　共通的対策との相違点は、対象となる事業者が要件ごとに異なることです。「衛星開発事業者」が5つの要件全てに関わるのに対し、「衛星所有者」は2つの要件のみを参照すれば良いことになっています。また、「共通的対策」には、「基本対策事項」しか要件がなかったのに対し、3.2.2、3.2.3、3.2.4の要件には、「高いセキュリティレベルが求められる場合」というただし書きが追加されており、基本対策事項の適用対象を緩和しています。これは、事業者の判断で「リスクに応じた対策」を選択できるようにする側面と、民間／軍事の共同利用などリスクが高いシステムに対する要件を明確化するという側面があります。

　「宇宙システム特有の対策」というと、「3.2.2　衛星本体」の対策をまず想起するのではないかと思います。実際、衛星は、重量や消費電力を抑えることが、性能を決定的に左右することと、一度打ち上げてしまうと、根本的な設計変更はできないなどの事情から、セキュリティ対策を導入することが非常に困難な場合があります。暗号化など、昨今のIT環境では当たり前になっている要件でさえ、簡単に追加できるものではなく、宇宙システム特有の事情があるといえます。

　一方で、地上側の衛星運用／データ利用設備、開発／製造設備は、クラウド利用が進むなど、ITの進歩の恩恵を受けやすく、セキュリティ対策も一般的な要件を実現することが可能です。しかし、宇宙産業に限らない話ではありますが、サイバーセキュリティリスクの把握の困難さ、経営層の理解不足といった技術的な要件ではない事情で対策が進まない現状があり、その推進のために本ガイドラインを活用することが有効でしょう。

説明責任と実効性のバランス

　最後に、本ガイドラインの各要件をどのような考え方で実装するかについてCISOの視点から説明します。

　前回も述べた通り、ガイドラインの適用が任意である以上、優先度高く対応するものではないのですが、せっかくの公的なガイドラインですから、うまく活用したいところです。ここで留意すべきなのは、「説明責任と実効性のバランス」です。

　説明責任でいえば、CISOとしては、社内外に「私たちはビジネスリスクを踏まえたサイバーセキュリティ対策を実施しています」と広く知らしめたいわけです。その際に「公的な本ガイドラインに適合しています」といえることで、一定の説明責任を果たすことができます。一方で、世の中のサイバーセキュリティガイドラインの大半は、その実装の詳細を利用者の判断に委ねています。すなわち、各項目を実装する際には、リスクに応じた実効的な対策が求められます。逆に言えば、リスク低減につながらない、もしくはビジネスリスクが生じる要件は実施しない選択肢もあるのです。

　ガイドライン適合はあくまでリスク低減の手段であって、目的ではありません。すなわち対外的な説明のためにガイドラインを活用しつつ、実装面ではビジネス全体の実効性を重視するといったバランスが重要なのです。

　次回は、説明責任と実効性を考慮し、本ガイドラインの対策要件を活用しつつ、宇宙産業スタートアップであるアクセルスペースのCISOの立場で捉えた自社の民間宇宙システムのセキュリティ対策の考え方を説明します。

筆者プロフィール

佐々木弘志（ささきひろし）

国内製造企業の制御システム機器の開発者として14年間従事した後、セキュリティベンダーに転職。制御システム開発の経験をもつセキュリティ専門家として、産業サイバーセキュリティの文化醸成（ビジネス化）をめざし、国内外の講演、執筆などの啓発やソリューション提案などのビジネス活動を行っている。CISSP認定保持者。

2023年6月～現在：株式会社アクセルスペースホールディングス執行役員／CISO
2022年5月～現在：名古屋工業大学産学官金連携機構ものづくりDX研究所客員准教授（非常勤）
2021年8月～現在：フォーティネットジャパン合同会社 OTビジネス開発部部長
2012年12月～2021年7月：マカフィー株式会社サイバー戦略室シニア・セキュリティ・アドバイザー
2017年7月～現在：独立行政法人情報処理推進機構（IPA）産業サイバーセキュリティセンター（ICSCoE）専門委員（非常勤）
2016年5月～2020年12月、2021年7月～現在：経済産業省サイバーセキュリティ課情報セキュリティ対策専門官（非常勤）

≫連載「民間宇宙産業向けサイバーセキュリティ入門」バックナンバー
民間宇宙システムサイバーセキュリティガイドラインの概要【前編】
「民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン」を基に、宇宙産業スタートアップ企業のCISOの視点で捉えたサイバーセキュリティ対策のポイントと進め方例を紹介する本連載。第2回は、本ガイドラインの概要紹介の前編となる。
民間宇宙システムにサイバーセキュリティ対策が求められる3つの理由
「民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン」を基に、宇宙産業スタートアップ企業のCISOの視点で捉えたサイバーセキュリティ対策のポイントと進め方例を紹介する本連載。第1回は、本ガイドライン策定の背景について説明する。
いきなり社長に呼ばれたらDXセキュリティ対策を丸投げされた件
中堅化学薬品メーカーのABC化学薬品に勤める新卒入社6年目の青井葵。彼女はいきなり社長室に呼ばれ、社内DXセキュリティプロジェクトチームのリーダーに任命される。それまで社内のセキュリティ問い合わせ担当だった青井にとって、これはいきなり荷が重すぎる！　元工場長の変わり者、古井課長の支援の下、果たしてプロジェクトの命運はいかに!?
IoT時代の安心・安全に組織面の対応が重要となる理由
製造業がIoT（モノのインターネット）を活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第1回は、技術面以上に、なぜ組織面での対応が重要となるのかについて説明する。
なぜ今、制御システムセキュリティがアツいのか？
なぜ今制御システムセキュリティが注目を集めているのか。元制御システム開発者で現在は制御システムセキュリティのエバンジェリスト（啓蒙することを使命とする人）である筆者が、制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する。
経産省BASセキュリティガイドラインの必要性と策定の経緯
本連載は、経済産業省によって、2017年12月に立ち上げられた「産業サイバーセキュリティ研究会」のワーキンググループのもとで策定され、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。あまりセキュリティに詳しくない方でも分かるように、なるべく専門用語を使わずに説明する。
今、電力システムにセキュリティが必要とされている4つの理由
電力システムに、今、大きな転換期が訪れている。電力自由化やスマートメーターの普及など、より効率的な電力供給が進む一方で、これまで大きな問題とならなかった「サイバーセキュリティ」が重要課題となってきたのだ。本連載では、先行する海外の取り組みを参考にしながら、電力システムにおけるサイバーセキュリティに何が必要かということを紹介する。