My 家族でローマへMy 、とても素晴らしい旅でした。1週間、仕事から離れて街を散策し、史跡を巡り、食事を楽しみ、ただ家族と過ごす時間は、まさに私にとって必要なものでした。
ある日、涼しい小さな路地を歩いていると、パスタとティラミスの作り方を教える教室に偶然出くわしました。楽しそうだったので、「ローマに行ったらローマ人のように振る舞え」という格言通り、数時間の間、マルウェアやサイバーセキュリティ、重要インフラといったことを忘れて、小麦粉、卵、水、時間配分、圧力、そして忍耐に没頭しました。
授業に慣れていくにつれて、パスタ作りさえも一つの「システム」であることに気づきました。外から見れば単純そうに見えますが、仕上がりを重視するなら、些細な細部が重要になります。水を入れすぎると生地の質が変わり、力を入れすぎると食感が変わってしまいます。作業を急いでしまうと、思うような仕上がりにはなりません。
これは、食の分野でも、ビジネスの分野でも、サイバーセキュリティの分野でも当てはまります。
授業の終わりに、まったく予期せぬ出来事が起こりました。ジェフ・ゴールドブラムに会ったのです。
彼は温かく、ユーモアがあり、気品があり、そしてとても人間味あふれる人だった。彼に会うほとんどの人がそうであるように、私も彼の象徴的な映画での役柄や、ジャズピアノ、そして有名でありながら親しみやすいという彼の独特な魅力について考えていた。それは、私のサイバーセキュリティ脳が頭をもたげる前のことだった。
1996年の映画『インデペンデンス・デイ』の、主人公のデヴィッド・レビンソンがエイリアンの母船にマルウェアを仕込むあのシーンが、頭から離れなかった。
これを聞いて、「宇宙空間でマルウェアが拡散することなんて、そもそもあり得るのだろうか?」と考えさせられました。
もちろんです。
ハリウッド映画のような話とは少し異なりますが、その根本的な考え方はもっともなものです。ソフトウェアを実行したり、データを受信したり、コマンドを受け付けたり、外部からの入力を信頼したりするシステムは、すべて攻撃の対象となり得ます。マザーシップには、人間のシステムを信頼することに関する脅威モデルが全く存在しませんでしたが、これは今日の宇宙インフラの状況とそのまま重なります。
宇宙ブーム
ここではタイミングが重要です。宇宙産業は、ロケットやNASA、そしてSpaceXの上場といった段階を乗り越え、新たな好況サイクルに入ろうとしているように感じられます。
より広い視点で見れば、これは世界的な動きです。Amazon Kuiperが衛星ブロードバンド市場に参入しています。欧州では、政府通信、危機対応、重要インフラ、暗号化サービス向けの安全かつ主権的な通信コンステレーションとして、IRIS²の構築が進められています。中国は「Thousand Sails」や「Guowang」といった大規模なコンステレーション計画で積極的に動き出しています。インドは宇宙および防衛衛星分野での野心を拡大しています。日本は宇宙セキュリティへの投資を拡大している。Viasat、OneWeb、Planet、Maxar、Intelsat、Iridium、Eutelsat、SKY Perfect JSATなどの事業者は、軌道上で通信、画像撮影、航法、防衛、データサービスなどの構築を進めている。
また、この議論は、通信インフラとしての衛星という枠を超えて広がりつつある。イーロン・マスク氏は、地球では電力に制約がある一方で、宇宙では常に太陽光が得られることを理由に、AIデータセンターを軌道上に設置することについて言及している。 昨年、Starcoud社はNvidia H100チップを搭載した宇宙機を打ち上げ、宇宙空間からGoogleのAIモデル「Gemini」の一種を実行することに成功した。さらに、GoogleはTPUと光リンクを備えた衛星クラスターを研究する「Project Suncatcher」を公表するとともに、2027年に試作衛星を打ち上げる計画も明らかにした。
それは、まったく異なる種類の宇宙経済です。
宇宙分野は、輸送から通信へ、通信からデータへ、データから計算へ、そして計算からAIへと移行しつつあります。宇宙は、国家、民間事業者、防衛機関、そして多国籍のサプライチェーンが関与する、グローバルなデジタルインフラ層となりつつあります。
…そして、あらゆるデジタルインフラのレイヤーは、いずれサイバー攻撃の標的となってしまいます。
サイバーセキュリティ……宇宙空間において
宇宙におけるサイバーセキュリティは、実際に問題となっているのでしょうか?実際に発生した事例はあるのでしょうか?それらは他の事例とは異なるものなのでしょうか?
