無線信号をデータに変換する無線機、携帯電話基地局、基地局に巨大なソフトウェアエコシステムを追加するオープン無線アクセスネットワーク(Open RAN)の登場により、5Gはインターネットと呼ばれるネットワーク群への巨大なデータオンランプとなります。最新世代のワイヤレス技術は、ハリウッドの興行収入タイトルから引用すると、「あらゆる場所ですべてを一度に」という表現を約束しています。
ジャンプ先:
- 5G セキュリティとは何ですか?
- 5Gセキュリティの危険性
- 結論
5G セキュリティとは何ですか?
5G セキュリティは、4G LTE の特徴である専用機器、サーバー、プロトコルの囲い込まれた環境の外で動作し、RAN の「仮想化」の一部としてソフトウェア エコシステムが関与し、コンテナー、マイクロサービス、その他のクラウド対応サービスが新しいコア ネットワークとして関与します。
元FCC委員長のトム・ウィーラー氏が最近発表したブルッキングス研究所の5Gシステムのセキュリティに関する報告書で述べたように、5G規格は2つの相乗的なサイバーセキュリティの課題をもたらします。
- 5G 標準の「仮想化」とは、従来は独自仕様または単一ベンダーのハードウェアによって実行されていたネットワーク機能がソフトウェアによって実行されるようになり、ソフトウェアはハッキング可能であることを意味します。つまり、ソフトウェア コード上に構築されたネットワーク インフラストラクチャは脆弱です。
- ネットワーク事業者は、従来のインフラベンダーや閉鎖的な独自システムを、ORANプロトコルを採用したベンダーの拡充によって補完または置き換えている。ウィーラー氏は、こうしたサプライヤーの多様性は、それ自体が、未解決の攻撃ベクトルの新たな多様性を招き入れる可能性があると述べている。
同氏は、5Gネットワークのオープン性、柔軟性、プログラム可能性が、非常に脆弱なフレームワークを生み出すと指摘した。
5Gセキュリティの危険性
ネットワークの強さは、最も弱い部分によって決まる
5Gは、ネットワーク同士の連携が弱く、各ネットワークやデバイスが異なるセキュリティプロトコルや技術を採用している可能性があるため、その連携は脆弱です。こうした背景もあり、5Gセキュリティ製品の需要が高まり、次世代ファイアウォール、DDoS攻撃防御、セキュリティゲートウェイといったセキュリティベンダーのエコシステムが活況を呈しています。
Grand View 社の調査では、ネットワーク スライシングなどのソフトウェア定義テクノロジーの向上に牽引され、世界の 5G セキュリティ市場は 2030 年までに 275 億 9,000 万ドル規模に達し、2022 年から 2030 年にかけては年平均成長率 (CAGR) が 396 億ドルに達すると予測されています。
参照: 最高のネットワーク監視ソフトウェアとツール (TechRepublic)
話し合ってください
5G 対応の自動通信により、家庭、工場、外出先にある機械やデバイスが人間の介入なしに膨大な量のデータを通信することになり、リスクが増大します。
HyperProof の現場 CISO であり IEEE のメンバーでもある Kayne McGladrey 氏は、このようなアプローチの危険性について説明しました。
「低コストで高速、そして一般的に監視されていないネットワークデバイスは、脅威の攻撃者に、攻撃を開始したり、検出して排除するのに時間がかかるコマンドアンドコントロールインフラストラクチャを実行するための信頼性が高く堅牢なインフラストラクチャを提供します」と彼は述べた。
McGladrey 氏はまた、組織が Wi-Fi の代替として 5G を導入する際に、オプションではあるものの推奨されるセキュリティ制御を正しく構成または管理しない可能性があると指摘しました。
「通信事業者は自社ネットワークのセキュリティを確保するために十分な予算と人員を持っているが、プライベート5Gネットワークはそうではない可能性があり、そのため脅威アクターにとって理想的な標的になるだろう」と彼は述べた。
仮想化:間違ったものを導入する
