NTTとNEC、情報通信インフラにおけるサプライチェーンセキュリティリスクへの対策技術を開発

社会や産業のDXが加速する中、情報通信インフラを構成する通信機器とシステムの調達、および保守・運用に関するサプライチェーンを介して不正なソフトウェア(マルウェア等)が混入、あるいはサプライチェーン上のセキュリティが脆弱な組織を介して侵害される等のサプライチェーンセキュリティリスクが顕在化している。

この脅威への対策は、サプライチェーン上の供給側(通信機器ベンダ、システムインテグレータ等)が安全性を示し、調達側がこれを確認する方法が考えられるが、現状では技術的に難しく事業者間の信頼に依存せざるを得ず、双方に負担やリスクを強いるものになっている。

日本電信電話株式会社(以下、NTT)と日本電気株式会社(以下、NEC)は、5G、ローカル5G、革新的ネットワーク技術IOWN等の情報通信インフラを構成する通信機器およびシステムの構成やリスクをサプライチェーン全体で共有し、セキュリティに関する透明性を確保することによってサプライチェーンセキュリティリスクの抜本的な低減を図る「トラステッドネットワーク構想」の実現をめざし、同構想実現の中核となる「セキュリティトランスペアレンシー確保技術」を開発した。

同技術は、情報通信インフラを構成する通信機器およびシステムの構成やリスクを可視化した情報(以下、機器情報)の共有によって、情報通信インフラのセキュリティに関する透明性を確保する技術である。通信機器のサプライチェーン(製造、出荷、導入、運用)においてソフトウェア構成を継続的に可視化し、バックドアや不正な構成要素の検査結果を含む機器情報を生成する。

また、機器情報の網羅性・正確性が高品質なリスク分析および監視を実施可能にし、さらにこれらに基づく機器情報の継続的更新によって透明性を高いレベルで維持し続けるという。さらに、サプライチェーンを形成する事業者間における機器情報の共有が透明性を活用した対策を可能にし、サプライチェーンの全フェーズおよび全事業者のセキュリティ向上が期待できる。

同技術は、NTTの通信機器のソフトウェア構成を可視化する構成分析技術と、NECの機器ソフトウェアの不正機能混入の可能性を検出するバックドア検査技術、および通信システムにおける攻撃ルートを可視化するサイバー攻撃リスク自動診断技術によって実現した。

同技術を用いることによって、通信機器を調達する顧客は、調達・運用時に機器情報を参照して不正なソフトウェアの有無を確認可能になり、通信機器の供給者は不正な構成要素の混入リスクについて客観的に説明可能になる。また、ユーザ事業者は、新たなソフトウェア脆弱性の発見時に、機器情報との照合によって影響の有無とリスクを把握して速やかな対処が可能になる。

今後両社は、同技術を活用したローカル5Gでの技術検証を2021年度内に実施し、各要素技術の有効性検証および課題抽出を行う予定としている。

なお、両社は、革新的光・無線技術を活用したICT製品の共同研究開発およびグローバル展開を目的として2020年6月に資本業務提携を実施し、国際競争力のある製品の開発や技術開発を進めており、今回の取り組みは同提携の一環である。