ファーウェイの｢中の人｣情報窃取疑念への回答 機器経由での盗み出しは技術的に可能なのか

坂口：ソースコードの検証については一部のメディアが報じていました。ソースコードって、どこまでを指しますか？ それと、イギリス政府通信本部がファームウェアまでを含めて検証できるんでしょうか。

赤田：まず対象は、イギリスの通信インフラで使用されているファーウェイ機器すべてです。ソースコードの検証はHCSEC自身と、アメリカ企業のCigitalに委託して検証をしています。サイバーセキュリティとソフトウェアエンジニアリングは違うものですから。

坂口：念のために確認しますが、イギリス政府に差し出したのは、ファームウェアを含めたすべてですか。それとも、一部は例外ですか。

赤田：イギリスに関わる機器はすべてです。さらに、これも珍しい取り組みではなく、例えばドイツでも韓国でも似たような検証、監督の仕組みがあります。さらにいくつかの国でも、実際にソースコードを全公開して検証しています。

オンタイムで検証するのが課題

坂口：疑うわけではないんですが。ファーウェイが差し出すソースコードって、どれくらいの頻度で提出するのでしょうか。例えば、当初は存在しなかった機能をアップデートで付け加えることなどができるのか、という質問です。

取材に応えた赤田氏（写真：ファーウェイ提供）

赤田：すべて渡しています。ただ、さきのイギリスでの報告書にもあったように、オンタイムで検証するのが課題にはなっています。だから優先順位を決めて、どの機器をいつ検証するのかをイギリス政府側と協議して決定しています。

坂口：ファーウェイから提示されるソースコードが、市販品に組み込まれているものと同等というのは、どうやって証明しているんですか。

赤田：バイナリイクイバレンスというんですが、試験のそれと実機のそれが一致しているかを確認します。ただご指摘のとおりで、時間がかかってしまっています。それが課題ではあります。