5G仮想化ネットワークアーキテクチャは、ソフトウェア、ハードウェア、そしてサービスのための外部サプライチェーンを構築(実際には必須)するため、あらゆるドアと窓をハッカーに開放します。オープンソースコードを用いたソフトウェア開発や、容易に改ざん可能なエッジクラウドシステム上で稼働する多数のSaaS(Software as a Service)フレームワークの普及を招きます。
EUは、2022年5月のOpen RANのセキュリティに関する報告書で、国家当局の役割の強化、事業者の監査、必要な情報はすべて、基本的なセキュリティ要件の適用を確実にするのに役立つ大きな影響力のある対策であると指摘しました。
マックグラッドリー氏は、NISTの5Gサイバーセキュリティに関する特別出版物は、5Gネットワークアーキテクチャのセキュリティ要件の優れた基礎を提供していると述べた。
「この文書はまだ草稿段階ですが、リスク軽減策を含む合理的なリスク分析を提供しています」と彼は述べた。「この文書全体を通して、セキュリティチームがセキュリティイベントを迅速に特定できるよう、環境全体にわたるセキュリティの観測性と可視性を確保することがテーマとなっています。」
誰も信用しない
5G にとって特に重要なのは、仮想化ネットワーク、ネットワーク管理の運用と監視、ソフトウェアの整合性を強化する取り組みなど、システムへのアクセス権を持つユーザーを義務付ける必要があることです。
CTIAは新たな調査において、政策立案者向けにゼロトラストの明確な定義づけを行う役割を担っています。同業界団体は、ゼロトラストは、従来の無線通信技術を特徴づけていた「単一境界防御」や「城と堀」モデルに取って代わる必要があると主張しました。
グループは主要な用語を定義しました。
- ゼロ トラストは、ユーザー、アプリケーション、および関連するデバイスがネットワークのさまざまな部分や対応するネットワーク機能にアクセスする際に、継続的な認証を要求することで不確実性を最小限に抑えるように設計されたネットワーク セキュリティ アプローチです。
- ゼロトラスト・アーキテクチャとは、組織が自社のネットワークにゼロトラスト原則を適用する方法を指します。ネットワークごとに機能や設計が異なるため、ZTAは特定のネットワークの制約やリスクプロファイルに合わせてカスタマイズする必要があります。
- ゼロ トラスト ネットワーク アクセスとは、ゼロ トラスト アーキテクチャ、特にアクセス制御ルールを使用してデータ、アプリケーション、サービス、およびその他のアクセス領域を定義する製品またはサービスの結果、成果、または実装を指します。
一方、CTIA は自由放任主義のアプローチを主張し、単一の固定された方法を拒否し、民間部門の義務化を避けています。
参照: ゼロトラスト: イノベーションを加速し、デジタルビジネスを保護するデータ中心の文化 (TechRepublic)
ハードウェアの脆弱性
McGladrey 氏は、偽造または継承されたコンポーネントには、脅威の主体がデータの機密性、整合性、または可用性を侵害できる機能が含まれている可能性があるため、ネットワーク ハードウェアに関連する潜在的なリスクがあると考えています。
「ベンダーが意図的にコンポーネントに悪意のあるソフトウェアを組み込んだ場合、あるいは脅威アクターがコンポーネントメーカーの構築プロセスを侵害し、ベンダーの承認なしに悪意のあるコードを挿入する間接的な攻撃の場合、このリスクが現実のものとなる可能性がある」と同氏は述べた。
結論
米国のみならず、安全保障と技術革新を促進できる国は、大きな見返りを得るだろう。政府、政策立案者、そして監督権限を持つ者は、軽やかに、あるいは機敏に行動すべきだろう。ウォーカー氏が述べたように、努力は「技術、市場、そして侵略者の活動に歩調を合わせながら投資を促進する」ことに向けられるべきだ。
5G の詳細については、次の興味深い項目をご覧ください: 2023 年に注目すべき 5G の 5 つの主要なトレンドと、5G テクノロジーがデータ センターをどのように変えるか。
