米国政府は使用するコンピューターの製造国について懸念を抱いており、米国内で製造できるかどうかを確認しています。

セキュリティに関するアドバイスのほとんどは、製品の使用方法についてのものであり、製品自体は不正に改変されておらず安全な状態で届けられると考えられています。しかし、常にそうだとは限りません。製品を受け取る前にサプライヤーの製品が危険にさらされる可能性があり、そのようなサプライチェーンの侵害が実際に発生しています。

この問題についての認識が高まり、特定の政府に対する信用が低下すると、米国議会は2019年度の国防権限法 (NDAA) を可決しました。この法律は、連邦政府機関に対し、中国を拠点とする特定の企業から特定の種類の製品を購入していないことの証明を義務付けるものです。

現代の電子機器の分野では、本当に油断ならない脅威は目に見えないものになっているか、複雑な電子機器の中に溶け込んでおり一見して分からないようになっています。
そのような監視の対象となっているのは中国だけでなく、サプライチェーンへのサイバー攻撃が始まった国を拠点とするベンダーの信頼性に疑問を抱いているのは連邦政府だけではありません。そのため、一部のメーカーは、中国やその他の国の企業で製造された製品を望んでいない顧客に対応できるようにサプライチェーンを調整しています。提供する製品を米国のみで製造しているメーカーもあります。このような再編が正しく実施されれば、サプライチェーンに柔軟性が生まれ、競争がもたらされるでしょう。

 

実際に存在するサプライチェーンの問題

サプライチェーンの問題はおそらく取引自体と同じくらい古くからあります。商品は輸送中に痛んだり盗まれたりする可能性があります。ある商品の国際輸送が別の商品を密輸するために使われるかもしれず、サプライヤーは材料の品質や数量について不正を行うかもしれません。これらの懸念は何百年も前からありました。

現代の電子機器の分野では、本当に油断ならない脅威は、悪意のある機能を含むように改変されたソフトウェアのように目に見えないものになっているか、複雑な電子機器の中に溶け込んでおり一見して分からないようになっています。一例として、チップクリップと呼ばれているものがあります。これは製品に取り付けてその動作を改変する悪質な回路です。

最近、後者の手法を用いた攻撃が見つかり、Apple社はSupermicro社との関係を打ち切りました。Apple社が自社の開発ラボにあるSupermicro製サーバーのBIOSにチップクリップの手法で悪質なコードが埋め込まれていたことを発見したためです。Apple社の顧客が影響を受けた証拠はありませんが、考えられる損害の規模は深刻なものでした。

サプライチェーンのソフトウェアへの攻撃については、多数の例があります。何年も前に、攻撃者がAdobe社の開発ネットワークに侵入し、同社の有名な製品の多くのソースコードへアクセスした事件がありました。窃盗犯たちが顧客に関する大量の機密情報も手に入れたことで、サプライチェーンに対する脅威についての報道は目立たないものになりましたが、それでも、この事件により、Adobe社は自社の開発ネットワークと、顧客が製品の完全性を検証できるメカニズムの保護を強化しました。

 

技術的な対策

大まかに言えば、ベンダーはサプライチェーンをきめ細かく管理できるほど、そのセキュリティを高めることができます。サプライチェーンのセキュリティが高まると、顧客はシステムを守るために必要な作業が少なくなり、自動的に守られるようになります。

現代のサーバーのように複雑な製品では、ケーブル、ねじ、成形されたプラスチックボタンの一つ一つにいたるまで、すべての部品を作ることは誰にとっても現実的ではありませんが、このような部品は改ざんされて何らかの影響を与えることはありません。

高度な技術を持つベンダー (ヒューレット・パッカード エンタープライズ、インテル社、Microsoft社など) では、技術的な対策が利用されるようになってきました。これにより、顧客が受け取ったシステムの構成が、ベンダーが出荷した後に改変されていないことが証明されます。このような対策が100%の完全性を証明すると断言するのは危険ですが、サプライチェーンの侵害や完成した製品の改変にベンダーや顧客が気づかない可能性は非常に小さくなります。

工場では、システムの部品とファームウェアのデジタル積荷目録が保存され、パスワードやその他の手段によって保護されます。HPEのシステムでは、このプロセスはサーバー構成ロックと呼ばれています。

システムが顧客に届いて電源が投入されると、システム構成が再確認され、保存されたシステム構成と照合されます。起動された構成が輸送前に構築された構成と一致している場合は、すべて正常であると判断され、システムは起動を続行します。構成が一致しない場合、オペレーターにエラーがレポートされます。

 

