宙畑 Sorabatake

宇宙ビジネス

世界的に広がる脅威の現状と対策、宇宙産業におけるサイバーセキュリティの最前線【イベントレポート】

3月28日に開催されたイベント「宇宙産業におけるサイバーセキュリティの最前線(三井住友海上主催)」の内容をまとめて紹介します。

3月28日、「宇宙産業におけるサイバーセキュリティの最前線(三井住友海上主催)」というテーマでセミナーが開催され、官民の様々な観点から近年重要視されているサイバーリスクについて活発な議論が交わされました。

(1)世界的に急増するランサムウェアの被害。宇宙産業も他人ごとではない!

イベントのプログラムの順番とは前後してしまいますが、まずは、八雲法律事務所の黒柳弁護士より解説された、近年の重大インシデントを踏まえたサイバーリスクの最新動向についてまずは紹介します。

独立行政法人情報処理推進機構(IPA)によると、情報セキュリティ10大脅威として、毎年ランキングを発表しており、2024年の第1位は、ランサムウェアによる被害となっています。

宙畑メモ:「ランサムウェア」とは、PCやスマホのデータを暗号化して利用できなくし、その復元と引き換えに、身代金を要求するウイルスです。近年、機密情報の暴露を行うと脅迫し、データの非開示と引き換えに、身代金を要求する被害も増加しています。

ランサムウェアによる被害は2021年から4年連続の1位で、国内外問わず多くの被害が出ており、様々な組織から深刻なリスクと捉えられています。例えば、中国の銀行の決済システムや米国企業の石油のパイプラインでは、業務が停止する事態に陥り、その障害対応やシステム復旧の身代金として、数億から数十億の被害額が生じています。

情報セキュリティ10大脅威 2024(組織向け)
Credit : 独立行政法人情報処理推進機構(IPA) Source : https://www.ipa.go.jp/security/10threats/m42obm00000044ba-att/setsumei_2024_soshiki.pdf

ランサムウェアの被害は、実態として、2日1回の頻度で起きており、自然災害以上のリスクとなっているそうです。

八雲法律事務所の黒柳弁護士は、昨今のランサムウェアの被害の状況を踏まえ、宇宙業界における対策の必要性を以下のように強調しました。

「宇宙産業は、通信技術の発展によって、宇宙空間のインフラとしての重要性がますます高まっていると思います。また、衛星で観測されたデータは軍事にも役立つような、とてもセンシティブな情報だと思います。なので、宇宙ビジネスの企業も存在感がどんどん高まっており、狙われていると思っていただく必要があります。」

(2)例外なく脅威が迫っている宇宙システム、対策はある?

小型SAR衛星の開発と運用、解析ソリューションを提供するSynspectiveのSecurity and IT Unit Managerの小出さんからは、宇宙システムを取り巻く環境とその対策について説明がありました。同社を例とすると、主要技術である、地球観測衛星(SAR/光学)であり、経済産業省のモデルをもとに、セキリティ対策が必要な要素を洗い出しているそうです。

セキュリティ対策が必要な宇宙システム
(宇宙事業社にとって、赤枠の地球観測衛星(SAR/光学)は特に対策が必要)

宇宙システムに対するインシデントは実際に起きており、衛星が制御不能となったり、GPS電波が妨害されたり、多くの被害が出ています。近年、衛星の乗っ取りなど攻撃を目的とした研究も出てきており、より緊張感が増しています。

「 民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインVer 2.0でも過去の宇宙システムにおけるサイバーセキュリティインシデント事例がまとめられていました。

民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインVer 2.0より Credit : 経済産業省

【サイバーセキュリティの関連記事】

そういったリスクに対して、宇宙事業者は、3つの法令(宇宙活動法、衛星リモセン法、外為法)の要求に従って厳重な対策をしているとのことでした。

衛星リモセン法での管理対象例
(光学やSARデータは機微な情報のため、特に扱いが厳重とのこと)

小出さんは、2番目の衛星リモセン法における、地球観測データのセキリティ管理について以下のように説明されています。

「衛星リモセン法の対象となるデータは、非常に厳しい安全管理措置を要求されます。例えば、物理的・システム的に対策された環境が必要となれば、外から侵入されないように、勝手に持ち出されないようにというのが求められており、スタンドアローンの環境を構築して、その中で運用しております。」

また、衛星開発における、オープンソースコード利用の拡大や人材の流動性の高まりによって、衛星開発技術がコモデティ化しており、ソフトウェアの脆弱性への懸念が高まっているそうです。さらには、特定の時間で撮像した画像データを切り出して、地上へダウンリンクする(エッジコンピューティング)技術が出てきており、そこで使われるのは汎用的なOSのため、脆弱性への対策がより求められると強調されていました。

