MOVEit リソースセンター

企業は、自社のネットワークにファーウェイ製品が接続することについて心配する必要があるでしょうか、それとも世界のIT環境全体に衝撃を与えるほど騒がれているのは政治的な策略に過ぎないのでしょうか？このブログで少し議論したいと思います。

筆者の立場：私は香港/中国を拠点としていますが、消費者（ブロードバンドルーターとハブ）であること以外には、ファーウェイとの関連は何もありません。私の観察は、長年にわたって集められた技術的な、セキュリティとプロセスに関する知識に基づいています。

これを書いている時点では、ファーウェイ製品に関するセキュリティ問題の具体的な証拠はありません。世界中のセキュリティ会社やセキュリティ研究者が探そうとしているにも関わらず、バックドアやその他の悪用による情報の盗難や意図的なネットワークセキュリティの侵害を検出できていません。

メディアの喧騒（私は個人的には「フェイクニュース」と見なしています）にもかかわらず、ファーウェイは世界第2位のスマートフォンメーカーです。さらに、ホームページを見ると、ファーウェイはコンシューマー向け製品だけでなく、様々な企業向け製品も提供しています。通信事業者を含む国際的な顧客を持ち、複数国で国内ネットワーク契約も締結し、種々のレベルの通信インフラストラクチャ上で活動しています。研究開発にも多額の投資をしており、競合他社より多くの5G特許を保有しています。

ファーウェイが十分な専門知識を有していることには疑いがありません。それを踏まえてアメリカと中国との間の現在の貿易戦争を考えれば、なぜ今禁止の話が持ち上がるのか疑念は起こりませんか？私には怪しく思えます。米国大統領が将来の貿易協議でファーウェイと交渉の余地があると述べているからなおさらです。国家安全保障への脅威が本当にあったとしたら、交渉の余地などあるでしょうか？

大切なことは、政治的なことに振り回されるのをやめ、私生活で法的措置をすると脅迫まがいのことをする人の態度ではなく、自分自身の必要に基づいて製品の選択を行うことです。

セキュリティ

ソフトウェアであれハードウェアであれ、100％のセキュリティは存在しません。メーカーが定期的なセキュリティアップデート、パッチ、およびアップグレードをリリースするのはこのためです。製品の発売時期は、開発側の準備状況よりも市場の動向が重視されて決まることが多く、特にいろいろなオペレーティングシステム上で、多種多様なユーザーが使用する機器を、発売前にあらゆる組み合わせを含めてすべて確認することは技術的に不可能です。Windows の新しいリリースを、事前に、すべてのマザーボードとすべてのグラフィックカードで、インストールされているソフトウェアを含めて、周辺機器と接続されているハードウェアの組み合わせも考慮して、あらゆる場合をテストすることは可能でしょうか？それが不可能なので、継続的な更新を行って対処するしかありません。

エクスプロイトと脆弱性が特定されると、それらを対処するためのパッチがリリースされます。エクスプロイトや脆弱性は、社内の部門、ユーザー、セキュリティ研究者などが発見し、特定します。ファーウェイでも事情は同じで、過去2年間に Android のすべての脆弱性の12％以上を特定したセキュリティチームと提携して、最大100万人民元（ブログ掲載時の交換レートで約1500万円）までの脆弱性発見賞金プログラムも始めました。オープンソースの Android ベースのファーウェイ独自のOSは安全性が低いとの主張は無意味です。いずれにせよ、市場に Google や Apple と競合する会社が出てきたということは健全な市場のためには良いことです。

価格

ファーウェイの価格設定は、他社よりはるかに競争力のあるものですが、ビルドやコンポーネントの品質が劣るというわけではありません。ビジネス用または個人用のスマートフォンを選択する際には、価格を考慮するのは当然でしょう。

政府からの助成金は、ファーウェイに限ったことではありません。国の名前と政府助成金、補助金などで検索するといろいろな会社が見つかるはずです。

インフラストラクチャとデータの保護

ファーウェイ（または他の中国の製造元）の製品を購入することが、組織の全体的なセキュリティ体制に影響することはほとんどありません。セキュリティはすべてに優先され、あらゆる段階でデータとネットワークを保護するために必要なステップがあります。保存されたデータとファイル転送アクティビティは、エンドツーエンド暗号化で保護する必要があり、ファイアウォールなどのセキュリティ用ハードウェアや ネットワーク監視ツールなどのソフトウェアでセキュリティを強化する必要があります。ネットワーク監視ツールは、データ侵害の防止やネットワーク上の疑わしいアクティビティの検出に役立ちます。

もしモバイルデバイスについて心配があるのであれば、認可ベースのモバイル管理ソリューションを検討してみてしてください。個人所有デバイスを使用許可することにした場合は、職種や責任に応じてネットワークへのアクセス権を割り当てます。会社で推奨するモバイルデバイスのリストを作成し、Android/iOS の特定バージョンなどを禁止することもできます。いろいろな対処が可能です。セキュリティプロセスが標準以下でない限り、スマートフォンがネットワークセキュリティを危険にさらすことはできません。内部ユーザーが（何時間ものセキュリティ意識向上トレーニングを行ったとしても）ランサムウェアやフィッシング攻撃などの被害に遭ってしまうことでセキュリティ上のリスクが高まる可能性の方が大きい、というのが実情です。

ファーウェイ製品を検討するのであれば、現在のセンセーショナルな騒ぎに惑わされないようにしてください。最悪の事態が発生して、禁止が全面的に実施され、Android のそのバージョンが Google サービスを受けられなくなったとしても、ギャップを埋めることができる別のサービス提供者が存在します。お察しの通り、Baidu ですが。Google の信奉者なら、新しいスマートフォンを購入する前に、しばらく様子を見た方がいいかもしれません。

その間に、世界最大の電気通信会社の1つとの取引を拒むことを余儀なくされる部品メーカーのことを考えてみてください。提示したい論点は、ナチスに協力した会社でさえ、不正行為の証拠もなくこのレベルのペナルティーを科されたことはないという点です。