次に、「宇宙システム特有の対策」について解説します。こちらも、「共通的対策」と同様に、民間宇宙システムのリスクシナリオをもとに、そのリスク低減のための要件が5つに整理されています(図1、表2)。
共通的対策との相違点は、対象となる事業者が要件ごとに異なることです。「衛星開発事業者」が5つの要件全てに関わるのに対し、「衛星所有者」は2つの要件のみを参照すれば良いことになっています。また、「共通的対策」には、「基本対策事項」しか要件がなかったのに対し、3.2.2、3.2.3、3.2.4の要件には、「高いセキュリティレベルが求められる場合」というただし書きが追加されており、基本対策事項の適用対象を緩和しています。これは、事業者の判断で「リスクに応じた対策」を選択できるようにする側面と、民間/軍事の共同利用などリスクが高いシステムに対する要件を明確化するという側面があります。
「宇宙システム特有の対策」というと、「3.2.2 衛星本体」の対策をまず想起するのではないかと思います。実際、衛星は、重量や消費電力を抑えることが、性能を決定的に左右することと、一度打ち上げてしまうと、根本的な設計変更はできないなどの事情から、セキュリティ対策を導入することが非常に困難な場合があります。暗号化など、昨今のIT環境では当たり前になっている要件でさえ、簡単に追加できるものではなく、宇宙システム特有の事情があるといえます。
一方で、地上側の衛星運用/データ利用設備、開発/製造設備は、クラウド利用が進むなど、ITの進歩の恩恵を受けやすく、セキュリティ対策も一般的な要件を実現することが可能です。しかし、宇宙産業に限らない話ではありますが、サイバーセキュリティリスクの把握の困難さ、経営層の理解不足といった技術的な要件ではない事情で対策が進まない現状があり、その推進のために本ガイドラインを活用することが有効でしょう。
最後に、本ガイドラインの各要件をどのような考え方で実装するかについてCISOの視点から説明します。
前回も述べた通り、ガイドラインの適用が任意である以上、優先度高く対応するものではないのですが、せっかくの公的なガイドラインですから、うまく活用したいところです。ここで留意すべきなのは、「説明責任と実効性のバランス」です。
説明責任でいえば、CISOとしては、社内外に「私たちはビジネスリスクを踏まえたサイバーセキュリティ対策を実施しています」と広く知らしめたいわけです。その際に「公的な本ガイドラインに適合しています」といえることで、一定の説明責任を果たすことができます。一方で、世の中のサイバーセキュリティガイドラインの大半は、その実装の詳細を利用者の判断に委ねています。すなわち、各項目を実装する際には、リスクに応じた実効的な対策が求められます。逆に言えば、リスク低減につながらない、もしくはビジネスリスクが生じる要件は実施しない選択肢もあるのです。
ガイドライン適合はあくまでリスク低減の手段であって、目的ではありません。すなわち対外的な説明のためにガイドラインを活用しつつ、実装面ではビジネス全体の実効性を重視するといったバランスが重要なのです。
次回は、説明責任と実効性を考慮し、本ガイドラインの対策要件を活用しつつ、宇宙産業スタートアップであるアクセルスペースのCISOの立場で捉えた自社の民間宇宙システムのセキュリティ対策の考え方を説明します。
佐々木 弘志(ささき ひろし)
国内製造企業の制御システム機器の開発者として14年間従事した後、セキュリティベンダーに転職。制御システム開発の経験をもつセキュリティ専門家として、産業サイバーセキュリティの文化醸成(ビジネス化)をめざし、国内外の講演、執筆などの啓発やソリューション提案などのビジネス活動を行っている。CISSP認定保持者。
2023年6月〜現在:株式会社アクセルスペースホールディングス 執行役員/CISO
2022年5月〜現在:名古屋工業大学 産学官金連携機構 ものづくりDX研究所 客員准教授(非常勤)
2021年8月〜現在:フォーティネットジャパン合同会社 OTビジネス開発部 部長
2012年12月〜2021年7月:マカフィー株式会社 サイバー戦略室 シニア・セキュリティ・アドバイザー
2017年7月〜現在:独立行政法人 情報処理推進機構(IPA)産業サイバーセキュリティセンター(ICSCoE)専門委員(非常勤)
2016年5月〜2020年12月、2021年7月〜現在:経済産業省 サイバーセキュリティ課 情報セキュリティ対策専門官(非常勤)
Copyright © ITmedia, Inc. All Rights Reserved.