はい、はい、そしてはい。
宇宙開発は、もともと政府や防衛分野から始まった。何十年もの間、ほとんどの宇宙プログラムは、政府、軍、情報機関、および各国の研究機関が所有するか、あるいはその管理下に置かれていた。これが重要なのは、こうした環境では、インシデントが必ずしも公に開示されるとは限らないからだ。失敗の一部は「異常事態」として説明される。一部のインシデントは機密扱いとなる。また、一部は各機関、請負業者、あるいは防衛パートナーによって密かに処理されることもある。
公的な記録は、この事件の経緯のほんの一部に過ぎない。
そのような制約があるとはいえ、Space ISAC、NASA OIG、ENISAなど、宇宙に関連するサイバーセキュリティリスクやインシデントを監視している組織はすでにいくつか存在している。
Space ISACは宇宙分野のサイバー脅威とインシデントの追跡に重点を置いており、NASA OIGはNASAおよびJPLのインシデントについて詳細な調査と根本原因分析を行っています。また、ENISAの「Space Threat Landscape」は、宇宙分野のサイバーリスクや過去の事例をまとめた公開情報集約サイトです。
公開情報と調査結果を照合し、こうした情報漏洩がなぜ発生したのか、またその影響について解明するため、以下のインシデント一覧を作成しました。
年 | 組織 | 事案 | 情報漏洩がどのように発生したのか | 根本原因 | 公開ソースのURL |
1998年から2000年 | 米国政府/NASA | ムーンライト・メイズ | 長期にわたるサイバー諜報活動により、米国政府、国防、およびNASA関連のデータが盗み出された。 | 監視体制の不備、セグメンテーションの不十分さ、機関間の可視性の低さ | https://nsarchive.gwu.edu/document/19207-national-security-archive-united-states-navy |
1999 | NASA / DTRA | ジョナサン・ジェームズ | 認証情報を盗み出し、バックドアを仕掛け、電子メールを傍受し、NASAのシステムにアクセスした。ネットワークと信頼ゾーンが適切に分離されていなかったため、被害は拡大した。 | フラットなネットワーク、セグメンテーションが不十分、認証情報の脆弱性 | https://www.nytimes.com/2000/09/22/technology/teen-hacker-sentenced.html |
2001年から2002年 | NASA/米国防総省 | ゲイリー・マッキノン | 侵害されたシステムをスキャンし、脆弱なパスワードを利用し、管理者権限を取得し、リモート操作ツールをインストールした。 | 無防備なシステム、脆弱なパスワード、多要素認証(MFA)の未導入 | https://www.justice.gov/archive/criminal/cybercrime/press-releases/2002/mckinnonIndict.htm |
2007年から2008年 | ランドサット7 / テラAM 1 | 地上局による干渉 | 地上局を経由した干渉が報告されており、衛星への直接的なハッキングではない。 | 地上局への曝露、コマンド経路の分離が不十分 | |
2007年以降 | トゥルラ | 衛星通信回線の乗っ取り | 暗号化されていない衛星インターネット回線を悪用し、コマンド&コントロール通信を隠蔽した。 | 暗号化されていない衛星通信回線、脆弱な認証 | |
2009 | NASA | ミッションネットワークマルウェア | NASAのミッションシステムでは、マルウェアへの感染や、数千件に及ぶ不正な接続が確認された。 | マルウェア、エンドポイント管理の不備、セグメンテーションの不備 | |
2009年から2012年 | NASA | ISSのデータが入ったノートパソコンの紛失 | NASAは、ISS関連の資料を含むノートパソコンや携帯端末を紛失した。その中には暗号化されていないものもあった。 | 端末の紛失、暗号化の不備、機密データのローカル保存 | |
2011 | NASA | 47件のAPT攻撃 | NASAは、47件のAPT攻撃を報告し、そのうち13件が成功し、認証情報の盗難も含まれていた。 | フィッシング、認証情報の盗難、脆弱な多要素認証(MFA) | |
2011 | NASA JPL | 87 GBが盗まれた | 攻撃者は18台のサーバーへの完全なアクセス権を取得し、アカウントを変更し、ツールをアップロードし、ログを改ざんし、データを盗み出した。 | 不十分な区分、過度な特権、不十分な監視 | |
2011 | JAXAのHTV | マルウェア感染 | ある従業員が、パッチが適用されていないコンピュータで悪意のあるメールを開いてしまいました。その結果、マルウェアに感染し、ログイン情報が漏洩してしまいました。 | ファイルベースの攻撃、悪意のある電子メール、パッチが適用されていないOfficeソフトウェア | https://global.jaxa.jp/press/2012/03/20120327_security_e.html |