信頼の基点 (Roots of Trust)

起動前の環境が侵害されると非常に大きなリスクが生じるため、高度なセキュリティを確保しているベンダーは、複数の対策を講じてその環境を攻撃から保護しています。システムがサプライチェーンから離れて顧客のデータセンターに納入された後でも、これらの対策は有効です。優れた例として、HPEのSilicon Root of Trustなどの信頼の基点があり、これは米国国立標準技術研究所 (NIST) による重要なオープン標準の対象にもなっています。信頼の基点とは、システムに格納された変更不可な既知の値です。

高度なファームウェアでは、信頼の基点を使用して重要なファームウェアの状態と回路が改変されていないことを確認します。構成が不正な方法で改変されていないことを確かめるために、このプロセスは定期的に繰り返されます。このように、製品がサプライチェーンから離れても、高レベルのセキュリティによって、さまざまな悪意ある攻撃から組織を保護できます。

システムを侵害から保護する他の手段もあり、そのいくつかは標準に基づいています。HPEのサーバーソフトウェアおよびセキュリティ製品のディレクターであるBob Mooreは、UEFIセキュアブートが「サービスの開始時に正規のオペレーティングシステムが起動することを保証する必須のセキュリティ機能」だと言います。

Mooreの説明によれば、「ウイルス対策ソフトウェアは実際にはサーバーのオペレーティングシステムで実行されるので、OSが完全に実行されるまではハッカーや侵入を検知できません。また、巧妙な悪意ある攻撃者はウイルス対策ツールが起動する前にOSに不正アクセスしようとすることがよく知られています。HPEのUEFIセキュアブートを使用すると、そのような攻撃を防ぐことができます。ブートプロセス中に起動される各コンポーネントはデジタル署名されており、その署名はUEFI BIOS内に組み込まれた信頼済みの証明書と照合して検証されます」

 

サプライチェーンのソフトウェア

保存された構成の暗号によるチェックと同様に、ソフトウェアを保護するためにコード署名が使用されます。プログラムを実行する前に、オペレーティングシステムは最初にソフトウェア作成者の公開鍵を使用して、プログラムに付加されているデジタル署名の妥当性を確認した後に、プログラムファイルのデジタル署名を計算し、ソフトウェア作成者が提供するデジタル署名と照合します。コード署名とシステム構成の保護のいずれの場合も、ファイルから計算された署名がシステムやプログラムに保存された署名と一致している (改ざんされていない) ことを確認し、署名の発行元が予想どおりである (たとえば、オペレーティングシステムのファイルがMicrosoft社やRed Hat社によって署名されており、中国人民解放軍によって署名されていない) ことを確認します。

 

物流における対策

サプライチェーンのセキュリティを確保するテクノロジーは優れていますが、人為的な間違いによってどうしてもセキュリティが保たれないことがあります。そのため、サプライチェーンを保護するには、製品を製造して顧客に届けるまでのプロセスで必要な手順に細心の注意を払う必要があります。

これらの手順の多くについては、HPEのグローバルオペレーションエンジニアリングおよびグローバルサプライチェーン部門のバイスプレジデントであるJohn GrossoがForbes誌の2020年5月の記事で説明しています。この中で彼は「平均的な1Uまたは2U ProLiantラックサーバーは3,500～4,000個の部品で構成されています。つまり、3,500～4,000個の部品を世界中の何百社ものサプライヤー全体で追跡し、セキュリティと品質を確保するためにチェックする必要があるのです」と述べています。

Grossoは「現場を回って行うサイバー検証」の手順について説明しています。この手順では、HPEが従業員をサプライヤーに派遣し、HPEとの業務について監査と非公式の抜き打ち検査を実施します。HPEでは製品の組み立て前にランダムに部品のX線検査を行っています。

すべてのベンダーは、組み立て施設で正規の部品のみが使用されていることを保証しなくてはなりません。組み立てられたサーバーは、テストして、セキュリティと真正性を検証する必要があり、リセラーを通じて販売される場合は、サーバーに決して手を加えられることのないように対策を講じる必要があります。顧客が受け取ったシステムは、工場で取り付けられたのと同じ部品で起動しなければなりません。

輸送中のサーバーは、シンプルですが効果的な別の手段で保護されます。システムを使用するには、筐体のさまざまな箇所に工場で貼られたシールを剥がす必要があります。シールの偽造はホログラムやその他の技術により困難になっています。

 

