「宇宙システムのためのサイバーセキュリティ原則」のメモと(宇宙政策指令-5号)が米国で、2020年9月に公表されているのです(公表はこちら(NASA)、 ホワイトハウス・アーカイブ版)が、ちょっと分析し忘れていたので、メモします。このころ、アルテミス計画が公表され、その後、12月には、宇宙政策が公表されます。
日本語でも翻訳の記事などがでています。
なとです。
同指令は、1条 背景、2条 定義、3条 方針、4条 原則、5条 一般規定から成り立っています。
背景においては、宇宙での自由な活動が不可欠であること、宇宙システムは、国際通信、測位、航法、計時、科学観測、探査、気象観測などの重要な機能を実現しており、国家安全保障上の重要な用途にも使われていること、国家の重要なインフラの運用に信頼性と効率性を提供する宇宙システムの能力が損なわれるのを防ぐために、宇宙システムをサイバーインシデントから保護することが不可欠であること、などがのべられています。
また、米国の宇宙政策について2017年の国家案戦保障戦略、2018年6月の「国家宇宙トラフィック管理政策」、2018年「国家サイバー戦略」への言及がなされています。
2条は、定義です。「宇宙システム(“Space System”)」、「宇宙機“Space Vehicle”」、「正制御“Positive Control”」、「宇宙機の重要な機能(critical functions)」が定義されています。この中で興味深いのは、宇宙システムの定義です。同定義は、
「宇宙システム」とは、地上システム、センサーネットワーク、および1つ以上の宇宙機を含む、宇宙ベースのサービスを提供するシステムの組み合わせを意味する。 宇宙システムは通常、地上制御ネットワーク、宇宙機、ユーザーまたはミッションネットワークの3つのセグメントから構成される。
としています。
ここで、この定義が興味深いといっているのは、単なる宇宙機のみを対象としているのではなく、通信の仕組み全体を眺めているということになります。IoTの法の考え方のひとつのポイントは、「モノ(Things)」の安全という観点に加えて、そのモノと一体をなして運用される通信のシステムについて安全を考えなければならないということがポイントになってくるのです。IoTとしての宇宙システムについては、次のエントリで検討したいと思います。
3条は、方針ですが、サイバーセキュリティの原則と実践は、宇宙システムにも適用される。 しかし、特定の原則や慣行は、宇宙システムにとって特に重要であるとしています。そして、開発のすべての段階にサイバーセキュリティを統合し、ライフサイクル全体のサイバーセキュリティを確保することは、宇宙システムにとって非常に重要です。 効果的なサイバーセキュリティの実践は、予防、積極的な防御、リスク管理、ベスト・プラクティスの共有といった文化から生まれるとしています。
4条の原則は、リスクベースの、サイバーセキュリティ情報に基づいたエンジニアリングを用いて開発・運用されるべき(a項)、所有者および運用者は、運用者または自動制御センター・システムが宇宙機の積極的な制御を維持または回復できることを保証するための能力を組み込んだ、宇宙システムのためのサイバーセキュリティ計画を策定し、実施しなければならないこと(b項)、規則、規制、ガイダンスを通じたこれらの原則の実施(c項)、所有者及び運用者は、適用法で認められる範囲で、ベストプラクティスの展開を促進するために協力し、情報共有に努めること(d項)、宇宙システムの所有者と運用者が、宇宙産業の発展に貢献できるように、セキュリティ対策は、効果的に設計されなければならないこと(e項)、があげられています。
また、特にb)項で留意すべきリスクとしては、
(i) 宇宙機の重要機能への不正アクセスからの保護。 これには、ミッションの全期間において、既存および予想される脅威に対して安全であるように設計された、効果的で検証された認証または暗号化手段を用いた、コマンド、制御、および遠隔測定リンクの保護が含まれる。
(ii) 宇宙機のコマンド、制御、テレメトリ受信システムの脆弱性を低減するように設計された物理的保護手段。
(iii) 信号強度監視プログラム、安全な送受信機、認証、または、ミッションの全寿命期間中に既存および予想される脅威に対するセキュリティを提供するように設計された、効果的で検証および試験済みの暗号化手段など、通信の妨害およびスプーフィングに対する保護。
(iv) 意図的なサイバーセキュリティのベストプラクティスの採用による、地上システム、運用技術、情報処理システムの保護。 この採用には、内部脅威を含め、マルウェア感染やシステムへの悪意あるアクセスのリスクを低減するため、米国標準技術研究所のサイバーセキュリティ・フレームワークに沿った実践が含まれるべきである。 このようなプラクティスには、論理的または物理的な分離、定期的なパッチ適用、物理的なセキュリティ、ポータブルメディアの利用制限、ウイルス対策ソフトウェアの使用、内部脅威の緩和策を含むスタッフの意識向上とトレーニングの促進などが含まれる。
(v) 情報システム、アンテナ、端末、受信機、ルーター、関連するローカルおよびワイドエリアネットワーク、電源装置などのシステム要素に対する、適切なサイバーセキュリティ衛生対策、自動化された情報システムの物理的セキュリティ、侵入検知方法の採用。
(vi) 製造された製品の追跡、信頼できるサプライヤーからの調達の要求、偽造・不正・悪意のある機器の特定、その他の利用可能なリスク軽減策の評価を通じて、宇宙システムのサイバーセキュリティに影響を与えるサプライチェーンリスクの管理。
などがあげられています。