2012 | JAXA イプシロン | ロケットデータマルウェア | ツクバ宇宙センターのコンピュータがマルウェアに感染し、エプシロン、M-V、H-IIA、H-IIBの各ロケットのデータが流出した可能性がある。 | ファイル型マルウェア、エンジニアリング用ワークステーションへの侵入 | https://global.jaxa.jp/press/2012/11/20121130_security_e.html |
2012 | NASA/ESA | 「The Unknowns」によるWebサーバーへの侵入 | ハッカーたちはWebサーバーの脆弱性を悪用し、その脆弱性を公表した。 | Webアプリの脆弱性、不十分なパッチ適用 | |
2014 | NOAA | 衛星データシステムへの不正アクセス | 攻撃者は、インターネットに公開されているNOAAのWebアプリケーションの既知の脆弱性を悪用し、管理者認証情報を盗み出し、システム間を移動した。 | Webアプリの脆弱性、パッチが適用されていないシステム、認証情報の盗難 | |
2014 | NASA JPL | 一般公開されたマルウェア | 一般の利用者は、JPLの天文ミッションや研究を支援するサーバーにファイルをアップロードし、実行することができた。 | ファイルベースの攻撃、安全でないアップロード、サニタイズ処理の欠如 | |
2014 | ドイツ航空宇宙センター(DLR) | APTによる侵害 | 公開された報告書では、航空宇宙システムを標的としたサイバー諜報活動やスピアフィッシングについて述べられていた。 | メール攻撃、認証情報の盗難、監視体制の不備 | https://securityaffairs.com/24031/cyber-crime/german-aerospace-center-espionage.html |
2016 | NASA JPL | Webサイトの設定ミス | 匿名のユーザーが開発サーバー上で特権を取得し、コードを実行した。 | 設定ミス、権限の過剰付与 | |
2017 | NASA JPL | 地上運用用ソースコードサーバー | 未知の脆弱性により、ソースコード管理システム上でリモートコード実行が可能となっていた。ログの確認が迅速に行われていなかった。 | 修正されていない脆弱性、不十分なログの確認 | |
2018 | NASA JPL | ディープ・スペース・ネットワークに関連する情報漏洩 | 外部ユーザーアカウントが侵害されました。セグメンテーションが不十分で、資産の棚卸しも不十分だったため、攻撃者はミッションシステムへと横方向に移動しました。 | 不十分なセグメンテーション、第三者によるアクセス、在庫管理の不備 | |
2018 | NASA | 従業員の個人情報漏洩 | HRサーバーが侵害され、従業員の個人情報が流出した。 | 不十分なアクセス制御、機密データの漏洩 | https://federalnewsnetwork.com/cybersecurity/2018/12/nasa-suffers-breach-of-employee-data/ |
2019 | ISRO | DTrackマルウェアに関する報告 | 公開された報告によると、DTrackマルウェアが発見され、ドメインコントローラーが侵害された可能性があるとのことです。ISROによる確認は限定的でした。 | ファイル型マルウェアの可能性、認証情報の漏洩 | https://www.cfr.org/cyber-operations/compromise-of-indian-nuclear-power-plant |
2020 | Visser Precision、SpaceXのサプライヤー | ランサムウェア | サプライヤーがランサムウェアの被害に遭い、顧客の機密ファイルが流出した。 | サプライヤーのセキュリティ侵害、ランサムウェア、ネットワークの停滞 | |
2020 | ソーラーウィンズ | 航空宇宙業界および政府機関を標的としたサプライチェーン攻撃 | 悪意のあるソフトウェアの更新により、攻撃者はNASAやFAAを含む多くのネットワークへの信頼されたアクセス権を獲得した | 信頼されていたソフトウェア・サプライチェーンへの侵害 | https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-352a |
2022 | Viasat KA SAT | 衛星インターネットの接続障害 | 攻撃者はVPNの設定ミスを悪用し、信頼された管理ネットワークに侵入して、モデムのフラッシュメモリのデータを消去するコマンドを実行した。 | VPNのセキュリティ侵害、不十分なネットワークセグメンテーションの管理 | https://www.viasat.com/perspectives/corporate/2022/ka-sat-network-cyber-attack-overview/ |
