メディア
HRTech
Microsoft 365
クラウドERP
生成AI
ゼロトラスト
PC管理
RPA BANK
課題から探す
カテゴリから探す
記事一覧
ITキャパチャージ

「5G」は穴だらけ? リスクにどう対応すべきか

ワイヤレスネットワーク事業者にとって、5Gは次の時代を見据えたモデルだ。しかし、5Gは攻撃対象を劇的に拡大する可能性もある。企業や政府機関は今後直面する脅威や脆弱性、サプライチェーンの懸念にどう対抗すればよいのだろうか。

» 2022年09月06日 16時00分 公開
[Matt KapkoCybersecurity Dive]
Cybersecurity Dive

 5Gの事業者やベンダーは、最新世代のワイヤレスネットワークアーキテクチャが4Gよりも「セキュリティの向上をもたらす」と長年主張してきた。しかし、新たな機能やサービスの導入により、これまでワイヤレスネットワークに接続されていなかったシステムにも脅威の対象が拡大している。

 無線アクセスネットワークの仮想化やオープンインタフェースの推進により、通信事業者はベンダーのソフトウェアや機器を幅広く統合できるようになった。その一方でリスク評価はさらに複雑になっている。

 このネットワークアーキテクチャによって、通信事業者は共有の物理インフラ、プライベートネットワーク、モバイルエッジコンピューティングで「ネットワークスライシング」を実現可能とした。ネットワークスライシングとは、5Gを支える技術で、一つのネットワークインフラを仮想的に分割(スライシング)し、多様なニーズや用途に応じてサービスを提供できるよう複数の論理ネットワークとして提供、運用するものだ。

5G導入で直面する脅威や脆弱性への対応策とは

 初めて5Gネットワークが稼働してから3年、Cybersecurity and Infrastructure Security Agency(CISA:サイバーセキュリティ・インフラストラクチャセキュリティ庁)は2022年5月、企業や政府機関が直面する脅威や脆弱(ぜいじゃく)性、サプライチェーンの懸念に対抗するため「5Gセキュリティ評価プロセス調査」の結果を発表した(注1)。

 CISAは、連邦政府機関がセキュリティ強化のために実施すべきガイドラインと5Gの構成を示した。加えて、5GをNational Institute of Standards and Technology(NIST:米国標準技術研究所)が開発したサイバーセキュリティ評価システムである「Risk Management Framework」(リスクマネジメントフレームワーク)の下に位置付けた。

 Futurum Researchのシニアアナリスト兼リサーチディレクターのロン・ウェストフォール氏は「CISO(最高情報セキュリティ責任者)の中でも特に5Gネットワークで政府機関と関わっている人は、ゼロトラストアーキテクチャの原則に従い、コード機能としてインフラを統合するDevSecOpsパイプラインを実装するというCISAのアドバイスを考慮すべきだ」と述べている。

 同氏はさらに「CISOはCISAガイドラインを厳格に順守しなければならない。米国政府のリスク管理者が最適なセキュリティ支援プログラムやベストプラクティス評価フレームワークの特定を支援すればより貢献できる」とする。

 CISAは、5Gのセキュリティ評価をNISTのガイドラインに準拠させ、あらゆる業界で一般的にベストプラクティスと考えられているものと一致させ、事実上高いハードルを設定している。

 ABIリサーチのリサーチディレクターであるミケーラ・メンティング氏は、「CISOは、自社のプロセスの基準として、ガイドラインに従うべきだ」と述べている。

 この提案は、米国政府の長考と対応が始まったことを意味する。5Gの進歩や、新たなリスクをもたらすサービスの導入に伴い、継続的に改訂されると予想される。

 「5Gはまだ始まったばかりの技術で、一般的なスタンドアロンの完全な展開はまだ何年か先のことだ」(メンティング氏)。現在、ほとんどの5Gネットワークは4Gコアに固定されており、通信事業者が提供できるサービスには限界がある。

 自立した5Gネットワークは、旧来のシステムとの接続を事実上効果的に切断するが、期待されたほど早く実現されなかった。

 この状況下で、5G事業者は、クラウドネイティブの技術とソフトウェアを活用した高度なサービスを提供し、ネットワークインフラから企業のプライベートネットワークやエッジで動作するアプリケーションにまで拡張することを意図している。

 「次世代の5Gがどのように活用され、展開されるかはまだ不透明だ。そのためセキュリティおよびリスク評価が難しくなっている」とメンティング氏は指摘する。ハイパースケーラー、クラウドサービスプロバイダー、ソフトウェアおよびアプリケーション開発者、サイバーセキュリティベンダー、リセラー、システムインテグレーターなどの新しいマーケット関係者が、初めて通信事業者の領域に参入し、製品やサービスを提供している。

 「5Gインフラにおける最も顕著なセキュリティ課題は、5G以前のネットワークとの関係による攻撃対象の大幅な拡大だ」(ウェストフォール氏)

 ハードウェアとソフトウェアの分離、ベンダーの拡大で、5Gネットワークアーキテクチャ全体に統合された仮想マシンとコンテナサービスプラットフォームに対する新たな脅威が発生している。これは、5Gコア、ワイヤレスアクセス ネットワーク、モバイルエッジコンピューティング、ネットワークスライシング、仮想化、オーケストレーション、管理などを含む。

 CISAが挙げた潜在的な脅威には、5Gネットワークやサービスにおけるソフトウェアやハードウェアのプロビジョニングや、展開時に発生し得るサプライチェーン全体の脆弱性、悪意のあるコードやシステムなどが含まれる。

出典:What to watch with 5G network security(Cybersecurity Dive)

注1:5G Security Evaluation Process Investigation Version1

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。