このサイトはCookieを使用しています。 サイトを閲覧し続けることで、Cookieの使用に同意したものとみなされます。 プライバシーポリシーを読む>

コーポレート 日本語 (言語切替)
コーポレート
会社紹介、ニュース&展示会の活動など
コンシューマー向け製品
携帯電話、PC、タブレット、ウェアラブルなどの個人用および家庭用製品
法人向け製品
企業ユーザー向け製品、ソリューション、サービス
通信事業者向け製品
通信機器、ソリューションおよびサービス
Huawei Cloud
ファーウェイクラウドサービスの製品およびソリューション

国または地域を選んでください

サイバー・セキュリティーに対するファーウェイの取り組み

情報通信技術の飛躍的発展を背景に、サイバー・セキュリティーは世界中で喫緊の課題としてその重要性を増しています。

サイバー・セキュリティーへのアプローチは、当初はネットワークとデータの保護を目的としていましたが、この10年でサイバー犯罪からの防衛戦へと発展しました。テクノロジーが政府・企業の中枢を担う業務に活かされ、私たちの日常生活に深く浸透していけばいくほど、サイバー犯罪による潜在的なリスクが大きくなっています。同時に、サイバー・スペースへの接続性が向上し、よりアクセスしやすくなったことで、サイバー犯罪の手段と機会の多様化が進み、その危険性が高まっています。

また、電子機器やソフトウェアの設計・開発・製造にはグローバルなサプライチェーンの存在が不可欠ですが、サプライチェーンの国際化がセキュリティーにおける脅威をもたらすという指摘もあります。

ファーウェイは、世界140か国以上で事業を展開し、世界総人口の3分の1をつなぐグローバル企業として、この重要な課題に積極的に取り組んでいます。お客様のセキュリティー上のニーズを上まわる信頼性の高いサービスや製品を提供することで、ファーウェイはサイバー・セキュリティーにおいて主導的役割を担うことを目指しています。

2012年9月、ファーウェイは当社のGCSO(Global Cyber Security Officer : グローバル・サイバー・セキュリティー責任者)ジョン・サフォーク(John Suffolk)が執筆した提言レポート『サイバー・セキュリティーに対するファーウェイの視点と取り組み:21世紀の通信技術とセキュリティー――その現状と課題』を発表しました。今回のHuaWaveでは、同レポートの内容をもとにサイバー・セキュリティーに対するファーウェイの取り組みについてご紹介します。

企業方針としてのサイバー・セキュリティー

2011年4月、ファーウェイは『グローバル・サイバー・セキュリティー保証システムの確立についての声明』を発表しました。当社のCEO任正非(Ren Zhengfei)によるこの声明は、サイバー・セキュリティーが当社にとって戦略的に重要であることを強調しています。

当社はサイバー・セキュリティー管理の最高組織としてGCSC(Global Cyber Security Committee:グローバル・サイバー・セキュリティー委員会)を設置しています。この委員会には取締役会の主要メンバーと、後述するGPO(Global Process Owner:グローバル・プロセス所有者)が参加しています。同委員会は、サイバー・セキュリティーに関連した業務プロセスの不具合やリソースの問題が発生した際、独立して変更の決定を下せる権限を有しています。

また、2011年10月には元イギリス政府最高情報責任者・最高情報セキュリティー責任者のジョン・サフォークをGCSOに迎えました。GCSOはCEOに直属する職位として、サイバー・セキュリティー保証システムの戦略を策定し、同システムを管理・監督する責務を負っています。

プロセス・ベースの組織づくりと内部統制

革新的で高品質な製品・サービスを提供しつづけるためには、世界規模で一貫して展開できる標準化されたプロセスが不可欠です。ファーウェイは1997年以来、世界的な実績のある著名コンサルティング企業との協業のもと、世界標準に則ったプロセス・ベースの組織づくりに取り組んできました。プロセス化と情報技術についてはIBM、顧客関係管理についてはアクセンチュア、人事についてはヘイ・グループ、財務についてはプライスウォーターハウスクーパーズにコンサルティングを依頼し、外部監査機関にはKPMGを採用しています。