2022 | ロスコスモス | NB65の違反に関する申し立て | ハッカーらがロシアの宇宙関連資産への侵入を主張した。運用への影響については意見が分かれた。 | 未確認 | https://ui.adsabs.harvard.edu/abs/2024arXiv240210324T/abstract |
2023 | ボーイング・グローバル・サービス | LockBitランサムウェア | LockBitはボーイングの部品・流通事業を攻撃した。ボーイングは、飛行の安全性には影響がなかったと述べた。 | ランサムウェア、ラテラルムーブメント、不十分なセグメンテーション | |
2023 | マキシマム・インダストリーズ、スペースXのサプライヤー | LockBitの主張 | LockBitは、サプライヤーからSpaceX関連の設計図が盗まれたと主張した。この件については、公には完全には確認されていない。 | サプライヤーのセキュリティ侵害、データ盗難 | https://cyberir.mit.edu/site/lockbit-ransomware-claims-data-breach-spacex-contractor/ |
2023年から2024年 | JAXA | VPNおよびMicrosoft 365のセキュリティ侵害 | 攻撃者は、VPNの脆弱性を悪用し、アクセス権限を拡大してアカウントを乗っ取り、Microsoft 365にアクセスしたものとみられる。 | VPNの脆弱性、クラウドIDの不正アクセス | |
2024 | マクサー・スペース・システムズ | 従業員の個人情報漏洩 | 攻撃者が外部のDMZホストにアクセスした。従業員のデータが流出したが、業務への影響はなかったと報告されている。 | インターネットに面したDMZの露出、不十分な隔離 | |
2025 | ポーランド宇宙庁(POLSA) | サイバーインシデント | 不正アクセスが検出されました。POLSAは調査中、ネットワーク接続を切断しました。 | 原因不明、おそらくネットワークへの侵入 | |
2025 | イスラエルのVSATおよび衛星制御システム | VSATおよび衛星通信の障害・制御に関する請求 | Space ISACは、地政学的紛争の最中に、イスラエルの衛星制御セグメントおよびイスラエルのVSATシステムに対する攻撃の報告があったと発表した。 | ハクティビズム、DDoS、業務妨害、地上セグメントへの攻撃 | https://spaceisac.org/wp-content/uploads/2025/10/Space-ISAC_Q3-2025-Public-Report_TLP-CLEAR-1-1.pdf |
2025 | 米国の衛星通信事業者 | 衛星通信事業者を標的とした「Salt Typhoon」 | Space ISACの報告によると、Salt Typhoonは、より広範な通信関連の活動の一環として、米国の衛星通信事業者を標的にした。 | エッジデバイスの侵害、通信および衛星通信を標的とした攻撃 | https://spaceisac.org/wp-content/uploads/2025/10/Space-ISAC_Q3-2025-Public-Report_TLP-CLEAR-1-1.pdf |
2025 | ロシアの航空宇宙・防衛分野 | 「オペレーション・カーゴ・タロン」の一環として行われた、極めて標的を絞ったスピアフィッシングの誘引手法 | 組織を侵害し、機密データを盗み出すことを目的としたサイバー諜報活動。 | スピアフィッシング、ファイルベースの攻撃 | https://spaceisac.org/wp-content/uploads/2025/10/Space-ISAC_Q3-2025-Public-Report_TLP-CLEAR-1-1.pdf |
2025 | イランの衛星用Software インフラ | Lab Dookhtegan 海上用 VSAT の標的設定 | 報道によると、攻撃者は海上VSATインフラを支える衛星ソフトウェアを標的にし、その結果、通信障害やファイルの削除が発生した。 | 衛星通信ソフトウェアのサポート、サプライヤーおよびサービスの紹介 | https://spaceisac.org/wp-content/uploads/2025/10/Space-ISAC_Q3-2025-Public-Report_TLP-CLEAR-1-1.pdf |
2025 | 欧州の通信、防衛、航空宇宙、および衛星分野 | イラン発の「MINIBIKE」マルウェアの標的 | イランのAPT「UNC159」は、欧州の通信、航空宇宙、防衛関連組織に対して、特注のマルウェアを使用したと報じられている。 | マルウェア、ファイル経由での感染が考えられる | https://spaceisac.org/wp-content/uploads/2025/10/Space-ISAC_Q3-2025-Public-Report_TLP-CLEAR-1-1.pdf |
