米国国防総省は、オープン5Gエコシステムの開発に向けて、オープンインターフェース、API、相互運用可能なコンポーネント、マルチベンダーソリューションの導入を加速するための5Gチャレンジイベントの開始を大々的に宣伝する前に、2022年6月の発表で無線アクセスネットワークについて簡単に説明しました。
発表の中で、同局は、RAN が「従来はベンダー ロックされた、垂直統合型の通信アーキテクチャであり、4G、5G、およびそれ以降の世代の通信テクノロジーなどの無線通信を可能にするもの」であるとすれば、Open RAN は RAN アーキテクチャを分散し、高度な 5G ネットワークを可能にすることで、ネットワークの周囲の壁を取り除くものであると述べている。
参照:オープンRANとは? (TechRepublic)
オープン RAN のセキュリティに関する考慮事項に関する NSA と CISA の共同レポートでは、オープン RAN のスーパーハイウェイと、AI、拡張現実および仮想現実、数十億台の接続デバイス向けのアプリケーションに関する熱い見解が示されています。
5Gの機能を実装するために、モバイルネットワーク事業者(MNO)は、オープンで仮想化されたクラウドベースの無線アクセスネットワーク(RAN)の導入を検討しています。これにより、ネットワークの柔軟性と信頼性が向上し、5Gのユースケースが発見された際に新しいサービスタイプを迅速に導入できるようになります。こうした5Gのメリットを実現するため、MNOは、専用ハードウェアとソフトウェアを使用する従来の独自仕様のRANから、Open RANと呼ばれるオープンなハードウェアとソフトウェアをベースとしたエコシステムへと移行しています。
前回の記事では、これらのネットワークをオープンにすることに伴ういくつかのリスクについて検討しましたが、新しい用途を可能にするとともに Open RAN を保護することで得られる大きなメリットもあります。
参照:5GとAIがどのように連携するか(TechRepublic)
ジャンプ先:
- 5Gセキュリティとシフトレフトの利点
- オープンRANでIoTリスクが増大
5Gセキュリティとシフトレフトの利点
2022年12月、商務省傘下の国家電気通信情報局(NTI)は、5G技術スタックにおける米国企業の活動拡大を目的とした15億ドル規模の公共無線サプライチェーン・イノベーション基金に関するパブリックコメント募集を開始しました。専門家は、これらの機会に伴うリスクにイノベーションと連携して対処できなければ、これまでの進歩は無駄になってしまうと指摘しています。
サイバーセキュリティエクスポージャー管理会社Tenableの市場インサイト担当副社長であり、倫理ハッカーのギャビン・ミラード氏は、コード定義ネットワークにDevOps中心の「シフトレフト」アプローチを適用することが、オープンRANの多くの利点を享受しながらリスクを抑える重要な手段であると説明した。
「コードを開発する人々に、そのコードに対する責任を与えるのです」と彼は言った。「シフトレフトを行うと、プロセスの早い段階で検証を行うことになります。開発者はコードを作成すると同時に、そのプラットフォームで活用されるライブラリやソフトウェアの能力とセキュリティを評価することになります。私はコードを開発しながらテストを実行しています。」
同氏は、これによりセキュリティを確保しながら迅速な導入が可能になり、誤った構成の問題などを早期に発見したり、導入時に大きな問題になる可能性のあるその他の小さな問題を特定したりすることが可能になると述べた。
「ソフトウェアの導入時に検証を行い、ライブラリの脆弱性を発見することも可能です。Log4Jのエクスプロイトで見られたように、こうした脆弱性は壊滅的な問題につながる可能性があります」とミラード氏は述べた。「シフトレフトと迅速な導入により、こうしたライブラリを特定し、タイムリーに対処できるようになります。」
オープンRANでIoTリスクが増大
元FCC委員長のトム・ウィーラー氏とバージニア工科大学のデビッド・シンプソン教授による最近のブルッキングス研究所の論文で指摘されているように、米国のアプリ経済は強力なワイヤレスネットワーク、デバイス標準、インターフェースのおかげで4G LTEの登場から大きな恩恵を受けた。
「米国がIoTを活用したスマートエコノミーにおいても同様に主導権を握ろうとするならば、その拠点の安全を確保しなければなりません」とウィーラー氏は述べた。「サイバーリスクに適切に対処できなければ、米国における先進的な5G機能の展開が遅れ、ユースケースの需要シグナルが抑制され、知的財産保護能力が損なわれ、5Gへの投資が冷え込み、重要インフラが壊滅的な障害のリスクにさらされることになります。」
IoTのセキュリティ基準は今後策定されるかもしれないが、IoT業界は自主規制ができておらず、接続デバイスはいわば無法地帯になっているとミラード氏は指摘した。これらのデバイスのメーカーは、IoTにおいて「迅速、安価、安全」という「開発の三角形」を達成していないため、デバイスは侵入可能な脅威面となっているとミラード氏は述べた。これは、2016年に初めて出現し、欧州と米国で大規模なインターネット障害を引き起こしたMiraiボットネットの蔓延によって十分に実証されている。
「これらのデバイスは一般的にそれほど安全ではないため、標的となるでしょう」とミラード氏は述べた。「Miraiという名前が日本語で『未来』を意味するのには理由があります。5Gデバイスが爆発的に普及するからです。設計段階から安全でなく、ベストプラクティスにも従っていないデバイスであれば、Miraiは未来の姿を垣間見せてくれるでしょう。ハイパーコネクテッドな超高速デバイスに感染するマルウェアを作成できれば、あらゆる被害をもたらす可能性があります。」
彼は説得力のある例を挙げています。休暇中であることが分かっている大規模組織の従業員に、5GとWi-Fiを搭載した小型デバイスを郵送するとします。このデバイスは5Gネットワークに接続し、環境内を移動しながらデータを盗み出すことができます。企業は大規模なデータ窃盗を防ぐために境界を監視しているかもしれませんが、テラバイト単位のデータを盗み出すホットスポットは監視していないでしょう。
IT/OTコンバージェンスと同様に、ワイヤレス向けソフトウェア定義ネットワークを備えた最新のオープンアーキテクチャは、既存のライブラリを活用し、それらを再接続することで、Open RANが辿る道筋の一つです。これらのライブラリとリポジトリの脆弱性は、ビルドプロセスにおいてより厳重な監視を必要とします。
5G の歴史と 2023 年に注目すべき 5 つの主要トレンドについて、さらに詳しくご覧ください。
