「民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン」を基に、宇宙産業スタートアップ企業のCISOの視点で捉えたサイバーセキュリティ対策のポイントと進め方例を紹介する本連載。最終回の第4回は、筆者がCISOを務めるアクセルスペースを題材に、民間宇宙システム事業者に求められる「攻めのセキュリティ対策」について説明する。
今、宇宙産業が注目を集めています。大型の衛星だけでなく、多数の中小型の衛星が連携(コンステレーション)することで、新しい価値を生む通信/観測インフラの構築が進んでいます。また、安全保障の観点でも、民間システムを軍事利用するデュアルユースの動きが国際的に進められています。
そして、このように重要性が高まる宇宙システムに対するサイバーセキュリティ対策もビジネス課題となっています。本連載では、経済産業省が2022年8月に公開し、2023年3月にVer 1.1にアップデートした「民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン」(以下、本ガイドライン)の解説を踏まえて、宇宙産業スタートアップ企業のCISO(最高情報セキュリティ責任者)の視点で捉えた、サイバーセキュリティ対策のポイントと進め方例を紹介します。
⇒連載「民間宇宙産業向けサイバーセキュリティ入門」バックナンバー
「Space within Your Reach(宇宙を普通の場所に)」は、アクセルスペースのビジョンです。アクセルスペースは、2023年8月に創業15周年を迎えた宇宙スタートアップ企業で、ビジョンに掲げた通り、宇宙を「遠い憧れの場所」から、ビジネスにおいて「身近に使う場所」に変えるべく、超小型衛星の開発/製造/運用および衛星データ画像の提供サービスを行っている会社です。また、日本で初めて超小型衛星群のコンステレーション運用を実現し、今後の衛星量産に向けて、宇宙環境のサステナビリティ確保に向けたルール作りを提唱している会社でもあります。このような先進的なビジョンの下で、近年活況を呈してきた日本の民間宇宙産業を長年に渡ってリードしてきました。
連載の最終回である今回は、本ガイドラインの対策要件を活用しながら、アクセルスペースのCISOの視点で捉えた、サイバーセキュリティ対策のポイントと進め方を紹介します。
その前に、なぜアクセルスペースにはCISOが設置されているのかを説明します。宇宙産業に限らず、スタートアップ企業でCISOを設置していることは珍しいのですが、アクセルスペースでは、2023年6月に経営体制を刷新し、同時にCISOを設置しました。そのときのプレスリリースの一文に、CISO設置の意義を読み取ることができます。
……(前略)……新体制によって、経営判断に必要な状況のリアルタイム可視化のためのDX推進、現在130名を超える組織のさらなる拡大と近い将来の海外展開を見据えたHR機能の強化、事業の安全性と価値を高める攻めのセキュリティの実現、AxelGlobe・AxelLiner両事業のスピード感ある成長を実現していきます。
引用文内にある「攻めのセキュリティ」という言葉には、アクセルスペースのサイバーセキュリティは、単に事業の安全性を確保するためのコストではなく、ビジョンを実現するための企業価値を高める投資であるという意味が込められています。この「攻めのセキュリティ」を実現するためにCISOが設置されたというわけです。
では、「攻めのセキュリティ」を実現するためには、どのようなサイバーセキュリティ方針を定めればよいのでしょうか。アクセルスペースは、現在140人を超える社員によって構成され、そのうち3割は外国人という多様性のあふれる企業です。また、事業の成長に伴い社員数も急増しているため、サービス提供基盤や開発環境のスケーラビリティ(拡張性)が重要なため、クラウドサービスも積極的に活用しています。
このような環境においては、「サイバーセキュリティを気にしなくても、自由にシステムを拡張してモノづくりができる」ことを目指しがちです。しかし、本連載でも述べてきた通り、社会インフラとしての民間宇宙システムの重要性が高まるにつれて、サイバーセキュリティの「説明責任」が問われています。実際、国内外のプロジェクトの調達要件に、サイバーセキュリティの項目が示されるようになってきました。すなわち、ビジネスを進めるためには、それら要求に応えるサイバーセキュリティ対策を実施する必要があります。
このビジネス環境を踏まえたアクセルスペースのサイバーセキュリティ方針を図1に示しました。大きな方針として、「スケーラビリティ」「防御+事故対応」「制限より監視」「自動化」の4つを掲げています。「スケーラビリティ」と「自動化」は、サイバーセキュリティ対策を検討する際に、運用管理も含めて、社員数の増加に対応できるかという観点を大事にした結果です。潤沢に資金や人材があるわけではない中で、設定管理の工数の多い対策を選んでしまうと、すぐに運用が回らなくなってしまい、結果的に管理不良が発生して、ビジネスリスクが増大するからです。
また、「防御+事故対応」と「制限より監視」は、ビジネスの迅速性を失わないことを目指すがゆえの方針です。例えば、開発者であれば、さまざまな社内外のリソースを活用して新しい価値を生むことが重要ですが、セキュリティ保護やアクセス制限が強すぎると、スタートアップならではの良さが失われてしまいます。また近年のサイバー攻撃の高度化に伴い、攻撃を防ぎ切ること自体が難しくなってきました。であれば、サイバー攻撃を前提として、防御だけでなく、事故対応の迅速化に注力し、内部不正対策としても、さまざまな活動を制限するのではなく、監視を行いログ証跡を取ることの抑止力でカバーします。こうすれば、リスクを低減しつつ新しいことにチャレンジできる環境を提供できます。
これら4つの方針を基に、対外的な「説明責任の確保」とビジネスリスク低減のための「実効性の確保」を両立することで、アクセルスペースの製品/サービスの価値向上と差別化を目指すことが「攻めのセキュリティ」なのです。
Copyright © ITmedia, Inc. All Rights Reserved.