このサイトはCookieを使用しています。 サイトを閲覧し続けることで、Cookieの使用に同意したものとみなされます。 プライバシーポリシーを読む>
ファーウェイは独立した企業であり、お客様のネットワークやサービスの安全な運用をサポートすることに尽力しています。
当社の存在理由は、お客様にサービスを提供することです。これは、自然災害、社会的混乱、サイバー攻撃などの状況に関係なく、安定した、信頼できる、安全なネットワーク運用をサポートすることを意味します。
ファーウェイは、従業員によって完全に所有される民間企業です。政府または第三者が当社の株式を保有したり、事業に介入したり、意思決定に影響を与えたりすることはありません。
当社は公開会社ではありませんが、独立企業であるKPMGが監査した財務諸表を含む年次報告書の発行など、公開会社に関して確立されたさまざまな基準と規範を遵守しています。これは、社外の人々が、ありのままのファーウェイ、ビジネスの整合性、独立性を理解できるようにするためです。
最近、中国の国家情報法について、さまざまな議論が行われています。一部の政治家は、中国の法律によって、政府に代わって企業が情報収集を強制することを政府が許可していると主張しています。
これは断じて真実ではありません。中国政府はこのことについて、はっきりと否定しており、複数の法学の教授や有名な国際法律事務所も中立公正の立場から、このことを否定しています。政府から企業に支援を要請する場合、法律に従う必要があります。通信機器メーカーにバックドアの埋め込みまたは顧客ネットワークの無効化を要請することを国家情報機関に許可するような中国の法律はありません。中国政府が当社のビジネスや製品のセキュリティに干渉することはありません。さらに、いかなる国や組織から、そのようなことを強要するような試みが行われた場合、当社は断固として拒否します。
この点については、当社は以下のとおり、その立場を明らかにしています。当社の独立性、当社製品のセキュリティ、または顧客ネットワークを危険にさらすような立場に置かれた場合は、当社の掲げる原則に違反するくらいであるならば、会社を閉鎖することを選びます。世界中のお客様や政府が望むのであれば、「スパイ行為なし」および「バックドアなし」の条項を含む契約に喜んで署名させていただきます。
過去30年間、ファーウェイは170を超える国と地域で事業を展開し、世界中の30億人以上の人々にサービスを提供してきました。これまでに当社の機器が大規模なネットワーク障害を引き起こしたことはなく、深刻なサイバーセキュリティ侵害を受けたこともありません。ファーウェイがお客様のネットワークまたは機器のセキュリティを危険にさらすような何かしらの行為に及んだという証拠はありません。
クラウドコンピューティング、人工知能(AI)、モノのインターネット(IoT)などの新技術は、社会に新たな機会をもたらすでしょう。しかし、これらの技術は新たなセキュリティ上の課題ももたらします。世界各国の政府は次世代移動通信技術をめぐる課題を検討していますが、当社は、政府がこれらの課題を技術的観点から捉えるべきだと考えています。世界をリードする情報通信技術(ICT)インフラプロバイダーとして、将来のサイバーセキュリティ規制は、産業界と政府双方の協力を促すものでなければならないと考えています。
ネットワークは異なるベンダーの機器によって接続され、サービスは異なる事業者によって提供されています。業界全体のセキュリティ標準がなければ、サイバーセキュリティ上の課題がより頻繁に発生する可能性があります。サイバーセキュリティの課題による影響を排除するためには、政府、企業、業界団体が協力してエンドツーエンド(E2E)のサイバーセキュリティを確保する必要があります。
第一に、合意された標準が必要です。政府、企業、業界団体は、すべてのネットワークデバイスとサービスのセキュリティ標準を決定する必要があります。いずれかのネットワークデバイスやサービスがこれらのセキュリティ基準を満たさない場合、ネットワーク全体のセキュリティが損なわれる可能性があります。3GPPは、移動体通信分野の国際標準化団体として認知されています。ファーウェイやエリクソンを含む3GPPのメンバーはセキュリティ標準を開発し、通信ネットワークのセキュリティを促進するために協力しています。4Gと比較して、5Gはより強力な暗号化アルゴリズムとより柔軟な認証メカニズムを持っており、製品展開のセキュリティと新しいサービスのセキュリティを保護するために、新しいセキュリティ標準が議論されています。
