現在、システムのセキュリティについて報じられない日はない。とくに、取引に関する（BtoB）の情報は漏洩リスクが高い。調達・サプライチェーンにおける情報セキュリティの現状と将来はどうなっているのか。伊藤忠テクノソリューションズ株式会社で、セキュリティビジネス部で情報セキュリティ事業に従事する伊藤優子さんに現状を訊いた（聞き手・坂口孝則）。

――調達、サプライチェーンにおいて、考慮すべき情報セキュリティ上の懸念事項を教えてください。

調達、サプライチェーンにおいて、考慮すべき情報セキュリティ上の懸念事項はいくつもありますが、まず思い浮かぶのは、過去に大きく報道された事案のように、「委託先が情報漏えい事故を起こさないか」「自社が取引先の重要な情報を漏えいしないか」などではないでしょうか。

しかし、それだけではありません。「市場に売り出す製品に取り入れる、あるいは組織で利用するために調達するソフトウェアのプログラムや機能、情報機器や情報システムに脆弱性が含まれていないか」といったことも重要な懸念として挙げられます。

これらに対する情報セキュリティ上の対策不足の結果、自社が被害にあうだけではなく、製品に関する脆弱性であれば、ユーザが被害にあう、または諜報活動に利用される、あるいは攻撃の踏み台にされるなどの恐れもあります。

調達、サプライチェーンにおける「情報セキュリティリスク」は、現実にサイバー攻撃による情報窃取が進む昨今、取引の信頼性という大きなテーマに通じるものがあります。

――脆弱性が混入するタイミングはどこにあるのでしょうか。

開発時に脆弱性が見過ごされる場合が多いですが、これは自社で開発したソフトウェアだけを指すわけではありません。オープンソースや、他者の開発プログラムを組み込む場合も含みます。脆弱性が判明するまでに数年以上間が空くケースもあります。

脆弱性情報については、米国土安全保障省による「ICS-CERT」というCERT（Cyber Emergency Response Team）機関や、JPCERTコーディネーションセンターと独立行政法人情報処理推進機構によるJVN(Japan Vulnerability Notes)等でも、(世の中の全ての情報ではないのですが)提供しています。

比較的身近なニュースで、少し時期を遡りますが、iPhoneアプリ用の開発ライブラリの中に、「AFNetworking」という通信を制御する機能を提供するソフトウェアに関するものがある。2015年4月に脆弱性が確認されており、悪用されるとユーザの認証情報や通信内容が傍受される恐れがありました。このソフトウェアは人気があり利用しているアプリも多いため、注意が必要である。アプリの開発元から対策版が提供されない場合はユーザ側の方でアプリを利用しないことも検討頂く必要があります。

また、2015年2月には、一部のLenovoノートブック製品に「Superfish」という通信を傍受するソフトウェアが組み込まれていたことが判明しました。（https://support.lenovo.com/jp/ja/product_security/superfish）、さらに同年8月には一部のコンシューマPCでも脆弱性のあるLSE(Lenovo Service Engine)の問題が明らかになりました（http://www.lenovo.com/news/jp/ja/2015/08/0814-2.shtml）。LSEは、暗号化せずにLenovo社のテストサーバと通信を行う仕様を含んでおり、攻撃者に不正に利用される恐れもあるため、Lenovo社の基準の中でも4段階中３段階目に該当する、より重大な問題として扱われました。(該当のPCを利用している場合には、LSE停止の手順が公式サイトに案内されているので確認の上で実施頂きたいですね。（https://support.lenovo.com/jp/ja/documents/HT104000）。

また、過去には、制御システムや組込みシステムへの大きなサイバー攻撃も確認されており、国際的な情報セキュリティカンファレンスでも自動車の制御システムに関する脆弱性について何度も取り上げられています。2015年の10月にはとある医療機器における脆弱性が確認されたばかりであり、しかもこれは氷山の一角です。

以上のように、iPhoneアプリ用に第三者が開発したソフトウェア、Lenovoのような製品に含まれた状態で出荷されるソフトウェア、委託先の協力を得るなどして製品化される組込みソフトウェア、ソフトウェアによる制御を伴う設備など、ソフトウェアの開発がスタートした時点から製品や情報システムとしてユーザの手元に届くまでの間に脆弱性が混入する機会が様々あることを示しています。高機能で複雑なシステムになればなるほど、その傾向にあると言えます。

