　12月頭、Huawei（ファーウェイ）の製品に「余計なもの」が入っているという報道を耳にし、多くの人が不安を抱いたのではないでしょうか。米中貿易摩擦が激化する中、米国政府が同盟国に対してファーウェイやZTEといった中国メーカー製の通信機器を利用しないよう求めた報道も相まって、懸念は高まるばかりです。

連載：ITの過去から紡ぐIoTセキュリティ

　家電製品やクルマ、センサーを組み込んだ建物そのものなど、あらゆるモノがネットにつながり、互いにデータをやりとりするIoT時代が本格的に到来しようとしています。それ自体は歓迎すべきことですが、IoT機器やシステムにおける基本的なセキュリティ対策の不備が原因となって、思いもよらぬリスクが浮上しているのも事実です。

　この連載ではインターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界に生かすという観点で、対策のヒントを紹介していきたいと思います。

　EE Timesは、少なくともファーウェイ製スマートフォンについては、分解した結果「余計なもの」は見つからなかったとするレポートを公開しました。また当のファーウェイ側も、まっこうから報道に反論しています。

ファーウェイは「余計なものが見つかった」という報道に反論＝同社のWebサイトより

　正直筆者には、この問題が事実なのか、そうでないのかは分かりません。ただ1つはっきりしているのは、この問題によって特定のベンダーや製品に対する疑念が膨らんでいることです。残念ながらわれわれは、そうした疑念とどこかで折り合いをつけながら、組み込み機器やIoTデバイス、インターネットを使い続けるしかないでしょう。

　なぜなら、グローバル化が進んだ今、全て国産の機器やサービスばかりでニーズを満たすのは難しいのが実情だからです。多くのメーカーは熾烈（しれつ）なコスト競争にさらされています。また、さまざまな市場のニーズを満たすために機能を実装していくと、海外製のコンポーネントなしで製品を組み上げるのは難しいのが実情です。

　ソフトウェアにしてもそうです。下請けに依頼したり、オフショアで開発されたコードがさまざまな機器に搭載されています。サプライチェーンはますます拡大を続けており、その経路のどこでどんな人が関与し、何が組み込まれているかを、利用する側はもちろん、供給側も全て把握できているとはいえません。故意にバックドアを仕掛けるケースだけでなく、開発・デバッグ時の不適切な設定のまま機器が出荷され、それを見つけた誰かが悪用する、というシナリオも考えられます。

　信頼できないなら一から自分で作るという手もあるでしょうが、それが可能な人はごく一部。また、それを実現できるスキルを持った人が自力で何か開発するにしても、オンラインショッピングサイトで安価なコンポーネントを選ぶと、やはり怪しい挙動を示す部品が含まれているかもしれません。

疑念は中国製の製品に限らない

　　　　　　 1|2|3 次のページへ