下にある。さらに、日本をはじめとする主要国に専任のサイバーセキュリティ責任者を設けるというガバナンスを敷いている。これにより、監査、ビジネスプロセス、手順、標準などあらゆる活動に「サイバーセキュリティ戦略を組み込むことができる」とハン氏は説明する。
コンセプト、プラン、開発、検証と開発ライフサイクルにおいてセキュリティが組み込まれているが、最も重要になる検証段階ではICSLのテスト担当がセキュリティ要件に突き合わせたテストを行い、ADCP(Availability Decision Check Point)として、リリースするかどうか決定するためのインデックスを作成する。あまりにも問題が多い場合は、Labは開発チームに送り返して改善するように促すか、“No Go(中止)”を言い渡すことができる。
次期「Mate」や「HUAWEI Pシリーズ」もここでチェック
セキュリティテストは主に、コンプライアンスと攻撃テストの2種類に大別でき、オープンソースツールや社内開発ツールを用いる。
滅多に外部公開しないというICSLの中に入ると、写真撮影は一切禁止。さらにPCや録音機も持って入ることは許されなかった。ネットワーク製品、クラウド製品、プラットフォームツール、開発プラットフォームなど、分野ごとの机が並んでおり、セキュリティ担当者がPCの前で作業をしている。
ちなみに「HUAWEI Pシリーズ」などすべてのスマートフォン端末もここICSLでセキュリティチェックが行われているが、そうしたデバイスはさらに厳密な入室管理がなされた別室でチェックが行われており、一部関係者でなければ入室できないようになっていた(もちろんわれわれも入れなかった)。ソースコードの検査も“トップシークレットゾーン”と呼ばれるエリアで行われている。
ファーウェイでは、ハードウェア製品の品質をバーコードとEMS(Electoronics Manufacturing Service)で徹底管理しているが、ソフトウェアに関してもバージョンを利用したフォワード/リバーストレーサビリティを導入しているという。
このような取り組みの甲斐あって、ハン氏によると、2014年に最も多く見つかった「データ保護」関連の欠陥は、2015年には2番目に、2016年は4番目になるなど改善が見られるという。
セキュリティに対するファーウェイのスタンスについて、ハン氏は「たくさんの目、たくさんの手」だと説明する。2011年に発行したサイバーセキュリティ白書で掲げたセキュリティポリシーの下、複数の層によるチェックに加えて、外部機関や顧客によるセキュリティ評価ができる体制も整えている。実際にICSLを出ると、顧客がサイバーセキュリティ検証に使えるエリアが広がっており、ファーウェイ社員は立ち入れないようになっていた。訪問時には、3部屋あるうちの1つの部屋が使用中で、「スペインのオペレーター(通信事業者)が検証を行うことになっている」とのことだった。
ファーウェイでは毎年、サイバーセキュリティ白書(Cyber Security White Paper)を発行している(画像は2016年版)
セキュリティ人材の確保は「社内育成」が中心
ファーウェイのICSLではおよそ130人が勤務している。サイバーセキュリティ人材は世界的に不足しているが、ファーウェイではどのようにして人材を確保しているのか。ハン氏に尋ねると、立ち上げ当初は中途採用の専門家を多数起用していたが、現在は「社内育成にフォーカスしている」という。製品開発ラインから引き抜くこともあれば、新入社員の社内養成も多い。なお、ICSLでセキュリティ担当者になるためには“ブロンズ”と呼ばれる資格を満たす必要がある。スキルや知識に応じて、“シルバー”“ゴールド”と格上げされていくが、ゴールドになるためには、自ら新しいテスト方法を開発しなければならないという。
それにしても、多くのグローバル企業が外部からセキュリティ人材を確保しようと苦労する中で、そうした人材を社内で育てる余裕があることにまず驚く。さらに育成期間も6カ月間と、決して長くはない。中国中のエリートが入社したがるファーウェイだからこそ、それは可能なのかもしれない。世界の就職人気企業ランキングを発表しているUniversumの最新データでは、中国の学生が就職したい企業として、ファーウェイはエンジニア部門でアリババ(Alibaba)、テンセント(Tencent)を抑えて1位となっている。
実際にハン氏は、現在の課題は人を増やすことではなく「新しいテスト方法を見つけること」だと語る。オープンソースツールなどを使えば、開発チーム自身でもほとんどのチェックはできる。そうなると、ICSLの担当者はこれを上回るセキュリティ欠陥を発見する必要があると考えるからだ。
一方で、グーグル(Google)やマイクロソフト(Microsoft)などが行っている「バグ発見報酬プログラム」(バグバウンティ)については、実施の計画はないと語った。また、AIの利用も現時点ではまだとのことだ。
このようにファーウェイがセキュリティ対策を強化しているのは、かつて米国政府が政治的な背景からファーウェイ(とZTE)のネットワーク製品を導入しないよう、自国のキャリアに推奨したことと関係がある。2社ともに中国企業であり、中でもファーウェイはレン氏が一時期、中国人民解放軍に所属していたことから「中国の軍部や情報部に情報提供するのでは」と疑惑を持たれ、米国下院情報特別委員会が調査を進める事態となった。そして、ファーウェイらに対するネガティブな結論を出したのが2012年10月のことだ。一方、ICSLの立ち上げは、“第三者の立場からのセキュリティ検証を”という英国の顧客による提案を受けてのことであり、直接は関係しないものの、この提案があったのも2012年のことだった。
ハン氏は、ファーウェイはICSLのほかにもセキュリティ白書を発行するなど活発にセキュリティ対策活動を行っており、各種標準化の取り組みにも参加していると強調した。