サイバー・セキュリティー上の要求事項を満たすために、当社はすべてのプロセス、基準計画、方針、標準に、必要なベスト・プラクティスを組み込んでいます。ファーウェイではサイバー・セキュリティーを後付けの方策とするのではなく、日常業務に統合しており、これは当社のDNAの一部です。

さらに、こうしたプロセスを常に改善し、徹底するため、各プロセスにKCP(Key Control Point:主要管理項目)とGPOを設定しています。GPOは、経営環境やリスクの影響度を考慮しながら、サイバー・セキュリティー上の要求事項がプロセス、方針、標準に適切な形で組み込まれ、有効に実施されるよう保証する責任を果たしています。また、各子会社および事業部門に適用されるグローバル・プロセス管理マニュアルと職務分担表も策定されます。プロセスの実施とその有効性については、社内の監査役がKCPとグローバル・プロセス管理マニュアルを用いて判定し、さらに外部監査や第三者評価による検証も行います。

オープンで信頼性の高い開発プロセス

こうした内部統制システムの確立に加え、お客様やさまざまな分野の専門家、各国政府からの監視や評価に対してオープンであることも重要な要素です。ファーウェイが140を超える国々で事業を行い、当社のソリューションが世界トップ50の通信事業者のうち45社、全世界では310の通信事業者に採用されているという実績が、当社に対するお客様の信頼を物語っています。ファーウェイは統合開発プロセスに基づいて、学習の成果や外部からの評価を次のプロセスに反映させ、良好な循環を維持しています。

開発プロセスにおける具体的な改善の取り組みとしては、追跡性の確保が挙げられます。世界的な技術ベンダーの多くは、多数のサードパーティーからソフトウェア・コンポーネントのライセンスを受けて、それらを自社開発のコンピューター・コードの中に組み込んでいます。1つのソフトウェアが、複数の国で複数のチームによって開発されることもあります。そうした場合にも、セキュリティー問題が生じたり脆弱性が発見されたりした際に、開発プロセスを遡り、どの製品にそのコンポーネントが組み込まれているかを正確に特定できなければなりません。ファーウェイでは、お客様にいただいた要求事項から、作成されたコンピューター・コードまでの全経路を追跡できるよう、社内システムおよびプロセスを継続的に強化しています。

また、研究開発においては職務の分離を徹底しています。ソフトウェア開発者は最終的なテスト結果やリリースを承認できないようになっています。独立した厳格なレビューとサインオフのプロセスが設けられているため、ソフトウェア開発者が自分自身で設計したソフトウェアの実装を許可することはできません。サインオフされると、ソフトウェアはサポート・ウェブサイトに自動的にアップロードされて、製造現場あるいはお客様の拠点でダウンロードする準備が整います。

標準化への貢献

サイバー・セキュリティー問題の解決は業界共通の課題です。関係者すべてが一丸となり、国際法、標準、方針、ベスト・プラクティスの策定や実施に積極的に協力しあうことが重要です。ファーウェイは、さまざまなフォーラムや会議に参加、協賛し、国際的なセキュリティー標準化活動にも大きく貢献しています。

3GPPに対しては、セキュリティーに関する提案を毎年多数提出しています。また、主要な通信事業者やベンダーの協力のもと、HeNB(Home eNode B)セキュリティー標準化の策定を主導し、M2M(Machine To Machine:マシン・ツー・マシン)やPWS(Public Warning System:公衆警報システム)のセキュリティー研究を推進しています。

IETFでは、IPsec(Internet Protocol Security)、Karp(Keying and Authentication for Routing Protocols)、syslog、OSPF(Open Shortest Path First)、MPLS(Multiprotocol Label Switching)、Hokey(Hand over Keying)、IPv6など、セキュリティー関連の問題に対する各種作業部会に率先して参加しています。

また、仮想ネットワーク・セキュリティーやアンチスパムに関する標準化にも貢献するほか、IEEE(Institute of Electrical and Electronics Engineers)、OMA(Open Mobile Alliance)、UPnP(Universal Plug and Play)フォーラム、WiFiアライアンスなどのセキュリティー関連標準化活動にも参加しています。