第二に、統一されたセキュリティ認証基準が必要です。政府と企業は協力して、世界で最も認知され信頼されているIT製品のセキュリティ認証となっているコモンクライテリア(CC)が定める基準のようなセキュリティ認証基準を策定する必要があります。必要なセキュリティ認証レベルを決定することは、各業界の特性を理解し、過去に成功したセキュリティ標準を利用する事業者と垂直産業の責任です。また、すべての機器やサービスが期待されるセキュリティ認証レベルに適合していることを保証するのも、各業界の役割です。関係する利害関係者とともに、現行のセキュリティ認証基準、プロセス、方法をどのように適用し、どのようにアップグレードしていくか、また、政府と顧客の双方から認められる基準、プロセス、方法をどのように構築していくかについて考えなければなりません。すべての利害関係者がこの議論に協力するようにすることで、業界全体の標準が成功裏に実施されることになるでしょう。例えば、韓国のLG U+は、すべての5GデバイスにCC EAL 4認証を求めています。
第三に、安全な製造プロセスとサービスが必要です。機器サプライヤーだけでなく、サービスプロバイダーも自社製品がセキュリティ標準に準拠し、顧客のセキュリティ認証レベルに適合するよう、サイバーセキュリティ能力を向上させなければなりません。ファーウェイやエリクソンなどのベンダーは、3GPPやCCなどの認知されたセキュリティ標準を使用して、LTEと5Gの機器とサービスのセキュリティを設計しています。
最後に、サイバーセキュリティ認証の問題を最小限に抑えるために、第三者によるセキュリティ認証メカニズムを確立する必要があります。政府、機器ベンダー、事業者、認証機関を含む複数の利害関係者が関与する統一的な第三者セキュリティ認証メカニズムを確立し、すべての機器ベンダーが認証を取得しなければならなりません。業界全体は、これらの第三者認証機関を信頼すべきであり、その独立した機器認証は公平であるべきです。現在の認証基準でカバーされていないシナリオがある場合は、新しい認証基準を満たすように変更する必要があります。3GPPはネットワーク機器セキュリティ保証構想(Network Equipment Security Assurance Scheme、NESAS)を開発中であり、GSMA(Global System for Mobile Communications Association)はこの第三者認証機関の資格を審査する予定であるため、この第三者認証機関は間もなくNEセキュリティを認証できるようになります。
サイバーセキュリティは認知されていない組織では実現できず、隔離によってリスクを排除することもできません。E2Eのサイバーセキュリティを確保する唯一の方法は、リソースを連携させ、協力して高品質のサイバーセキュリティサービスを開発することです。
ファーウェイは1999年、自社製品とソリューションのセキュリティを強化するための最初のセキュリティ技術規制を発表し、サイバーセキュリティへの取り組みを開始しました。2011年、当社の創業者兼CEOの任正非(レン・ジェンフェイ)は、この戦略を全面的に支持し、この取り組みをさらに増強・拡大するために、以下のサイバーセキュリティ保証方針を発表しました。
グローバルな大手通信ソリューションプロバイダとして、Huawei Technologies Co. Ltd.(以下「ファーウェイ」という)は、サイバーセキュリティの重要性を十分に認識しており、さまざまな政府およびお客様のセキュリティに関する懸念を理解しています。通信業界と情報技術の絶え間ない進化と発展に伴い、セキュリティの脅威と課題が増大しており、サイバーセキュリティに関する懸念が高まっています。そのため、ファーウェイはこの問題に多大な注意を払い、自社の製品とサービスのセキュリティを向上させるための実行可能で効果的な手段を採用することに長年にわたって取り組んできました。これにより、お客様がセキュリティリスクを軽減および回避できるよう支援し、ファーウェイに対する信用・信頼を築いてきました。ファーウェイは、オープンで、透明性に優れ、目に見えるセキュリティ保証フレームワークの確立が産業チェーンと技術革新の健全で持続可能な発展に資すると信じています。また、それにより人々の間のスムーズで安全なコミュニケーションが促進されます。
