【EU】欧州委、5GネットワークとOpen-RANのセキュリティ評価報告書発表。慎重姿勢強調

　EU加盟国は5月11日、欧州委員会と欧州ネットワーク・情報セキュリティ機関（ENISA）と協働で、次世代通信規格「5G」とOpen RANのサイバーセキュリティに関する報告書を発表した。

　今回の報告書は、5GとOpen RANの実装が進むことによるセキュリティへの影響を分析したもの。加盟国全体で5Gサイバーセキュリティに関する「EUツールボックス」を用いて、5Gネットワークのセキュリティを強化するため、協調して作業が実施されている。

　欧州委員会は2020年1月、EUとしての方針をまとめたドキュメント「5Gツールボックス」を発表していた。また、2020年12月には5Gを含めたEUサイバーセキュリティ戦略を発表し、EU全域でのリスク軽減アプローチの実施とナレッジの共有と能力開発の支援を行う方針も示している。

【参考】【EU】欧州委、5G通信規格で加盟国向け指針発表。1社依存や高リスク事業者への依存低減を要請（2020年2月4日）
【参考】【ヨーロッパ】EU、5Gネットワークでファーウェイ排除の動き。英国は2027年末までの排除決定（2020年8月2日）

　今回の報告書では、Open-RANに移行へは慎重なアプローチを実施することを推奨。既存の信頼性の高い技術からの移行や新技術の併用は、事前にリスクを評価し、適切な緩和策を実施し、障害が発生した際の責任を明確に定義する必要がある。十分な時間とリソースを確保して実施するべきだとした。

　Open-RANが評価された点は、ネットワーク機器のサプライヤーの多様化を促進すること。同ツールボックスでは、単一サプライヤーへの依存を避け、適切なマルチベンダー戦略を持つことを推奨している。

　また、オープンインタフェースと標準化によるネットワークの透明性の向上、自動化による人為的なミスの低減、仮想化とクラウドベースのソリューションによる可用性の向上が期待できることも評価。一定の条件下においてOpen RANネットワークはセキュリティ的に問題なく運用ができる可能性があるとした。

　一方で、Open-RANのコンセプトはまだ成熟しておらず、サイバーセキュリティ上の課題は大きいとした。

　特に短期的には、ネットワークの複雑性が増しセキュリティリスクが高くなる危険性がある見方を示した。結果、サイバー攻撃対象範囲の拡大と攻撃の増加、ネットワーク設定ミスの増加、ネットワークリソースの共有による他の機能への影響などが発生することを懸念した。

　また、O-RANアライアンスが現在開発している技術仕様が未熟であるため、システム設計上の欠陥があり、コンポーネント間やクラウド上で重度の依存関係の増加、新たに発生させる可能性があることも指摘した。

　これらのリスクを軽減し、Open RANのメリットを享受するために、同ツールボックスに基づく５つのアクションを推奨した。

• 携帯電話事業者による大規模なOpen RANの導入計画を精査し、必要に応じてその展開と運用について、制限、禁止、特定の条件を課すことができるように、規制当局の権限を活用する
• 認証や認可などのキーとなる技術のコントロールを強化し、各コンポーネントを監視するモニタリング設計を十分に行う
• Open-RANに関わるプロバイダーのリスクプロファイルを評価し、管理と制限を行う
• 世界貿易機関（WTO）の「貿易の技術的障害に関する協定（TBT）」に則り、セキュリティ技術仕様を開発する
• 5Gサイバーセキュリティ認証制度に、可能な限り早い段階でOpen-RANコンポーネントを含める

【参照ページ】Cybersecurity of 5G networks: EU publishes report on the security of Open RAN

株式会社ニューラル サステナビリティ研究所