サプライチェーンのセキュリティに関する法律

テクノロジーサプライチェーンのセキュリティへの懸念は、長年にわたって主張されてきました。その結果、2019年に米国議会はこの課題に対処するためにNDAA (国防権限法) に新しい条項を追加しました。第889項「Prohibition on certain telecommunications and video surveillance services or equipment (特定の電気通信およびビデオ監視サービスまたは機器に関する禁止条項)」では、特定の海外企業のテクノロジーを使用する製品またはサービスを執行機関が購入することを禁止しています。

電気通信という語の使用は狭義に解釈すべきではありません。汎用のコンピューティングと電気通信の両方で使用される機器やテクノロジーは融合しつつあるためです。電気通信ネットワークは、従来のコンピュートサーバー上に構築されたクラウドで構成されることが増えてきており、従来のコンピューターネットワークは、電気通信サービスで使用されることが増えてきています。

そのような製品やサービスを連邦政府に提供するベンダーは、提供内容が第889項に従っているかどうかを毎年証明しなければなりません。この規定では、プロバイダーが該当する中国の製品およびサービスを自社のネットワークで使用している場合、そのプロバイダーからのサービスの購入が禁止されることに注意してください。

The Creating Helpful Incentives for Producing Semiconductors (CHIPS) for America Actは、米国議会の下院委員会で審議されている法案で、米国における半導体の製造について、すべての州に対して政府による助成金を提供するものです。また、本法案には、米国の国防サプライチェーンを確保し、「際立って」安全なマイクロエレクトロニクス製品を開発する標準的な手法を策定するための取り組みを義務付ける項が含まれています。

多くの場合、連邦政府が定めた規定には、州政府や地方政府、民間の関係者など、他の組織が同じ保護制度を受けるために従うべき基準が定められています。

 

中国への依存から脱却できるか?

中国の企業は、商品の価格やその多様性という点で、私たちが使っている電子機器のサプライチェーンに大きく関わっています。特定するのが困難な下請け業者がいる可能性があり、商品が中国で製造されて輸出された後に、別の製造段階で再輸入されることもあるかもしれません。

サプライチェーンにおける完全性の要求には、対応できる一部の大企業が実現に向けて取り組んでいます。台湾を拠点とする有名な家電メーカーであるFoxconn社の会長は、最近、台北で開催された投資家向けカンファレンスで、自社の生産能力の3分の1近くが中国国外にあり、中国とアメリカのサプライチェーンの分断が「不可避」であるため、その割合は増えていくと語りました。Foxconn社は、メキシコ、ブラジル、ベトナム、インドなど、世界中に製造施設を持っていますが、2018年には米国ウィスコンシン州の施設にも投資しています。

発売予定の5G BlackBerryフォンのメーカーは、顧客に対して自社のサプライチェーンのセキュリティと完全性を示すために、この製品を「米国製の部品の割合が最も多い携帯電話」にしようとしています。最終的に完全な米国製の製品にどの程度近づくかは今のところわかりません。

 

サプライの柔軟性

サーバーのような複雑な製品の製造サプライチェーン全体を米国に戻したいという声は少なくありませんが、そのような措置は行き過ぎたものであり、実際には国際商取引の大きな混乱を招くことなく効果的に対処できます。顧客やメーカーが必要としているのは、システムのすべての部品に対する厳格なセキュリティ手順であり、部品を国内で調達できる選択肢なのです。

従来は、このレベルの精査は機密性の高い政府のアプリケーションにのみ必要だと考えられていたかもしれませんが、どのような組織であっても、サーバーに格納されて処理されているのは最も重要なデータに違いありません。敵対的な攻撃者がサーバーを乗っ取ることができれば、それらのデータにアクセスできるだけでなく、組織の運営に悪影響を与える恐れがあります。もちろん、政府はそのようなリスクを可能な限り低減しなければなりませんが、民間の組織も、この問題に真剣に向き合うことが必要でしょう。

NDAAの新しい要件は、ベンダー、政府、その他の政策立案者が部品調達におけるセキュリティの優先順位を再考するきっかけとなります。また、顧客は、システムとその部品がどこで製造されているか、それらの部品を米国内で製造できるかどうかをベンダーに問い合わせる際に連邦政府の指示に従うことになります。

 

サプライチェーンのセキュリティ: リーダーのためのアドバイス

• すべてのセキュリティはハードウェアのセキュリティが基盤になりますが、すべてのハードウェアが証明できる形で安全とは限りません。
  
• 顧客はコンピューターサーバーのような複雑な製品の調達元を完全に把握することはできません。
  
• ベンダーは必要な部品を国内でも調達できるように取り組んでいます。これはあなたにとって重要な事柄かもしれません。