以上を踏まえ、ファーウェイは、関連する国や地域の適用法、規制、規格を遵守し、業界のベストプラクティスを参考に、エンドツーエンドのサイバーセキュリティ保証システムを構築し、常に最適化していくことを、企業の重要な戦略とします。このようなシステムには、企業ポリシー、組織構造、ビジネスプロセス、テクノロジー、標準的な慣行といった側面が組み込まれています。ファーウェイは、政府、お客様、パートナーとのパートナーシップを通じ、オープンで透明性の高い方法を使用して、サイバーセキュリティの課題に積極的に取り組んできました。さらに、ファーウェイは、商業的利益への配慮がサイバーセキュリティへのコミットメントよりも優先されることは決してないと保証します。
革新的で高品質の製品とサービスを継続的に提供するには、高度なビジネスプロセスを保証することが必要です。ファーウェイは、高品質の製品とサービスを絶え間なく提供できるように、業界のベストプラクティスに基づいたプロセスベースの組織としてファーウェイを構築するために、1997年からコンサルタントとしてIBMを採用しています。ファーウェイは、自社にビジネスプロセスサポートを提供するために、世界で最も革新的で専門的な組織を採用しました。
サイバーセキュリティに関する法律、政策、規格の要件に対処するために、当社では業界のベストプラクティスを自社の標準プロセスとベースラインに組み込んでいます。このようにして、サイバーセキュリティは、ファーウェイの日常業務の標準的な一部として浸透しています。ファーウェイのエンドツーエンドのサイバーセキュリティ手法は、以下の12の企業プロセスとビジネスモジュールに組み込まれています。
サイバーセキュリティ戦略のガバナンス
ただし、プロセスがあるからといって、それが良いプロセスであることを意味するわけではなく、誰もが実際にプロセスを実行していることを意味するわけでもないということを承知しています。当社の出発点は、これを実現するガバナンスを構築することでしたが、重要なことは、その成功または失敗に対する明確な説明責任を果たすことです。これが可能なのは、組織の最上層部のみであって、取締役会や幹部にとって重要でなければ、従業員にとっても重要ではありません。ファーウェイのサイバーセキュリティのガバナンスは以下のとおりです。
組織的には、ファーウェイのトップレベルのサイバーセキュリティ管理機関であるグローバルサイバーセキュリティおよびユーザープライバシー保護委員会(Global cyber Security and user Privacy protection Committee、GSPC)が、サイバーセキュリティ保証戦略の承認を担当しています。グローバルサイバーセキュリティおよびユーザープライバシー保護責任者(Global cyber Security and user Privacy protection Officer、GSPO)は、GSPCの重要メンバーで、ファーウェイのCEOに直属しています。GSPOが、この戦略を策定し、その実施を管理・監督する役割を担います。実施の一貫性を保つために、このシステムがファーウェイの全部門でグローバルに採用されます。GSPOはまた、政府、お客様、パートナー、従業員を含むすべての利害関係者とファーウェイとの間の効果的なコミュニケーションを促進するよう努めます。
情報通信技術(ICT)は、垂直産業からプラットフォーム産業へと進化しており、さまざまな産業のデジタル変革を支援し、完全に接続されたインテリジェントな世界を創造しています。クラウド、人工知能(AI)、ソフトウェア定義を活用したインフラの提供などの新しいテクノロジートレンドは、信頼性の高いICTインフラストラクチャを必要とし、お客様は、ICT製品に投資する際の基本要件として信頼性を引き続き重視します。信頼性とは、良い結果を生み出すことだけではなく、品質プロセスを保証し、本質的に品質の高い方法で製品を設計することでもあります。信頼性は、プロセスと結果の両方における検証可能な品質から生まれます。