2025 | 航空宇宙、防衛、および宇宙関連機関 | 中国と関連のあるAPTグループ「RedNovember」によるサイバー諜報活動 | RedNovemberは、オープンソースのマルチプラットフォーム対応Goバックドア「Pantegana」を用いて、世界中の政府機関や民間企業の著名な宇宙・航空宇宙関連組織を標的にしていると報じられている。 | スパイ活動、ネットワークへの不正侵入 | https://spaceisac.org/wp-content/uploads/2025/10/Space-ISAC_Q3-2025-Public-Report_TLP-CLEAR-1-1.pdf |
2025年から2026年 | ESA | エンジニアリング向けコラボレーションサーバー | 外部のエンジニアリング連携サーバーが侵害されました。公表された情報によると、コード、トークン、認証情報、設定ファイル、およびミッション文書が流出したとされています。 | 認証情報の盗難、トークンの盗難、セキュリティ対策が不十分なコラボレーションシステム | |
2026 | ESA | 大規模なデータ漏洩の報告 | 公開された報道によると、認証情報やプロジェクト文書など、ESA関連のデータが数百GBにわたり漏洩したとされる。ESAは調査を開始したと報じられている。 | 不明/調査中 |
サイバーセキュリティの傾向を掘り下げる
一連のインシデントを総括してみると、他の重要インフラ分野においても、同様のサイバーセキュリティ上の不備が見受けられました。具体的には、安全対策が不十分なファイル、サプライヤーの侵害、不十分なソフトウェア更新プロセス、リムーバブルメディアのリスク、認証情報の盗難、そして不十分なネットワークのセグメンテーションなどです。
私が驚いたのは、宇宙船や衛星が攻撃の標的とならないケースがどれほど多かったかということだ。攻撃の経路は通常、地上から始まっていた。地上局、エンジニアリングシステム、サプライヤー、そして支援ネットワークは、たとえそれらを侵害することで同じ結果を招く可能性があるにもかかわらず、ミッション自体とは異なる扱いを受けることが多かった。
とはいえ、今日の公開されているインシデントのほとんどは地上システムに起因するものですが、宇宙計画が進化し、軌道へのアクセスがより安価で一般的になるにつれ、サイバー攻撃が常に地球から発せられるものだと決めつけてはなりません。 将来的には、国家やさらには民間事業者が、サイバー攻撃、電子戦、傍受、妨害、なりすまし、あるいは情報収集活動を支援するために、宇宙機や衛星、その他の軌道上資産を標的の近くに配置するようになり、脅威の範囲が拡大する可能性も考えられる。
検知と予防
また、こうしたインシデントの多くは、従来のファイアウォールや検知型セキュリティに主に依存することの限界を浮き彫りにした。
2018年のNASA JPLへの侵入事件では、攻撃者は外部アカウントを乗っ取り、セグメント化が不十分なネットワーク内を横方向に移動しました。一度信頼関係が確立されてしまうと、境界防御だけでは不十分でした。2022年のViasat KA-SATへの攻撃では、攻撃者は侵害されたVPN/ファイアウォールの経路を通じて信頼された管理ネットワークに到達し、正当な管理コマンドを発行しました。
繰り返しになりますが、問題は単に悪意のあるトラフィックを検知できなかったことではなく、一方向ゲートウェイを採用していなかったことにありました。一方向ゲートウェイを採用していれば、ポリシーではなく設計上、データの流れを一方向のみに制限できたはずであり、そもそも攻撃者が重要なシステムに到達することを防げたはずです。
ファイルに関連するいくつかのインシデントも、同様の経緯をたどっています。2011年のJAXAのHTVマルウェアインシデントは、パッチが適用されていないワークステーションで、誰かが悪意のあるメールの添付ファイルを開いたことが発端でした。2014年のJPLのアップロードマルウェアインシデントでは、信頼できないファイルがミッション支援システムに侵入してしまいました。検知ツールは事後に悪意のあるコンテンツを特定できるかもしれませんが、一度ファイルが開かれたり実行されたりしてしまえば、その時点で被害はすでに発生している可能性があります。
ここから得られる教訓は、宇宙システムを重要インフラとして扱い、それを支えるサイバーインフラをミッションクリティカルなインフラとして位置づけるべきだということである。こうしたインシデントの多くは、検知の失敗ではなく、予防の失敗によるものであった。攻撃者が信頼されたネットワーク、エンジニアリング環境、管理システム、あるいはミッションシステムに侵入してしまえば、ファイアウォールやアラートでは手遅れになることが多かった。
宇宙分野におけるサイバーセキュリティ戦略
報告されたインシデントのリスクと根本原因を特定したら、それに対してどのような対応を取るべきでしょうか?
