米政府は米国時間9月4日、宇宙システムをサイバー脅威やサイバー攻撃から守るための勧告とベストプラクティスのリストを記した新たな指令を発表した。
この「宇宙政策指令-5」(SPD-5)に記述されている新しい規則は、米国の政府機関や民間事業体が構築、運用する宇宙探査機、宇宙システム、ネットワーク、通信チャネルのサイバーセキュリティに関するベースラインを確立するために定められたものだ。
米政府は、宇宙で活動を行っている米国の組織が、宇宙での運用の妨害、質の低下、混乱、あるいは人工衛星の破壊などを引き起こすサイバー攻撃に遭う可能性があるとしている。
宇宙での活動に害を与える悪質なサイバー活動の例には、「センサー情報の偽造、センサーシステムの破壊、指示や制御のための命令のジャミングまたは不正な命令の送信、悪質なコードの埋め込み、サービス妨害(DoS)攻撃の実施」などが考えられるという。
SPD-5によれば、こうした脅威は、他の業界で適用されている、すでに確立されたベストプラクティスによって緩和することができるという。
更新メカニズム、暗号化、物理的なセキュリティ
指令では、宇宙システムは「更新を実施し、インシデントにリモートから対応できる能力」を備え、それらの機能が打ち上げ前に設計の段階で組み込まれている必要があると説明されている。
また、宇宙システムやそれを支えるインフラは、サイバーセキュリティのトレーニングを受けたエンジニアによって開発、運用されなくてはならない。
宇宙探査機を制御する地上オペレーターが使用する命令機能、制御機能、テレメトリー機能も、通信妨害やなりすましに対する防御手段を備えている必要がある。
サイバーセキュリティのベストプラクティスを適用する必要があるのは宇宙探査機や通信チャネルだけではない。これらの通信を管理する地上局を保護することも同様に重要だ。
地上システムを保護するためのベストプラクティスには、ITネットワークを論理的、物理的に分離すること、システムへの定期的なパッチの適用、物理的なセキュリティアクセスルールの適用、ネットワーク内部でのポータブルメディアの利用制限、ウイルス対策ソフトウェアの利用、内部の脅威を緩和するための予防策などを含めたスタッフの適切な訓練などが挙げられている。
さらに、サプライチェーンに対する脅威を分析する必要もあるという。これには、製造された部品の追跡や信頼できる供給業者からの調達を義務づけること、想定外のサイバーセキュリティリスクの原因となる可能性がある、偽造した機器や不正な機器、悪質な意図を持って作られた機器の特定なども含まれる。
脅威が検出された場合には、宇宙システムの運用者は脅威、警告、インシデント情報を、Information Sharing and Analysis Centers(ISAC:情報共有分析センター)などの業界パートナーに共有するべきだとされている。
また、宇宙探査機では大きさや重量が重大な問題になるため、サイバーセキュリティを保護するためのシステムや手段は、飛行体のサイズや重量、ミッション遂行期間、その他の技術的なミッションの要件に悪影響を与えない設計でなければならないと定められている。
9月4日に行われた記者会見で、米政府の担当者は、サイバー攻撃は「中国だけでなく、国以外の主体」によってもしきりに行われており、SPD-5は米国の宇宙関連の事業体がサイバー攻撃に対する基本的な防御手段を確立するのに役立つはずだと話した。
同担当者によれば、こうしたサイバー脅威は「懸念すべき頻度で発生している」という。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
