このサイトはCookieを使用しています。 サイトを閲覧し続けることで、Cookieの使用に同意したものとみなされます。 プライバシーポリシーを読む>
ファーウェイは独立した企業であり、お客様のネットワークやサービスの安全な運用をサポートすることに尽力しています。
当社の存在理由は、お客様にサービスを提供することです。これは、自然災害、社会的混乱、サイバー攻撃などの状況に関係なく、安定した、信頼できる、安全なネットワーク運用をサポートすることを意味します。
ファーウェイは、従業員によって完全に所有される民間企業です。政府または第三者が当社の株式を保有したり、事業に介入したり、意思決定に影響を与えたりすることはありません。
当社は公開会社ではありませんが、独立企業であるKPMGが監査した財務諸表を含む年次報告書の発行など、公開会社に関して確立されたさまざまな基準と規範を遵守しています。これは、社外の人々が、ありのままのファーウェイ、ビジネスの整合性、独立性を理解できるようにするためです。
最近、中国の国家情報法について、さまざまな議論が行われています。一部の政治家は、中国の法律によって、政府に代わって企業が情報収集を強制することを政府が許可していると主張しています。
これは断じて真実ではありません。中国政府はこのことについて、はっきりと否定しており、複数の法学の教授や有名な国際法律事務所も中立公正の立場から、このことを否定しています。政府から企業に支援を要請する場合、法律に従う必要があります。通信機器メーカーにバックドアの埋め込みまたは顧客ネットワークの無効化を要請することを国家情報機関に許可するような中国の法律はありません。中国政府が当社のビジネスや製品のセキュリティに干渉することはありません。さらに、いかなる国や組織から、そのようなことを強要するような試みが行われた場合、当社は断固として拒否します。
この点については、当社は以下のとおり、その立場を明らかにしています。当社の独立性、当社製品のセキュリティ、または顧客ネットワークを危険にさらすような立場に置かれた場合は、当社の掲げる原則に違反するくらいであるならば、会社を閉鎖することを選びます。世界中のお客様や政府が望むのであれば、「スパイ行為なし」および「バックドアなし」の条項を含む契約に喜んで署名させていただきます。
過去30年間、ファーウェイは170を超える国と地域で事業を展開し、世界中の30億人以上の人々にサービスを提供してきました。これまでに当社の機器が大規模なネットワーク障害を引き起こしたことはなく、深刻なサイバーセキュリティ侵害を受けたこともありません。ファーウェイがお客様のネットワークまたは機器のセキュリティを危険にさらすような何かしらの行為に及んだという証拠はありません。
New technologies such as cloud computing, artificial intelligence (AI), and the Internet of Things (IoT) will provide new opportunities for society. However, these technologies also present new security challenges. Governments around the world are reviewing the challenges surrounding next-generation mobile communications technology, and we believe governments should view these challenges from a technological perspective. As a world-leading information and communications technology (ICT) infrastructure provider, we believe that future cyber security regulations must encourage collaboration from both industries and governments.
Networks are connected by devices from different vendors, and services are provided by different operators. Without any industry-wide security standards, cyber security challenges may become more frequent. To eliminate the impact of cyber security challenges, governments, enterprises, and industry organizations need to collaborate to ensure end-to-end (E2E) cyber security.
Firstly, we need agreed-upon standards. Governments, enterprises, and industry organizations need to decide upon security standards for all network devices and services. If any network device or service fails to meet these security standards, the entire network’s security can be compromised. 3GPP has been recognized as an international standards organization in the mobile communications field. The members of 3GPP, including Huawei and Ericsson, work together to develop security standards and promote the security of communications networks. Compared with 4G, 5G has stronger encryption algorithms and more flexible authentication mechanisms, and new security standards are being discussed to protect product deployment security, and the security of new services.
Secondly, we need unified security certification standards. Governments and enterprises need to collaborate and develop security certification standards, such as the standards set by Common Criteria (CC), which has become the most recognized and trusted IT product security certification in the world. It is the responsibility of operators and vertical industries to determine the required security certification levels, using previously successful security standards as well as an understanding of each industry’s individual characteristics. It is also their role to ensure that all devices and services meet their expected security certification levels. We must think about how to apply and upgrade the current security certification standards, processes, and methods with concerned stakeholders, and how to build standards, processes, and methods that can be recognized by both governments and customers. Ensuring all stakeholders collaborate in this discussion will ensure that successful, industry-wide standards will be implemented. For example, Korea’s LG U+ requires all 5G devices to be CC EAL 4 certified.
Thirdly, secure manufacturing processes and services are needed. Equipment suppliers, as well as service providers, must improve their cyber security capabilities to ensure that their products comply with security standards and meet their customers’ security certification level. Vendors such as Huawei and Ericsson have designed the security of LTE and 5G equipment and services using recognized security standards, such as 3GPP and CC.