宇宙分野におけるサイバーセキュリティは、従来のサイバーセキュリティと根本的な原因の多くを共有していますが、そこに「時間」と「環境」という、すべてを一変させる2つの要素が加わります。
地球上では、何か問題が発生した場合、通信を確立したり、点検したり、修正したり、復旧させたり、あるいは現場に人を派遣したりできると想定しています。しかし宇宙では、こうした想定の多くが通用しなくなります。通信は遅く、コストも高く、制限も多く、地球から離れるほど困難になります。
月は十分に近いため、信号の片道所要時間は1秒強ですが、それでも往復で2秒以上の遅延が生じます。火星の場合は、地球と火星の軌道上の位置によって、片道で約4分から24分程度かかります。深宇宙探査ミッションでは、この問題はさらに深刻になります。「ボイジャー」は極めて遠くにあるため、通信の片道にほぼ丸1日かかることもあります。
これにより、サイバーセキュリティのモデルが変わることになります。
現代のセキュリティツールは、レピュテーションの照会、ハッシュチェック、シグネチャの更新、AIモデルの更新(AI搭載システムが軌道上に展開されるにつれて依存度が高まっている)、サンドボックスへの送信、テレメトリデータのアップロード、一元化された判定など、クラウドとの絶え間ない連携にますます依存するようになっています。地球上では、接続が高速かつ信頼性が高いため、この仕組みは機能します。しかし、宇宙空間では、同じモデルが機能すると想定することは危険です。
月面では、技術的にはこうしたことのいくつかが依然として可能ですが、それを当てにしてはいけません。クラウドへの照会を行うたびに遅延が生じます。サンドボックスへの送信データはすべて地球へ送られ、再び月へ戻ってくる必要があります。リモートデスクトップセッションは毎回遅くなります。大規模なフォレンジックデータのアップロードは、ミッションの帯域幅を奪い合います。地球との通信回線が混雑したり、通信品質が低下したり、通信が遮断されたり、利用できなくなったりした場合、クラウドベースのセキュリティは信頼できなくなります。
月面ですらこれが難しいのであれば、火星ではさらに格段に難しくなり、深宇宙ではリアルタイムでの実施は不可能となる。
パッチ適用についても同様です。長年にわたって宇宙ミッションを運用する場合、ノートパソコンやサーバー、クラウドワークロードのように、インフラにパッチを適用できるとは想定できません。宇宙船は、旧式のハードウェア、限られたメモリ、耐放射線性プロセッサ、制約のある帯域幅、限られた電力、そして極めて短い通信ウィンドウの中で運用されている可能性があるからです。
更新内容が間違っていたり、コマンドの形式が不正であったり、あるいはシミュレーション時とは異なる動作をソフトウェアが飛行中に示したりした場合、回復が困難になるか、さらに悪い場合には、回復が不可能になる可能性があります。
ボイジャーはまさにその好例です。NASAは1977年にボイジャー1号とボイジャー2号を打ち上げましたが、それから50年近く経った今でも、チームはそれらの維持管理を続けています。あれほど古く、しかもはるか遠くにある宇宙機のソフトウェアを更新したり修正したりするには、並外れた技術力が求められます。しかし、それは同時に、宇宙機のパッチ適用が時間がかかり、リスクが高く、地球上のシステムへのパッチ適用とは全く異なるものであるという事実も証明しています。
ガリレオもまた、有用な事例の一つです。打ち上げ後、ガリレオの高利得アンテナが完全に展開できず、その結果、探査機は当初計画されていた高速通信リンクを利用できなくなりました。それでもNASAとJPLは、データ圧縮、ソフトウェアの変更、そして綿密なミッション計画を通じて、重要な科学的知見を導き出すことに成功しました。このことは、宇宙空間においては通信の制約がミッションの成否を左右するという重要な点を裏付けるものとなりました。
