2022 年 5 月 21 日、バイデン大統領は大統領令( EO14028 )に署名し、ソフトウェア供給網の安全性を米国の国家安全保障レベルに引き上げました。それに対し、その約 1 か月前、中国ではすでに《関鍵情報基礎施設安全保護条例》(国令第 745 号)が発表されており、タイミング的には今回、米国が後れを取った印象を与えます。
それからちょうど 1 年後の 2023 年 5 月 23 日、中国ではサイバーフォートレス(賽博堡垒)と中国科学院ソフトウェア研究所が共同で《基礎インフラストラクチャ安全性レジリエンス技術ガイドライン草案(ファームウェア安全編)》を発表しました。このガイドラインではファームウェアの安全性が取り上げられ、関連議題が新たな段階に進展しました。しかし、単なるテキスト草案の策定に留まる現状では、グーグルが 2017 年 にオープンソース安全ファームウェアを実際に運用に投入していたことと比べ、技術的な進捗に大きなギャップがあると言えます。
さらに最近、米国では《オープンソース安全ソフトウェア法案( Securing Open Source Software Act )》が両党の支持を得て成立しました。この法案では、重要インフラの保護を目的としてオープンソースソフトウェアの安全性を国家レベルで重点課題に位置づけています。民主党と共和党が共同で支持するという事実は、この問題がいかに重要であり、緊急性が高いかを示しています。
分析と展望
1. 米中の政策的アプローチの比較
米国と中国の両国は、基礎インフラやソフトウェア供給網の安全性を国家安全保障の優先事項としていますが、政策の実施速度や技術的アプローチにおいて違いがあります。中国は迅速に法令を発表した一方で、米国は具体的なオープンソースプロジェクトや技術的実践を通じて対応を進めています。これにより、米国は技術面でリードしているものの、両国とも政策と技術の整合性をさらに強化する必要があります。
2. ファームウェア安全の重要性
ファームウェア安全性の議論が活発化する中、サプライチェーン攻撃の増加やゼロデイ脆弱性への対応が急務となっています。ファームウェアはシステムの根幹に関わる部分であり、国家間競争が激化する分野でもあります。
3. オープンソースの役割
オープンソース技術は、イノベーション促進とセキュリティ強化の両方で重要な役割を果たしています。グーグルをはじめとする企業が先行してオープンソースの安全基準を確立したことは、今後の標準化プロセスにおいて各国にとって参考になるでしょう。
結論
2022 年は、ソフトウェア供給網の安全性が米中を中心とした世界的な議題となった年として記憶されます。政策的な対策だけでなく、実際の技術実装や国際的な協力体制をいかに整備していくかが、今後のグローバルなサイバーセキュリティの行方を左右する重要なポイントとなるでしょう。