Lastly, third-party security certification mechanisms need to be established to ensure there are minimal cyber security certification issues. Unified third-party security certification mechanisms that involve multiple stakeholders, including governments, equipment vendors, operators, and certification organizations must be established, and all equipment vendors must earn certification. The entire industry should trust these third-party certification organizations, and their independent equipment certifications should be impartial. If there are current scenarios that are not covered by current certification standards, these would need to be changed to satisfy new certification standards. 3GPP is developing the Network Equipment Security Assurance Scheme (NESAS), and the Global System for Mobile Communications Association (GSMA) will review this third-party certification lab’s qualifications, meaning that this third-party certification lab will soon be able to certify NE security.
Cyber security cannot be achieved by unrecognized organizations, and risks cannot be eliminated through isolation. The only way to ensure E2E cyber security is to collaborate our resources and work together to develop high quality cyber security services.
ファーウェイは1999年、自社製品とソリューションのセキュリティを強化するための最初のセキュリティ技術規制を発表し、サイバーセキュリティへの取り組みを開始しました。2011年、当社の創業者兼CEOの任正非(レン・ジェンフェイ)は、この戦略を全面的に支持し、この取り組みをさらに増強・拡大するために、以下のサイバーセキュリティ保証方針を発表しました。
グローバルな大手通信ソリューションプロバイダとして、Huawei Technologies Co. Ltd.(以下「ファーウェイ」という)は、サイバーセキュリティの重要性を十分に認識しており、さまざまな政府およびお客様のセキュリティに関する懸念を理解しています。通信業界と情報技術の絶え間ない進化と発展に伴い、セキュリティの脅威と課題が増大しており、サイバーセキュリティに関する懸念が高まっています。そのため、ファーウェイはこの問題に多大な注意を払い、自社の製品とサービスのセキュリティを向上させるための実行可能で効果的な手段を採用することに長年にわたって取り組んできました。これにより、お客様がセキュリティリスクを軽減および回避できるよう支援し、ファーウェイに対する信用・信頼を築いてきました。ファーウェイは、オープンで、透明性に優れ、目に見えるセキュリティ保証フレームワークの確立が産業チェーンと技術革新の健全で持続可能な発展に資すると信じています。また、それにより人々の間のスムーズで安全なコミュニケーションが促進されます。
以上を踏まえ、ファーウェイは、関連する国や地域の適用法、規制、規格を遵守し、業界のベストプラクティスを参考に、エンドツーエンドのサイバーセキュリティ保証システムを構築し、常に最適化していくことを、企業の重要な戦略とします。このようなシステムには、企業ポリシー、組織構造、ビジネスプロセス、テクノロジー、標準的な慣行といった側面が組み込まれています。ファーウェイは、政府、お客様、パートナーとのパートナーシップを通じ、オープンで透明性の高い方法を使用して、サイバーセキュリティの課題に積極的に取り組んできました。さらに、ファーウェイは、商業的利益への配慮がサイバーセキュリティへのコミットメントよりも優先されることは決してないと保証します。
革新的で高品質の製品とサービスを継続的に提供するには、高度なビジネスプロセスを保証することが必要です。ファーウェイは、高品質の製品とサービスを絶え間なく提供できるように、業界のベストプラクティスに基づいたプロセスベースの組織としてファーウェイを構築するために、1997年からコンサルタントとしてIBMを採用しています。ファーウェイは、自社にビジネスプロセスサポートを提供するために、世界で最も革新的で専門的な組織を採用しました。
サイバーセキュリティに関する法律、政策、規格の要件に対処するために、当社では業界のベストプラクティスを自社の標準プロセスとベースラインに組み込んでいます。このようにして、サイバーセキュリティは、ファーウェイの日常業務の標準的な一部として浸透しています。ファーウェイのエンドツーエンドのサイバーセキュリティ手法は、以下の12の企業プロセスとビジネスモジュールに組み込まれています。
サイバーセキュリティ戦略のガバナンス
ただし、プロセスがあるからといって、それが良いプロセスであることを意味するわけではなく、誰もが実際にプロセスを実行していることを意味するわけでもないということを承知しています。当社の出発点は、これを実現するガバナンスを構築することでしたが、重要なことは、その成功または失敗に対する明確な説明責任を果たすことです。これが可能なのは、組織の最上層部のみであって、取締役会や幹部にとって重要でなければ、従業員にとっても重要ではありません。ファーウェイのサイバーセキュリティのガバナンスは以下のとおりです。
