宇宙開発への民間参入が進むと、セキュリティリスクが高まる理由:ITの過去から紡ぐIoTセキュリティ(1/2 ページ)
これまでインターネットにつながっていなかったモノがつながるようになり、利便性の向上とコスト削減が可能になる半面、リスクも増大する──。IoTや制御システム、Operational Technology(OT)の世界で起こってきた波は、宇宙空間にも及んでいます。
そうした中、PwC Japanグループが「宇宙サイバーセキュリティ対策支援サービス」の提供を始めると発表しました。人工衛星やロケット、それらの部品製造に携わる民間企業のほか、宇宙に関する政策を策定する公共機関向けに、宇宙に関するシステムのリスク分析と対応策の助言、机上演習による改善点の洗い出しといったコンサルティングサービスを提供していく計画です。
そもそも、宇宙に関するシステムは一体どんな脅威に直面しているのでしょうか。同社が11月25日に開いた説明会では、宇宙のサイバーセキュリティに関する国際会議「CyberSat」でのトピックや、ここ数年のインシデント動向が紹介されました。
連載:ITの過去から紡ぐIoTセキュリティ
家電製品やクルマ、センサーを組み込んだ建物そのものなど、あらゆるモノがネットにつながり、互いにデータをやりとりするIoT時代が本格的に到来しようとしています。それ自体は歓迎すべきことですが、IoT機器やシステムにおける基本的なセキュリティ対策の不備が原因となって、思いもよらぬリスクが浮上しているのも事実です。
この連載ではインターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界に生かすという観点で、対策のヒントを紹介していきたいと思います。
宇宙開発への民間参入に伴って高まるリスク
宇宙開発というと、かつては国家の総力を挙げた一大プロジェクトというイメージでした。けれど今や民間企業、特にスタートアップ企業が相次いで参入し、人工衛星やロケットの打ち上げに取り組んでいます。調査によって数字にばらつきがありますが、2040年には100兆円規模に達するとも予測されるこの市場に魅力を感じ、米国やヨーロッパ各国、そして中国の企業に加え、日本からもいくつかのスタートアップが登場しています。
この結果、顕著なのが人工衛星の増大です。国連によると、現在地球を周回する人工衛星は5000機を超えるそうです。PwCコンサルティング シニアマネージャーの上杉謙二氏は「小型衛星の増加も相まって、今後10年間で4倍の2万機に増加する見込みだ」と説明します。
これに伴って懸念されるのが、宇宙関連システムに存在する脆弱(ぜいじゃく)性です。市場拡大と民間参入が進むにつれ、「安くていいものが求められるため、必然的にソフトウェアなど民生品の活用や地上局機能のクラウドサービス化が進み、サイバーリスクがどんどん高まっていく」と上杉氏は述べました。
宇宙システムでも進むオープン化、コミュニティー化
PwCコンサルティングの最高技術顧問を務める名和利男氏は、人工衛星などの宇宙システムに対するサイバー攻撃を(1)電波信号のジャミング(妨害)、スプーフィング(なりすまし)、(2)地上関連施設へのサイバーエスピオナージ、(3)運用システムへのオーバーライド攻撃──という3つに大別。既にGPS妨害電波の発信や間違った位置データの表示、衛星データを受け取る気象関連システムに対するハッキングといった形で、いくつかのインシデントが発生していると説明しました。
基本的にこうしたサイバー攻撃を成功させるには、衛星信号の受信機や増幅機といった専用の機器に加え、専門的な知識を持つオペレーターが必要です。つまりは国家の支援を受けなければ実現が難しいものです。しかし、これからの数年で状況は大きく変わるだろうと名和氏は予測します。
「宇宙技術全般のオープン化、コミュニティー化が進むことによって、普通の技術者でも宇宙システムに関する情報を把握し、ハッキングできるようになる可能性がある」(名和氏)
事実、海外のセキュリティカンファレンスでも宇宙関連システムの脆弱性に関する発表が増え、得られる情報も増大しています。同氏はさらに、オープン化はサプライチェーンリスクの増大ももたらし、サードパーティーが提供するさまざまなコンポーネントの脆弱性を介して不正操作が行われる恐れもあると指摘しました。
一方、宇宙システムはライフサイクルが非常に長く、準備段階も含め数年単位で見なければならない上に、打ち上げた後は物理的なメンテナンスが難しいという特有の事情もあります。こうした事柄を考えて対策を検討しなければならないと名和氏は述べています。
そうした中、PwC Japanグループが宇宙サイバーセキュリティ対策支援サービスの提供を始めます。具体的には、NISTのサイバーセキュリティフレームワーク、EUコペルニクスセキュリティフレームワークなど、既存の枠組みをベースにした独自フレームワークに沿ってアセスメントを行い、「受け入れ時にどんなテストを行うべきか」「打ち上がった後、物理的に修理できないことを前提にどう対応・復旧を行うか」「打ち上げ後にサプライチェーンの中で脆弱性が発覚した時、どのように対応するか」といった事柄を評価する──と、PwCコンサルティング シニアアソシエイトの愛甲日路親氏は説明しました。
宇宙開発を巡って各国がさまざまな取り組みを進める中、例えば米国防省は20年から、機器などを納入する民間企業に「サイバーセキュリティ成熟度モデル認証」(CMMC)の認定を受けることを求めています。名和氏によると、CMMCでは特に、さまざまな問題が起きることを前提に最低機能を保証するレジリエンスの観点が強く意識されており、その観点で同社の専門性を生かしていくといいます。
宇宙、サイバー、双方の知見を生かして対策を
幸いにしてと言うべきか、今のところ、宇宙関連システムがサイバー攻撃を受け、重大な結果が生じた事例は報告されていません。ITシステムに対する攻撃同様に過大に恐れる必要はないでしょうが、攻撃によってどんな結果が生じるか自体が分からない、という課題もあります。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。