――ソフトウェア・プログラムにおける問題について、詳しく教えていただけますでしょうか

調達やサプライチェーンというと、製品等の製造に深く関わるテーマであり比較的議論が重ねられてきていると思います。一方、脆弱性はというとなソフトウェア・プログラムにおける問題であり、「サプライチェーン中におけるソフトウェア・プログラムに関する問題点」はより複雑で見えにくいという特徴があると感じています。

ソフトウェアを組み込んだ製品に関するサプライチェーン構造を紐解くにあたり、次のデータを参照しました。国内外の組込みソフトウェア企業を対象としたアンケート回答調査結果を示す「経産省 2010年版組込みソフトウェア産業実態調査」です。

「貴社プロジェクトの重要ミッションは以下のどれに該当しますか」という質問に対する回答として、「組込み製品開発」の52.2%に次いで「組込みソフトウェア受託開発」が25.2%であり、これは全体の4分の1を占めます。つまり、組込みソフトウェアの開発を委託している割合が多いと言えます。この、委託‐受託の構造はそうそう変わるものではなく、今でも同じ様相があるはずです。

また、同調査結果には「プロジェクトでどのようなミドルウェアを使用しましたか」という質問に対し、OSという回答があり、実にその中の16.4%が「製造者不明」にも関わらず使用しているという結果があります。

OSは、コンピュータの機能を提供し、各種ソフトウェアを制御するための重要かつ基本のソフトウェアであり、データの増大や機能の拡充に伴い、高性能化・高機能化の一途を辿っています。WindowsOSを例にすれば、2015年は10月時点で情報セキュリティニ関するリリースは100件を超えました。しかも、1件のリリース中には複数の脆弱性が含まれていることもあります。当該アンケート回答者が利用している製造元不明のOSにも何らかの脆弱なプログラムが含まれている恐れがあることは想像に難くないと言ってよいでしょう。

この状態で、製品は本当に安全と自信を持ち言えるでしょうか。もし、外部から持ち込んだソフトウェアに問題があり重大な不具合が発生した場合には、製造元からプログラムの修正は提供されるでしょうか、さらに言えば、それ以前の話として、まず原因究明及び問題個所の特定は可能なのでしょうか。

理想を言えば、元から不正なプログラムや不具合が入り込まない開発を行うことですが、完全なプログラムを提供するためには、今のところ、すべてのソースコードを検証するなど、多大な時間と労力を必要とします。

残念ながら、こと製造業においては、市場への製品投入をより早く行うことが求められているため、どんなにツールを活用しても完全な検証を行うことは現実には厳しいという現実があります。また、情報システムの調達においても、プログラムはコンポーネントやオープンソースソフトウェアを利用しているケースもあり、ハードウェアにおいてはメーカー独自のソフトウェアが搭載されていることもあり検証を行うことは今のところ現実的ではないですね。

例えば2009年、TOYOTAの電子制御スロットルに不具合が疑われた問題では、検証に実に10ヶ月にもわたる期間を要している。28万行にも及ぶソースコードを確認せねばならなかったこともあるため、検証に時間がかかることも理解できます。（http://www.nhtsa.gov/PR/DOT-16-11）。

このように、制御システムであろうと情報システムであろうと、脆弱性の対策に一定の時間を要することは変わらないでしょうね。

でも、決して悲観的な状況だけではありません。このような事態を受けて各方面で取組みが進んでいます。ソフトウェア技術に関する米国の動向は、安全な機能を提供するためにソフトウェア技術の高度化を図っています。

米国では、連邦政府によるITの研究開発が推進されています。省庁が連携し「NITRD(The Networking and Information Technology Research and Development)」というプログラムで、将来的に力を入れていく分野に対して投資をしています。中でも、HCSS（High Confidence Software and Systems ）」という高信頼性ソフトウェアとシステムの技術的な向上をテーマとした取組みもあります（https://www.nitrd.gov/subcommittee/NITRD_Org_Chart_Feb_2013.pdf）。

――なるほど。さまざまな取り組みとともに、リスクの一端もわかりました。（長編インタビューのため、分割して掲載します）