英国のデジタル・文化・メディア・スポーツ省(DCMS)が昨年導入した電気通信セキュリティ法案は、モバイルおよび固定回線通信システムの構築と運用の方法を変えることを目的としている。
この法案は、国家安全保障における通信ネットワークの重要性を認めたものであり、主にファーウェイやZTEといったいわゆる「高リスク」ベンダーの機器の使用増加によって促進された。
しかし、ネットワーク事業者からの反応は冷淡だ。ISPやモバイルネットワーク事業者は国の通信インフラの完全性を確保することの重要性を認識しているものの、問題は細部にこそ潜んでいる。電気通信セキュリティ法案で提案されている抜本的な改革は、通信事業者に多大なコスト負担をもたらし、既存設備の撤去と交換を余儀なくさせ、進行中のネットワークアップグレードに支障をきたす可能性がある。
しかし、事業者を悩ませているのは、新たなインフラのコストだけではありません。1月にDCMSは、侵入やセキュリティ侵害の特定を目的としたネットワーク監視とセキュリティ確保に関して事業者が負う義務をより詳細に規定した法定規則案[PDF]を公表しました。
衰退するより燃え尽きる方が良い ファーウェイ:英国が撤去・交換規則のスケジュールを発表
続きを読む
提案された要件の1つでは、ネットワークプロバイダーは「異常なアクティビティを特定する目的で」通過する接続を監視するために「適切な措置を講じる」必要があると規定されています。さらに、ネットワークへの「すべてのアクセスの記録を13か月間保持する」という要件も定義されています。
この要件はISP業界に懸念を引き起こしました。本稿で入手した法令案に対する回答の中で、インターネットサービスプロバイダー協会(ISPA)は、これらのデータ保持要件は「不明確」かつ「不均衡」であると述べました。
「これらの要件を満たすために、信号の内容を除く以外にどの程度のレベルのデータを記録する必要があるのか、正確には不明です」と同社は述べている。「例えば、エンドユーザーのサービスへのアクセスに関するデータ、社内アクセスログ、インターネット接続記録などを保持することを目的としたものでしょうか?」
この曖昧さにより、業界は政府に対し、この要件を実施することの実現可能性や、実施することで発生する可能性のあるコストに関する情報を提供できないと同社は述べている。
他の提案は、ネットワークセキュリティを強化するどころか、むしろ弱体化させるという皮肉な結果をもたらす可能性がある。この法案は、ネットワークに対し「監視、分析、調査を不当に制限する行為を防止する」ことを義務付ける。
現状では、この要件が暗号化とどのように共存できるかは分かりません。
「(この要件は)特にインターネットアーキテクチャの様々なレイヤーを暗号化するための変更が進行中であることから、広範囲にわたる影響を及ぼす可能性があります。この条項を遵守するためにプロバイダーに求められる行動について、より詳細な情報が得られれば、その影響を評価することができます」とISPAは述べています。
1995年に設立されたISPAは、英国の固定回線ネットワーク事業者を代表する業界団体です。会員には、Virgin Media、BT、Community Fibre、Openreach、Nominetなどが含まれており、商業団体を代表して政府へのロビー活動を行っています。
ISPAの解説では、調査権限法(IPA)などを通じて監視要件が既に存在していることも指摘されています。プライバシー擁護派の懸念をよそに2016年に可決されたIPAの要件、そして政府機関によるデータアクセスの仕組みは明確に定義されています。また、ISPが同法の遵守に伴う費用を回収できる枠組みも含まれています。
提案されている電気通信セキュリティ法案の法定文書には、このレベルの詳細が明らかに欠如しています。ISPAは回答の中で、ISPに既存の義務を超えてデータを保持することを強制することは競争を阻害し、追加コストによって全国規模のギガビット接続の展開が阻害される可能性があると懸念を表明しました。
捜査権限法:あなたは妄想しているわけではありません。UK.govは本当にあなたを監視しています
続きを読む
ISPAは、ISPが記録義務を負うデータについてDCMSがさらに明確にすることを期待している一方で、財政支援も重要な要望事項の一つである。「規制が(捜査権限法と)類似、あるいは少しでも類似した義務を課そうとしているのであれば、同等の(支援)枠組みが適用されるべきだ。これには、義務を果たすための金銭的補償と支援が含まれるべきだ。」
ISPAはまた、この法定規則[PDF]に対する別の回答の中で、米国連邦通信委員会が地方の小規模ネットワークに提供しているものと同様の、高リスクベンダーの排除にかかる費用を小規模固定回線ネットワーク事業者に払い戻す制度を政府に創設するよう要請した。