クラウド・コンピューティングについては、仮想プラットフォーム・セキュリティー、仮想ネットワーク防衛、クラウド上のデータ保護などに関する技術や製品の開発で業界を牽引し、包括的なセキュリティーの構築を目指しています。ファーウェイは、CSA(Cloud Security Alliance)のISC(International Standard Council:国際規格評議会)の中核メンバーとして渉外係を務め、日中韓セキュリティー・ワークショップおよびCCSA(China Communications Standards Association:中国通信標準化協会)にCSAの代表として参加し、クラウド・セキュリティー標準化の推進と普及に貢献しています。

さらに当社は、APWG(Anti-Phishing Working Group)、CNCERT/CC(Computer Emergency Response Technical Team/Coordination Center of China)、オペラ・ソフトウェア、CNNIC(China Internet Network Information Center)、APAC(Anti-Phishing Alliance of China)、ウイルス対策ソフトウェア・プロバイダーのAVG、インターポール(国際刑事警察機構)、IWF(Internet Watch Foundation:インターネット監視財団)などの組織と密接な協力関係を築き、セキュリティー能力に関する情報共有を進めています。

グローバル企業としての責務

ファーウェイは、従業員持株制度による完全な民間企業として事業の独立および政治的な独立を維持しています。中国に本社を置く世界規模の企業として、当社はサイバー・セキュリティー保証において常に一歩先を行く必要があること、そしてこれまで築きあげてきた信頼・安心の継続と発展が非常に重要であることを認識しています。ファーウェイは、特定の国家や企業、個人に関連する機密情報を取得する意図を持つ活動を支援、容認、実行することは決してありません。また、当社の技術が違法な目的に使用されることを知りながら許容することも絶対にありません。

ファーウェイの独立経営を示す一例として、サプライヤーの多様化が挙げられます。ファーウェイの製品に使用されるコンポーネントの70%は、中国以外のサプライヤーから供給されています。最大の供給元は米国で、コンポーネントの32%が同国から供給されており、次いで日本が世界第2位の部品調達先となっています。欧州からも全体で10%を調達しています。

人材の面でも、当社が事業活動を行っている140以上の国々で平均して72%の従業員が現地採用となっており、多様性の確保に努めています。

また、ファーウェイは事業を営むすべての地域で、適用されるあらゆる法規制の遵守に全力で取り組んでおり、国際制裁や地域法が求めるところに従って適切な事業運営を維持しています。

「多くの目」「多くの手」

ファーウェイでは、自社事業のオープン性・透明性を高めるべく、「多くの目」「多くの手」というアプローチを採用しています。ファーウェイは、自社を含めたすべての技術ベンダーに対する公平かつ非差別的な監査・調査・検査を積極的に奨励しています。そうすることで、企業の理念・方針・ルールを再考し、パフォーマンス能力や、製品の品質と安全性を高めることができるからです。現在、顧客企業や政府に対し、ファーウェイ製品の検証を包括的に行う環境を提供しています。

ファーウェイは、グローバル規模の「サイバー・セキュリティー諮問委員会」の設立に向けて、政府、通信事業者、通信業界の専門家と積極的に意見を交換し、当社のサイバー・セキュリティー環境構築についての説明に努めています。

また、事業から独立した「サイバー・セキュリティー検証センター」を設立しており、製品のセキュリティーに関する独自検査を実施しているほか、製品品質やセキュリティー能力を詳細に記した検証報告書を顧客向けに公開しています。さらに、ファーウェイ製品のセキュリティーを自身で検証することができるよう、センターを当社の顧客や政府に向けて開放しています。

サイバー・セキュリティーは社会のあらゆる領域にさまざまなレベルで存在する問題であり、地理的、政治的な隔たりやビジネス上の競争関係を超え、官民が一体となって目標と責任を共有し、取り組んでいく必要があります。ファーウェイは今後も各国政府や同業他社と協力しあい、国際的なサイバー・セキュリティー対策の推進に貢献していきます。