　まず重要なことは、自社の「サイバーセキュリティ方針」は、どこのガイドラインにも書いていないということです。サイバーセキュリティ対策のゴールは、自社のビジネスリスク低減であり、ガイドライン適合ではありません。よく、「ガイドラインに書かれている要件は抽象的すぎて、どこまでやっていいか分かりません、もっと具体的に示してください」という声を聞きますが、これは、自社のビジネス環境に基づいたサイバーセキュリティ方針が定まっていないから判断できないのです。この点は、筆者自身がCISOとして活動してきた中での一番の気付きであり、ビジネス環境の変化が早く、リスクが大きいスタートアップこそ、経営判断をセキュリティ対策に即座に反映できるためのCISOの役割が重要だと感じました。

　アクセルスペースは、自社衛星を用いた地球観測データを提供する「AxelGlobe」と、超小型衛星の量産化を目指す「AxelLiner」という2つの事業を展開しています。アクセルスペースのサイバーセキュリティ対策を考える上では、企業全体に求められる一般的なサイバーセキュリティ対策に加えて、これら2つの事業特有の課題に対応したサイバーセキュリティ対策を検討する必要があります。その際には、各事業のリスク分析を行い、アクセルスペースのサイバーセキュリティ方針に従って対策を検討するのですが、ここで本ガイドラインを参照することは有用です。

　アクセルスペースの各事業と本ガイドラインの関係性を図2に示しました。例えば、AxelGlobeは、「衛星運用事業者」「衛星データプラットフォーム事業者」を兼ねているので、それぞれのシステムにおいて、3章の「★」の付いている要件を参照すればよいことになります。例えば、「3.2.3　衛星運用設備」には、「（a）設備の保護」「（b）通信の保護」「（c）ジャミング対策」「（d）データの保護」「（e）設備の検証と設備の脆弱性対策」「（f）送受信データの完全性の確保」「（g）外部サービスの利用」「（h）セキュアコーディング」についての説明や対策例が書かれています。これらの列挙された項目を見ることで検討時の観点漏れを見つけることができますし、一例として、「（g）外部サービスの利用」には、パブリッククラウドの利用についての記載があるなど、各対策の相場感をつかむことができるので、アクセルスペースの4つの方針と照らし合わせながら、各要件の対策をどこまでやるか（やらないも含めて）を検討できるのです。

図2　アクセルスペースの事業と本ガイドライン要件との対応関係［クリックで拡大］出所：経済産業省資料を基に作成

攻めのセキュリティの実現に向けて

　社会インフラとしての重要性が高まる民間宇宙システムにおいて、サイバーセキュリティは、今後は当たり前にできているものとして、顧客からさまざまなレベルでの対策を求められることが想定され、単なるコストから差別化要素のあるビジネス価値へと変化していくことでしょう。アクセルスペースが提唱する宇宙環境のサステナビリティ確保も、大量の衛星が地球の軌道を埋め尽くす未来を見据えての戦略的な投資であることを考えれば、サイバーセキュリティも同様に未来への投資と捉えることができます。

　この投資の価値を最大化するためには、自社だけが対策ができていればよいというものではありません。実際に民間宇宙システムのプロジェクトでは、多くのステークホルダーとともにシステムを企画、開発、運用するため、自社だけセキュリティ対策ができていても、システム全体のサイバーセキュリティ確保は実現できないのです。アクセルスペースも策定に関わった本ガイドラインは、このような課題解決を念頭に、業界全体の底上げと知見をシェアする目的で作成されたものです。

　従って、アクセルスペースは、日本の宇宙産業のサイバーセキュリティをリードしつつ、政府も含めた宇宙産業の仲間とともに「自助・共助・公助」の精神で、日本の宇宙産業が世界において競争力を確保するための活動を進めていきます。その活動のかなたに、「宇宙を普通の場所に」を実現した未来があると筆者は信じています。（連載完）

筆者プロフィール

佐々木弘志（ささきひろし）

国内製造企業の制御システム機器の開発者として14年間従事した後、セキュリティベンダーに転職。制御システム開発の経験をもつセキュリティ専門家として、産業サイバーセキュリティの文化醸成（ビジネス化）をめざし、国内外の講演、執筆などの啓発やソリューション提案などのビジネス活動を行っている。CISSP認定保持者。

2023年6月～現在：株式会社アクセルスペースホールディングス執行役員／CISO
2022年5月～現在：名古屋工業大学産学官金連携機構ものづくりDX研究所客員准教授（非常勤）
2021年8月～現在：フォーティネットジャパン合同会社 OTビジネス開発部部長
2012年12月～2021年7月：マカフィー株式会社サイバー戦略室シニア・セキュリティ・アドバイザー
2017年7月～現在：独立行政法人情報処理推進機構（IPA）産業サイバーセキュリティセンター（ICSCoE）専門委員（非常勤）
2016年5月～2020年12月、2021年7月～現在：経済産業省サイバーセキュリティ課情報セキュリティ対策専門官（非常勤）

≫連載「民間宇宙産業向けサイバーセキュリティ入門」バックナンバー
民間宇宙システムサイバーセキュリティガイドラインの概要【後編】
「民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン」を基に、宇宙産業スタートアップ企業のCISOの視点で捉えたサイバーセキュリティ対策のポイントと進め方例を紹介する本連載。第3回は、本ガイドラインの概要紹介の後編となる。
民間宇宙システムサイバーセキュリティガイドラインの概要【前編】
「民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン」を基に、宇宙産業スタートアップ企業のCISOの視点で捉えたサイバーセキュリティ対策のポイントと進め方例を紹介する本連載。第2回は、本ガイドラインの概要紹介の前編となる。
民間宇宙システムにサイバーセキュリティ対策が求められる3つの理由
「民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン」を基に、宇宙産業スタートアップ企業のCISOの視点で捉えたサイバーセキュリティ対策のポイントと進め方例を紹介する本連載。第1回は、本ガイドライン策定の背景について説明する。
いきなり社長に呼ばれたらDXセキュリティ対策を丸投げされた件
中堅化学薬品メーカーのABC化学薬品に勤める新卒入社6年目の青井葵。彼女はいきなり社長室に呼ばれ、社内DXセキュリティプロジェクトチームのリーダーに任命される。それまで社内のセキュリティ問い合わせ担当だった青井にとって、これはいきなり荷が重すぎる！　元工場長の変わり者、古井課長の支援の下、果たしてプロジェクトの命運はいかに!?
IoT時代の安心・安全に組織面の対応が重要となる理由
製造業がIoT（モノのインターネット）を活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第1回は、技術面以上に、なぜ組織面での対応が重要となるのかについて説明する。
なぜ今、制御システムセキュリティがアツいのか？
なぜ今制御システムセキュリティが注目を集めているのか。元制御システム開発者で現在は制御システムセキュリティのエバンジェリスト（啓蒙することを使命とする人）である筆者が、制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する。
経産省BASセキュリティガイドラインの必要性と策定の経緯
本連載は、経済産業省によって、2017年12月に立ち上げられた「産業サイバーセキュリティ研究会」のワーキンググループのもとで策定され、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。あまりセキュリティに詳しくない方でも分かるように、なるべく専門用語を使わずに説明する。