協力してE2Eサイバーセキュリティを確保
クラウドコンピューティング、人工知能(AI)、モノのインターネット(IoT)などの新技術は、社会に新たな機会をもたらすでしょう。しかし、これらの技術は新たなセキュリティ上の課題ももたらします。世界各国の政府は次世代移動通信技術をめぐる課題を検討していますが、当社は、政府がこれらの課題を技術的観点から捉えるべきだと考えています。世界をリードする情報通信技術(ICT)インフラプロバイダーとして、将来のサイバーセキュリティ規制は、産業界と政府双方の協力を促すものでなければならないと考えています。
ネットワークは異なるベンダーの機器によって接続され、サービスは異なる事業者によって提供されています。業界全体のセキュリティ標準がなければ、サイバーセキュリティ上の課題がより頻繁に発生する可能性があります。サイバーセキュリティの課題による影響を排除するためには、政府、企業、業界団体が協力してエンドツーエンド(E2E)のサイバーセキュリティを確保する必要があります。
第一に、合意された標準が必要です。政府、企業、業界団体は、すべてのネットワークデバイスとサービスのセキュリティ標準を決定する必要があります。いずれかのネットワークデバイスやサービスがこれらのセキュリティ基準を満たさない場合、ネットワーク全体のセキュリティが損なわれる可能性があります。3GPPは、移動体通信分野の国際標準化団体として認知されています。ファーウェイやエリクソンを含む3GPPのメンバーはセキュリティ標準を開発し、通信ネットワークのセキュリティを促進するために協力しています。4Gと比較して、5Gはより強力な暗号化アルゴリズムとより柔軟な認証メカニズムを持っており、製品展開のセキュリティと新しいサービスのセキュリティを保護するために、新しいセキュリティ標準が議論されています。
第二に、統一されたセキュリティ認証基準が必要です。政府と企業は協力して、世界で最も認知され信頼されているIT製品のセキュリティ認証となっているコモンクライテリア(CC)が定める基準のようなセキュリティ認証基準を策定する必要があります。必要なセキュリティ認証レベルを決定することは、各業界の特性を理解し、過去に成功したセキュリティ標準を利用する事業者と垂直産業の責任です。また、すべての機器やサービスが期待されるセキュリティ認証レベルに適合していることを保証するのも、各業界の役割です。関係する利害関係者とともに、現行のセキュリティ認証基準、プロセス、方法をどのように適用し、どのようにアップグレードしていくか、また、政府と顧客の双方から認められる基準、プロセス、方法をどのように構築していくかについて考えなければなりません。すべての利害関係者がこの議論に協力するようにすることで、業界全体の標準が成功裏に実施されることになるでしょう。例えば、韓国のLG U+は、すべての5GデバイスにCC EAL 4認証を求めています。
第三に、安全な製造プロセスとサービスが必要です。機器サプライヤーだけでなく、サービスプロバイダーも自社製品がセキュリティ標準に準拠し、顧客のセキュリティ認証レベルに適合するよう、サイバーセキュリティ能力を向上させなければなりません。ファーウェイやエリクソンなどのベンダーは、3GPPやCCなどの認知されたセキュリティ標準を使用して、LTEと5Gの機器とサービスのセキュリティを設計しています。
最後に、サイバーセキュリティ認証の問題を最小限に抑えるために、第三者によるセキュリティ認証メカニズムを確立する必要があります。政府、機器ベンダー、事業者、認証機関を含む複数の利害関係者が関与する統一的な第三者セキュリティ認証メカニズムを確立し、すべての機器ベンダーが認証を取得しなければならなりません。業界全体は、これらの第三者認証機関を信頼すべきであり、その独立した機器認証は公平であるべきです。現在の認証基準でカバーされていないシナリオがある場合は、新しい認証基準を満たすように変更する必要があります。3GPPはネットワーク機器セキュリティ保証構想(Network Equipment Security Assurance Scheme、NESAS)を開発中であり、GSMA(Global System for Mobile Communications Association)はこの第三者認証機関の資格を審査する予定であるため、この第三者認証機関は間もなくNEセキュリティを認証できるようになります。
サイバーセキュリティは認知されていない組織では実現できず、隔離によってリスクを排除することもできません。E2Eのサイバーセキュリティを確保する唯一の方法は、リソースを連携させ、協力して高品質のサイバーセキュリティサービスを開発することです。