サイバーセキュリティおよびプライバシー保護が、ファーウェイの最優先事項です。ファーウェイは、品質マネジメントシステムのISO9000、システムエンジニアリングおよびソフトウェア開発規格のISO/IEC/IEEE15288、12207を活用した効率的なマネジメントシステムを構築しています。これにより、すべてのお客様に高品質の製品を提供するとともに、従業員は製品の安全性を常に重視し、お客様からの信頼を得ています。
今後、完全に接続された世界を安全に保つために、通信業界にはどのような規格が必要になるでしょうか? ファーウェイは、主流のセキュリティ規格、プロセス仕様ガイド、規制指令、ホワイトペーパー、学術論文など、150を超えるのドキュメントの開発に携わってきました。ファーウェイは、包括的な規格というものは存在せず、むしろさまざまな規格がセキュリティのさまざまな側面を重視していることを発見しました。ファーウェイは、大規模で複雑な製品を設計するための知識だけでなく、大規模な開発、ネットワーク導入、オペレーションおよびメンテナンス(O&M)の経験があります。ファーウェイの信頼性フレームワークは、システムエンジニアリングの共通の知識に基づき、説明可能性、実装可能性、検証可能性、さらには注目すべき業界コンセンサスという4つの原則を用いて定義されます。
図1-1 ファーウェイの信頼性フレームワーク
当社は、開発するすべてのICTインフラストラクチャ製品とソリューションが信頼でき、高品質であるように責任を持って取り組んでいます。会社として取り組む重要な分野は以下のとおりです。
セキュリティ: ファーウェイは、サービスとデータの機密性、整合性、および可用性を保護する機能など、製品の防御機能を強化します。
レジリエンス: これは、システムが攻撃を受けている間、既知の状態を維持し、たとえ劣化した状態になったとしても、攻撃後に迅速に回復する能力です。
プライバシー: プライバシーの保護は規制要件であり、企業としてのファーウェイの価値観の表明でもあります。また、ユーザーは、データの使用方法を適切に制御できる必要があります。情報使用ポリシーは、ユーザーに対して高い透明性を持つ必要があります。ユーザーは、自らのニーズに基づいて、いつ、どのような情報を受け取りたいかを適切に制御できる必要があります。ユーザーの個人情報を完全に保護するには、一連の機能とメカニズムが必要です。
安全性: システム障害は、許容できないリスクを引き起こすものであってはならず、また、直接的にも間接的にも、環境または属性を損なうことにより、いかなる個人の安全にも害を及ぼすものであってはなりません。
信頼性と可用性: 製品のライフサイクル全体にわたって、障害の発生しない長期的な運用を確保する必要があります。予測可能で一貫性のあるサービスを提供するだけでなく、迅速な復旧と自動管理が可能である必要があります。
信頼性は、各製品の開発、実装、イノベーションの最初から全体を通して組み込まれる必要があります。当社は、製品のイノベーションからお客様の前提に至るまで、各製品の整合性と双方向のトレーサビリティを確保し、必要に応じて適切な機密保護メカニズム(アクセス権限の分離、信頼、および動作監視メカニズムなど)を提供し、製品が偽造されたり改ざんされたりしないことを保証する必要があります。また、導入、保守、廃棄のプロセスとツールが機密データを侵害から保護できることも保証する必要があります。信頼性を実現するためには、各分野で信頼性の高いシステム設計、信頼性の高いソフトウェア実装、信頼性の高いデリバリとO&M、製品ライフサイクル管理の変革を実施する必要があります。
過去100年間、世界で最も成功した企業の多くは、変化に適応できなかったために倒産しています。企業が外の世界の変化に順応し続けるには、進化を選択する以外の方法はありません。価値を提供し続けるために、ファーウェイはオープンであり続け、進化し続ける必要があります。当社の取締役会は、今後5年間でソフトウェアエンジニアリングの能力と実践を根本的に強化するために、広範な変革プログラムを開始することを決定しました。プログラムの全体的な責任を負うのは、当社の輪番会長である徐直軍(エリック・シュー)です。このプログラムには、初期予算として20億米ドル(約2,156.2億円)を割り当て、ICTインフラストラクチャ事業の全製品を対象とします。当社の目標は、信頼性が高く、高品質の製品を開発することです。当社のビジョン・ミッションである、あらゆる人、家庭、組織にデジタル化の価値を提供し、すべてがつながったインテリジェントな世界を実現するのは、この方法のみです。