「(高リスクベンダーに対する)制限方針が固定光ファイバーネットワークに及ぼす影響は、まだ完全には解明されていない」と報告書は述べている。「エンドユーザー向けに、相互接続された多様なネットワークとサービスを提供している企業は、多種多様かつ多数存在する。その中には、業界内の他の企業と同等のコンプライアンスや財務支援を受けられない中小企業も含まれるだろう。」
これまでのところ、撤去・交換義務化の主な焦点は5G無線通信事業者に当てられており、事業者は自力で費用を負担せざるを得ない状況となっている。DCMSは、既存のファーウェイ製5G機器の撤去費用を20億ポンドと見込んでいる。また、BTは5Gおよび固定回線ネットワークからファーウェイ製機器を撤去するために約5億ポンドを費やすと発表している。
さらに、これが経済成長と競争力を阻害する可能性があると懸念する声も上がっています。政策研究センターの報告書によると、通信事業者が5Gの展開に大幅な遅れをとった場合、英国は410億ポンドの経済効果を失う可能性があるとされています。
BT:英国政府のファーウェイに対する判決は今後5年間で5億ポンドの損失をもたらす
続きを読む
ファーウェイの委託を受けアナリスト会社アセンブリーが出した別の報告書では、5Gの展開が3年遅れた場合の損失額は182億ポンドと試算されている。
業界全体の懸念
ISPAが表明した懸念は、他の業界関係者にも共有されている。インターネット電話サービスプロバイダー協会(ITSPA)が作成した回答書[PDF]では、現在の文言は、デジタル担当大臣に、ほとんど監視のないままネットワークの「技術的方向性を指示する権限」を与えるものだと述べている。この「制約のない」権限は、歴代政権が採用してきた規制への軽視的なアプローチを覆すものだとITSPAは付け加えている。
RingCentralとZen Internetが加盟するITSPAは、監督体制の構築を強く求めました。ISPに課される要件は、二重のロックテスト(二重のロックテスト)を満たすことが義務付けられます。最初の「ロックテスト」は、価格上昇の可能性を考慮要素として明示的に指定した上で、措置の比例性を検証します。2つ目のテストは、コンプライアンス体制が特定の事業者に不当な不利益をもたらし、ひいては市場に歪曲的な影響を及ぼすかどうかを検証します。
Red Hat、Verizon、Barclaysなどが加盟する非営利業界団体techUKは、ISPAが提起した懸念[PDF]に同調し、この規制環境がどのように機能するかという詳細な点が全体的に不明確であること、そしてコンプライアンスのための財政支援が全くないことを指摘した。techUKは、法案の撤去義務によって発生するコストを考えると、これは不釣り合いだと述べている。
「コンプライアンス遵守と高リスクベンダーの排除にかかるコストを考慮すると、例えば業界が執行体制に資金を提供する必要はないとテックUKは考えている」と同社は述べた。
英国は、セキュリティ侵害を受けた通信事業者への復讐の軍団を合法的に解き放つための通信規制当局への新たな権限を提案している
続きを読む
法令の文言修正を求めるロビー活動が継続していることから、ISPは公にこの法律を非難することに消極的だった。あるISP関係者はThe Registerに対し、「政府がハイリスクベンダーに関する議論を利用して、市場に対して高圧的なアプローチを取ろうとしているのではないかと、業界内では懸念が広がっている」と語った。
「彼らは企業に何を買って何を買ってはいけないかを指示し、合併に介入し、事業運営方法を規制し、ネットワークの監視方法を指示しています。しかし、業界への影響を十分に理解しておらず、必要な安全対策や支援を講じておらず、当然のことながら公の場で議論もしていません。パンデミックからの回復に非常に重要な業界を支援する方法としては、奇妙なやり方に思えます。」
ISPA会長のアンドリュー・グローバー氏は、「セキュリティはISP業界にとって最優先事項であり、会員や政府と緊密に協力して、電気通信セキュリティ法案の義務を精査してきました。今後も、これらの措置が適切かつ実行可能なものとなるよう、尽力していきます」と述べました。
DCMS から次のような声明が届きました。
「我々の通信ネットワークのセキュリティは最も重要であり、将来にわたってそれを守るために厳しい新しいセキュリティ基準を導入することが極めて重要です。
「多くの組織が意見を持っていることは承知しており、法案が成立次第、行動規範の草案に関する協議を開始し、影響を受けるすべての人々の反応を慎重に検討します。」®
