[レポート]［ＮＲＩセキュアテクノロジーズ株式会社］NRIセキュアにおける宇宙セキュリティに関する取組みについて - CODE BLUE 2024 #codeblue_jp

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

今回はCODE BLUE 2024で行われた以下のセッションのレポートです。

［ＮＲＩセキュアテクノロジーズ株式会社］NRIセキュアにおける宇宙セキュリティに関する取組みについて

宇宙産業は近年、国家主導から民間主導へとシフトするとともに、NewSpaceとよばれる宇宙専業のベンチャー企業や異業種からの参入などによる宇宙開発が増加し、急速に発展しつつあります。このような宇宙産業の急速な広がりとともに、衛星等の”宇宙システム”のセキュリティ対策の重要性が増しています。 本講演では、NRIセキュアの宇宙セキュリティについての取り組みを中心に、宇宙システムのシステム構成とセキュリティ対策上のポイントや最新の業界動向などを紹介します。

Speakers:
Ken Jingu(神宮 健) エキスパートセキュリティアーキテクト

レポート

• 自己紹介
  • 神宮氏は宇宙系の技術がバックグラウンド
    • 衛生設計コンテストでは津波を検知する衛星の設計アイデアで受賞
  • 2021年NRIセキュアに入社してからは半導体・自動車のセキュリティ対策に従事
  • 今年からまた宇宙の領域に戻ってきた
• NRIセキュア会社概要
  • NRIグループにおける、情報セキュリティ専門の中核企業
• なぜ宇宙セキュリティ
  • 歴史を振り返ると、人間の活動領域は太陽系外まで拡大している
  • 地球近傍領域に目を向けると、10カ国以上が衛星を打ち上げている
    • 2019年にはトランプ氏が機密指定を解除して高解像度の衛星画像（イランのロケット射場）をツイート
    • 特に近年は宇宙ベンチャーの上場が相次いでいる
      • 新たな技術革新で、アニメの世界が現実に！
        • アストロスケール社が宇宙デブリを精確に観測。アニメ「プラネテス」の世界が近づいている
  • しかし、脅威も高まっている
    • 地上（地球側）の設備に対する事例
      • 2023年6月、アメリカの宇宙産業を標的にしたPowerShell製マルウェア"PowerDrop"が発見された
    • 宇宙の衛星に対する事例
      • 2022年6月、通信衛星を介して衛星モデムにマルウェアを送り込み、モデムを使用不能に
        • 4万機のモデムが使えなくなり、ドイツの風力発電所が影響を受けた
      • 人工衛星への攻撃は非常に難しいが、成功すると被害が大きい
• 宇宙システムの概要とセキュリティ上のポイント
  • 宇宙セグメント
    • 宇宙セグメント（衛星）は複数のサブシステムで構成される
      • ペイロード通信通信系や通信系、推進系、電源系、姿勢軌道制御系など
    • 姿勢軌道制御系
      • センサー
        • 太陽センサー
        • スタートラッカー
          • 星座からの光で衛星の姿勢を特定
      • アクチュエーター
        • 磁気トルカ
        • リアクションホイール
      • 上記のような装置に対して、数値パラメーターの改ざんの脅威がある
      • また、GPSスプーフィング、GPSジャミングなどの攻撃手法もある
    • 通信系への脅威
      • 通信装置
        • スプーフィング
        • ジャミング
      • 暗号化モジュール
        • OSSのサプライチェーン攻撃
        • OSSの既知脆弱性を利用した攻撃
  • 地上セグメント
    • 運用計画部・軌道決定部の脅威
      • 軌道決定部
        • アルゴリズムのパラメータ改ざん
      • 運用計画部
        • 運用計画アプリの脆弱性をついた不正侵入
        • DB内の将来の運用計画の改ざん
        • NW機器への不正侵入
    • 運用計画アプリではOSSがしばしば使われている
      • JAXAではデータの可視化にGrafanaが使われている
    • NRIセキュアテクノロジーズ社では「デバイス脆弱性監視分析サービス」を展開
• 宇宙セキュリティのホットトピック
  • 宇宙に特化した法規・ガイドライン動向
    • 宇宙業界だけでなく、セキュリティ業界だけでなく行政機関からも様々なガイドラインが出ている
    • 2年に一度改版されるものもあれば、2ヶ月に1度といった高頻度で改版されるものもある
    • Space Security Best Practices Guide
      • NASA Issues New Space Security Best Practices Guide   - NASA
      • サイバーセキュリティの業界から見ると当たり前のものも多い
  • 業界動向
    • GMVがESAと宇宙セキュリティ強化のためのミッションの契約を締結
      • 手のひらサイズの衛星（CubeSat）に、革新的な暗号機能と鍵管理戦略を試験するためのサイバー機能を搭載して打ち上げる予定
• NRIセキュアテクノロジーズ社が提供する宇宙関連のセキュリティソリューション
  • デバイス・セキュリティ診断サービス
  • デバイス脆弱性監視分析サービス
  • 他にも運用に関するものや工場に対する支援も

感想

宇宙セキュリティってなんだ？と思って聴講したセッションでしたが、Webのサイバーセキュリティに通じることも多く楽しいセッションでした。

個人的に面白かった点としては、宇宙業界特有の下記2点です。

• 衛星の運用計画がある
• ガイドラインが高頻度で改定される

宇宙に物を飛ばすということで、確かに運用計画は必要ですよね。それが管理されているDBが攻撃され改竄されてしまうと大変なことになってしまうのは、この分野に明るくない私にも容易に想像出来ます。
また、ガイドラインが高頻度で改訂されるということかも宇宙業界の発展の速さが伺えます。やはり国の力に直結する強力な分野でもあるため、高頻度でガイドラインが見直されるのでしょうか。

NRIセキュアテクノロジーズ社のブースで宇宙セキュリティに関するチラシが貰えるという話をSNSで見たので、私も貰いに行きたいと思います。

以上、べこみんでした。