(3)日本の宇宙産業におけるセキリティ対策をどう進めるか?官民の連携

経済産業省、製造産業局宇宙産業室室長の伊奈さんからは、「『民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン』の全容と我が国の宇宙産業におけるサイバーセキュリティの位置づけ」と題して、日本におけるサイバーセキュリティの取り組みについて紹介がありました。

日本の宇宙産業は30年代までに8兆円規模への拡大が見込まれており、小型コンステレーション、特に商業衛星利用を促進していると話します。その中で、商業衛星のセキュリティ対策についても取り組みが進んでいるそうです。

その取り組みの1つとして挙げられたのは、ガイドラインの作成です。3年前から、ベンチャー大手、様々な企業が参画する宇宙産業SWGを設立しており、その団体の取り組みとして、年更新でセキリティ対策に関するガイドラインを作成しています。ガイドラインの中では、宇宙システムを4つに大別し、それに対する13のリスク事例が挙げられています。これを基礎として、民間企業(衛星事業社)が各サブシステム(衛星本体や運用設備)ごとに、どのようにセキリティ対策するか、検討することを目指しているそうです。

ガイドラインにおける宇宙システムの標準的なモデル(民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインVer 2.0より) Credit : 経済産業省

2つ目の取組は、民間での情報共有の場を提供することです。米国ではSpace ISACという民間でのセキリティ情報共有の場があり、それを参考に、経済産業省でも同様の機会を設ける取組をしてきたそうです。また、民間主体の取組として、2021年にスペースセキリティ勉強会が発足しています。現在は10社ほどだそうですが、民間中心にセキリティ情報共有の場とされているそうで、セキリティレベルの底上げが期待されます。

伊奈さんは、この取組みについて以下のようにコメントされていました。

「民間の中で信頼できる人たちの輪の中で、機微な情報も共有する動きも出てきているのは、我が国の宇宙セキリティ対策促進の観点で、非常に良い動きだなと思っております。」

(4)ディスカッション

イベントの後半では、スカイゲートテクノロジズ社 CEOの粟津さんをモデレータに、八雲法律事務所の黒柳さんとSynspective社の小出さん、Location Mind社 Space Division部門長 の藤田さんを新たに加え、ディスカッションが展開されました。

 

その中で、Location Mind社の藤田さんは、位置情報であるGPS信号は、改ざんに弱いオープンシグナルであるため、位置偽装アプリや無人航空機で悪用される事例が近年見られており、それに対する対策が重要だと指摘していました。専門性がなくとも、簡単に実行できてしまう分、それを防止する取り組みが求められています。

【宙畑の関連記事】

「位置情報を扱う産業はたくさんありますし、これからどんどん活用領域が広がっていくところかなと思います。ドローン関係、将来的には自動運転、自動航行、そういった人の手を介さないようなもので、制御されていくような領域であると、より大切になってきます。」

Location Mind社の位置情報認証サービス

位置情報など、信頼性に関わる情報は、セキリティ分野での根幹であり、それが崩れると、産業自体が大きくダメージを受けてしまいます。黒柳さんも位置情報の正確性について、以下のように話します。

「正確性の求められるところ、特に病院は命に関わるところなので、そういったところは(位置情報などとは)別に重要で、セキュリティ対策がより重要になってくるかと思います。」

小出さんは、宇宙システムについて上記のようなリスクから信頼性を守る取り組みとして「人工衛星を運用している部隊で言うと、やはりシステムに対してマルウェアが入ってしまうことは一つ懸念としてあるわけで、それを防がなければいけない。通信系はどこからでアクセスできてしまいますので、そこから入られることは基本的にはないように、厳重にチェックをしています。」と話しました。

そういう中で、具体的なリスク対策例として、自社のリスク対象となる情報機器の洗い出し、各機器へのリスク評価(優先順位づけ)と対策することが重要だとさらに小出さん。加えて、リスクアセスメントの際には、当初想定しなかった事象が起きうるので、現場の意見を取り入れることが重要だとも述べられていました。

また、このような取り組みを行う上で、情報共有のためのコミニティの重要性についても当日は語られていました。

(5)まとめ

ランサムウェアの被害が急拡大する中で、ガイドラインや勉強会で情報共有して、セキュリティレベルの底上げを図る流れは重要だと感じました。特に、Synspective社のような宇宙ベンチャーは事業体制を急ピッチで組み上げていることもあり、セキリティ対策もこれから本格化していく必要があると思われます。

今回主催した三井住友海上でも、宇宙開発室の新規設立やサイバー保険を通じて、宇宙サイバー対策に力を入れているそうです。

セキュリティの脆弱性がビジネス拡大のストッパーとならないよう、宇宙業界全体でセキュリティに対する感度を高める必要があると再認識をしたイベントでした。