現代の企業の多くは、様々な形で他の企業に依存している。たとえば、資源から最終製品まで一貫して製造できる企業は皆無であり、様々な部品や中間製品を、その供給元の企業に依存している。たとえば自動車では、いわゆる完成車メーカー(業界ではOEMと呼ぶ)は、部品の大部分を外部に依存していて、ある意味、組み立てを行うだけの会社である。製造業だけではない。ソフトウエアにおいても、すべてのコンポーネントを自社で開発している企業は非常に少ない。多くが、様々な商用、オープンソースのコンポーネント(部品)やフレームワークを利用して開発されている。単に、部品、原料の供給だけではない。これらや完成品の流通に関わる運送業や倉庫、卸といった企業にも、多くの企業が深く依存しているのである。
こうした繋がりが、一般に言われるサプライチェーンだ。近年、サプライチェーンに関連する問題は、様々な形で社会に影響している。たとえば、数年前、中堅の自動車部品メーカーがサイバー攻撃を受けて出荷を停止したことで、そこから部品の供給を受けている完成車メーカーが生産停止を余儀なくされた。最近では、大手の通販系企業がサイバー攻撃を受けたことで、その企業に商品の配送を委託していた複数の企業が注文を停止するなどの影響が出ている。近年、サイバー攻撃がクローズアップされるが、自然災害や事故を原因とするサプライチェーンの停止や滞留は古くから発生している。また、サプライチェーンが国際化する中で地政学的な影響も、無視出来なくなっている。直近の例を挙げれば、某国による稀少資源の輸出規制や中東での戦争による石油の価格上昇などがある。某国(笑)のT王陛下による関税騒ぎもまた、広い意味で、サプライチェーンを阻害している。
こうした問題を緩和するために、供給網の分散、冗長化などの対策が叫ばれているのだが、当然コストがかかるので、熾烈な競争に晒されている企業にとって簡単ではない。IT製品、とりわけソフトウエアに至っては、部品の供給元すら十分に把握出来ていない状況がある。製造業では、製品を構成する部品表(BOM)の管理は古くから行われている。これは、部品ひとつひとつの原価が利益に大きく影響するからである。一方、ソフトウエアの多くが、オープンソースなどの無償コンポーネントを基盤として作られており、こうした原価管理の必要が無い。従って、そもそも部品表を作って管理しようというモティベーションが働かないのである。それに加えて、物理的な部品は供給元が製造を中止すれば、新たに調達できなくなるが、ソフトウエアのコードは、いつまでも使うことができる。つまり、サプライチェーン問題をあまり意識する必要がなかったわけだ。しかし、こうした古いコードをいつまでも使っていると、思わぬ問題を生じることがある。いわゆる「脆弱性」である。企業やオープンソースコミュニティーなどが、サポートしているソフトウエア(コンポーネント)は、こうした脆弱性の修正とアップデートの提供が行われる。こうした修正版を適用している限り、脆弱性を攻撃され、侵害される可能性は低い。しかし、もはやサポートされなくなった古いコードを使い続けていたり、修正版の適用を行わなかったりすれば、最終的な製品が攻撃対象になる可能性が生じる。実際、こうした「部品」が原因で生じた脆弱性を攻撃された例は少なくないのである。しかし、サポート切れや脆弱なコンポーネントを排除しようとしても、それを使用していることがきちんと把握され、管理されていなければ不可能である。つまりソフトウエアにも部品表(SBOM)が必要になるわけだ。とりわけ重要な用途で使われるソフトウエアについては、SBOMを整備することが極めて重要となる。ただ、これも簡単ではない。最終製品で使われているコンポーネントが、複数の異なる供給元からの(サブ)コンポーネントで構成されていることが多いからである。こうした繋がりをすべて明確にすることは非常に難しい。SBOMそのものの標準的なフレームワークを確立し、すべてのサプライチェーンがそれを採用しない限りは、困難な状況が続くのではないかと危惧するのだ。
さて、こうした問題は、関係者の努力に委ねるとして、より危険な「悪意」を持ったサプライチェーンへの攻撃について考えて見よう。たとえば、部品の供給元に対して、なんらかの妨害工作を行い、供給を止めるといった攻撃は比較的容易に想像できる。それが物理的な手段であれ、サイバー攻撃であれ、供給元の業務を止めればいいからだ。しかし、より悪質な攻撃も考えられる。供給元の内部に入り込んで、その製品に影響を与える攻撃である。たとえば、特定の部品を劣化させたり、ある条件化で機能しなくなるように加工してしまうような話である。部品の加工に使用する工作機のプログラムやデータの改ざんも考えられる。たとえば、自動車の部品ならば、数年以内に、それが原因の事故が多発するといった状況が生じる可能性がある。最近の車は高度に電子化されており、多数の電子コンポーネントが使用されている。もし、これらが供給過程で不正に操作されたならば、たとえば、攻撃者の指令で、特定の車の特定の機能を動作不全にするといったことも可能になるかもしれない。ソフトウエアに至っては、さらに危険である。実際、数年前、某国のソフトウエアベンダーが侵入を受け、改ざんされたソフトウエアがオンラインアップデートを介して多数の利用者に配信され、大きな問題となった事件があった。この場合は、最終製品だったが、これが、サードパーティー製のコンポーネントだったら、事態はさらに深刻化しただろう。安全や人命、社会の基盤に関わる製品やソフトウエアについては、悪意を持って、こうした改ざんが発生する可能性に注意する必要がある。スパイ映画ではないが、企業に自ら潜入して不正を働いたり、担当者を買収、恐喝して不正な操作をさせるといったことも現実に危惧されるからだ。とりわけ、国家間の競争や紛争などに際しては、こうしたことも想定されるべきだろう。いざ紛争となった場合に備えて、平時からこうした活動が行われている可能性も否定できないからである。
攻撃の対象は、供給元だけではない。たとえば、物流、倉庫などの企業も攻撃対象になり得る。実際に、最近、中東で紛争に絡んでいる某国は、彼らが「テロリスト」と呼ぶ集団が利用している通信機器の流通過程に入り込み、機器に遠隔操作可能な爆薬を仕掛け、これにより多数の「テロリスト」を殺害している。この国の情報機関は、様々な企業等にも入り込み、日常的に情報収集を行っているという。また、これも、とあるコンファレンスで聞いた話だが、別の某国の情報機関や捜査機関は、捜査対象の組織が使用する通信機器や情報機器の流通過程で、監視のためのバックドアを仕掛けることがあるという。疑心暗鬼になる必要もないが、たとえば、国際的な紛争に巻き込まれた、もしくは巻き込まれる可能性が高い場合には、こうしたことも想定しておくべきだろう。こうした活動は平時に行われることが多い。既に、仕掛けができあがっている可能性も否定できないのだから・・・。だからどうする・・・という一般解が出せないのが辛いのだが、少なくとも安全保障に関わる人たちは、こうしたことを強く意識すべきだろうと思うのである。
コメントする