サイバーセキュリティに関する問いは単純です。迅速なコミュニケーション、常時可視性、クラウドベースの対応、あるいは現場への要員派遣に頼ることができない場合、どうすればよいのでしょうか? ここでは3つの戦略を提案します。
1. 宇宙サイバーセキュリティの取り組みを、「検知優先」から「予防優先」へと転換する
検知は、特に地上システム、端末、およびミッション周辺の企業環境においては依然として有用ですが、それは攻撃を視認でき、その後迅速に分析、対応、復旧ができることを前提としています。宇宙空間では、可視性が制限されたり、通信に遅延が生じたり、演算能力に制約があったり、復旧が遅くなったり不可能になったりするため、この前提は成り立ちにくくなります。問題を検知した時点で、ミッションはすでに危機的状況に陥っている可能性があるのです。
だからこそ、その戦略は 「予防」を優先するものでなければなりません。
すべてのファイル、ソフトウェアの更新プログラム、AIモデル、ペイロードパッケージ、コマンドパッケージ、およびリムーバブルメディアデバイスは、検査、検証、クリーンアップ、承認が行われるまでは、信頼できないものとして扱う必要があります。ミッション環境に何かが到達する前に、マルチスキャン、サンドボックス化、コンテンツの無害化と再構築(CDR)、スキーマ検証、署名付き更新プログラム、許可リスト、コマンド検証、および監査証跡を活用してください。
2. 設計段階からセグメンテーションを実施する
ミッションコントロールを通常の企業ITと同様に扱ったり、エンジニアリングシステムが運用システムに自由にアクセスできるようにしたりしてはなりません。サプライヤーのアクセス権限は、範囲を限定し、一時的なものとし、ログを記録し、隔離された状態にするよう徹底するとともに、地上局、コマンドパス、ソフトウェア更新システム、テスト環境、コラボレーションツールを厳格に分離してください。
侵害されたノートパソコン、盗まれた認証情報、感染したファイル、不具合のあるアップデート、あるいはサプライヤーによる情報漏洩など、いかなるものも、任務遂行の現場に持ち込まれるべきではありません。
ファイアウォールは重要ですが、最も機密性の高いミッションパスにおいては、ファイアウォールだけに頼ることはできません。ファイアウォールはソフトウェアによって制御されているため、設定ミスが生じたり、迂回されたり、侵害されたりする可能性があります。データダイオードや一方向ゲートウェイの方が優れたモデルです。なぜなら、これらは単なるポリシーだけでなく、設計上、データの片方向移動を強制するからです。
3. 重要なセキュリティ上の決定を、任務の現場により近い場所で下す
長期ミッションには、現地での検証、機上での整合性チェック、セーフモードでの動作、可能な限りロールバック計画の策定、そして宇宙機に近い場所でのセキュリティ処理が必要となります。これは同時に、セキュリティ制御を現地で実行できる、堅牢で耐放射線性のハードウェアへの投資も意味します。セキュリティに関する意思決定を地球からミッション現場へと移行させるにつれ、従来のクラウドサービス、エンタープライズ向けアプライアンス、あるいはソフトウェアエージェントが、常に利用可能であり、実用的であり、かつ運用環境と互換性があるとは想定できません。
クラウドは、地上からの計画立案、分析、調整を支援することはできますが、何かが安全かどうかを判断するためのリアルタイム制御ループとなるべきではありません。
地球から遠ざかるほど、サイバーセキュリティの重点は、検知や対応から、予防、隔離、およびローカルでのホスティングへとシフトしていかなければなりません。
サイバーセキュリティを新たなフロンティアへと導く
MetaDefender Kiosk 打ち上げは、単なるマーケティングのパフォーマンスではなく、私たちの最初の宇宙ミッションでした。私にとって、Kiosk ミッションは、宇宙におけるサイバーセキュリティの基盤であると私が考える要素、すなわち「独立した演算処理」、「信頼よりも予防を優先する姿勢」、「決定論的なファイルセキュリティ」、そして「過酷な環境下でも動作し続けるハードウェア」を体現しているのです。