組織的には、ファーウェイのトップレベルのサイバーセキュリティ管理機関であるグローバルサイバーセキュリティおよびユーザープライバシー保護委員会(Global cyber Security and user Privacy protection Committee、GSPC)が、サイバーセキュリティ保証戦略の承認を担当しています。グローバルサイバーセキュリティおよびユーザープライバシー保護責任者(Global cyber Security and user Privacy protection Officer、GSPO)は、GSPCの重要メンバーで、ファーウェイのCEOに直属しています。GSPOが、この戦略を策定し、その実施を管理・監督する役割を担います。実施の一貫性を保つために、このシステムがファーウェイの全部門でグローバルに採用されます。GSPOはまた、政府、お客様、パートナー、従業員を含むすべての利害関係者とファーウェイとの間の効果的なコミュニケーションを促進するよう努めます。
情報通信技術(ICT)は、垂直産業からプラットフォーム産業へと進化しており、さまざまな産業のデジタル変革を支援し、完全に接続されたインテリジェントな世界を創造しています。クラウド、人工知能(AI)、ソフトウェア定義を活用したインフラの提供などの新しいテクノロジートレンドは、信頼性の高いICTインフラストラクチャを必要とし、お客様は、ICT製品に投資する際の基本要件として信頼性を引き続き重視します。信頼性とは、良い結果を生み出すことだけではなく、品質プロセスを保証し、本質的に品質の高い方法で製品を設計することでもあります。信頼性は、プロセスと結果の両方における検証可能な品質から生まれます。
サイバーセキュリティおよびプライバシー保護が、ファーウェイの最優先事項です。ファーウェイは、品質マネジメントシステムのISO9000、システムエンジニアリングおよびソフトウェア開発規格のISO/IEC/IEEE15288、12207を活用した効率的なマネジメントシステムを構築しています。これにより、すべてのお客様に高品質の製品を提供するとともに、従業員は製品の安全性を常に重視し、お客様からの信頼を得ています。
今後、完全に接続された世界を安全に保つために、通信業界にはどのような規格が必要になるでしょうか? ファーウェイは、主流のセキュリティ規格、プロセス仕様ガイド、規制指令、ホワイトペーパー、学術論文など、150を超えるのドキュメントの開発に携わってきました。ファーウェイは、包括的な規格というものは存在せず、むしろさまざまな規格がセキュリティのさまざまな側面を重視していることを発見しました。ファーウェイは、大規模で複雑な製品を設計するための知識だけでなく、大規模な開発、ネットワーク導入、オペレーションおよびメンテナンス(O&M)の経験があります。ファーウェイの信頼性フレームワークは、システムエンジニアリングの共通の知識に基づき、説明可能性、実装可能性、検証可能性、さらには注目すべき業界コンセンサスという4つの原則を用いて定義されます。
図1-1 ファーウェイの信頼性フレームワーク
当社は、開発するすべてのICTインフラストラクチャ製品とソリューションが信頼でき、高品質であるように責任を持って取り組んでいます。会社として取り組む重要な分野は以下のとおりです。
セキュリティ: ファーウェイは、サービスとデータの機密性、整合性、および可用性を保護する機能など、製品の防御機能を強化します。
レジリエンス: これは、システムが攻撃を受けている間、既知の状態を維持し、たとえ劣化した状態になったとしても、攻撃後に迅速に回復する能力です。
プライバシー: プライバシーの保護は規制要件であり、企業としてのファーウェイの価値観の表明でもあります。また、ユーザーは、データの使用方法を適切に制御できる必要があります。情報使用ポリシーは、ユーザーに対して高い透明性を持つ必要があります。ユーザーは、自らのニーズに基づいて、いつ、どのような情報を受け取りたいかを適切に制御できる必要があります。ユーザーの個人情報を完全に保護するには、一連の機能とメカニズムが必要です。
安全性: システム障害は、許容できないリスクを引き起こすものであってはならず、また、直接的にも間接的にも、環境または属性を損なうことにより、いかなる個人の安全にも害を及ぼすものであってはなりません。
信頼性と可用性: 製品のライフサイクル全体にわたって、障害の発生しない長期的な運用を確保する必要があります。予測可能で一貫性のあるサービスを提供するだけでなく、迅速な復旧と自動管理が可能である必要があります。
信頼性は、各製品の開発、実装、イノベーションの最初から全体を通して組み込まれる必要があります。当社は、製品のイノベーションからお客様の前提に至るまで、各製品の整合性と双方向のトレーサビリティを確保し、必要に応じて適切な機密保護メカニズム(アクセス権限の分離、信頼、および動作監視メカニズムなど)を提供し、製品が偽造されたり改ざんされたりしないことを保証する必要があります。また、導入、保守、廃棄のプロセスとツールが機密データを侵害から保護できることも保証する必要があります。信頼性を実現するためには、各分野で信頼性の高いシステム設計、信頼性の高いソフトウェア実装、信頼性の高いデリバリとO&M、製品ライフサイクル管理の変革を実施する必要があります。
過去100年間、世界で最も成功した企業の多くは、変化に適応できなかったために倒産しています。企業が外の世界の変化に順応し続けるには、進化を選択する以外の方法はありません。価値を提供し続けるために、ファーウェイはオープンであり続け、進化し続ける必要があります。当社の取締役会は、今後5年間でソフトウェアエンジニアリングの能力と実践を根本的に強化するために、広範な変革プログラムを開始することを決定しました。プログラムの全体的な責任を負うのは、当社の輪番会長である徐直軍(エリック・シュー)です。このプログラムには、初期予算として20億米ドル(約2,156.2億円)を割り当て、ICTインフラストラクチャ事業の全製品を対象とします。当社の目標は、信頼性が高く、高品質の製品を開発することです。当社のビジョン・ミッションである、あらゆる人、家庭、組織にデジタル化の価値を提供し、すべてがつながったインテリジェントな世界を実現するのは、この方法のみです。