まず、これは独立したシステムです。極高高度まで打ち上げましたが、ミッション中はクラウドに接続されていませんでした。ローカルでの演算を行い、エアギャップ方式で動作していました。今後のミッションでは、単方向データゲートウェイまたはデータダイオードを搭載する予定です。
第二に、Kiosk はDeep CDR™テクノロジー Kiosk 、管理された隔離されたテスト環境下で、ミッション中にUSB から取得した数千のマルウェアサンプルを処理しました。 Deep CDR™テクノロジーは決定論的であり、ファイルが悪意のあるものかどうかを推測する必要がありません。この技術は、ファイルが悪意のあるものである可能性を前提とし、リスクのあるアクティブコンテンツを削除した上で、クリーンなバージョンを再生成します。プロセスを適切にロックダウンしておけば、Kiosk ファイルを信頼する前にKiosk 、多くの未知のファイルベースの脅威を防ぐために頻繁なシグネチャの更新を必要としません。
最後に、過酷な環境下でハードウェアのテストを行いました。「Kiosk 」は、極端な温度、低気圧、激しい振動、気球の破裂、降下時の高G力、回転、落下、さらには川への着水といった状況にさらされました。それにもかかわらず、しばらくの間は動作し続けました。宇宙サイバーセキュリティはソフトウェアとハードウェアの両面にわたる問題であるため、この点は重要です。
真の教訓
宇宙サイバーセキュリティは、「地球上の誰かがいつでも問題に対処してくれる」という考え方に基づいて構築してはならない。それは、ローカルで、決定論的であり、セグメント化され、予防を最優先とするものでなければならない。ミッションが地球から遠ざかるほど、ミッションが依存しなければならない要素を減らすことが重要になる。
信頼するシステムを減らし、検証を徹底する。セキュリティ処理を宇宙機内に組み込む。徹底的にセグメント化する。進入前に検査を行う。使用前にデータをクリーンアップする。必要に応じて一方向のデータ転送を採用する。打ち上げ前にミッションにセキュリティを組み込んでおくこと。地球から遠ざかれば遠ざかるほど、地球からの救出は困難になるからだ。
本日現在、CISAは16のセクターを重要インフラとして定義しています:
- ケミカル
- 商業施設
- コミュニケーション
- クリティカル・マニュファクチャリング
- ダム
- 防衛Industrial
- 緊急サービス
- エネルギー
- 金融
- 食品と農業
- 政府施設
- 医療と公衆衛生
- 情報技術
- 原子炉、材料、廃棄物
- 輸送システム
- 上下水道システム
宇宙は第17セクターにすべきだと思います。
当社のサイバーセキュリティ機器の1台が宇宙の果てまで到達した後、川に落ちてしまったとき、まさかパスタのことを考えることになるとは思ってもみませんでしたが、このインスピレーションを与えてくれた家族とジェフ・ゴールドブラムに感謝しています。また、パスタの生地であれ、サイバーセキュリティであれ、あるいは深宇宙であれ、些細な細部が重要であることを改めて思い知らされました。
私は昔から宇宙が大好きでした。多くの子供たちと同じように、かつては宇宙飛行士になることを夢見ていました。実際には、サイバーセキュリティ企業を立ち上げ、プライベートで飛行機を操縦する生活を送っていますが、サイバーセキュリティ製品を宇宙へ送り出すことは、子供の頃の夢と再びつながる、奇妙でありながらも意義深い方法のように感じられました。
高度や技術、そしてクールな映像以上に、サイバーセキュリティは、人間が容易にアクセスしたり、修理やリセットを行ったりできない環境でも機能しなければなりません。宇宙空間では、現場での簡単なサポートや迅速な交換、あるいは簡単にやり直せるような機会は存在しません。システムは、地上を離れる前に完全な信頼性を備えていなければなりません。
