HAKUTO-Rのミッションを支える
USBデバイスと画面キャプチャーの制御

導入の経緯

“インサイダーリスク”を重視した情報セキュリティ対策

当社が携わっているのは航空宇宙産業です。地球と月が一つのエコシステムになる世界に向けて、月面探査と月面の砂の採取を目指す「HAKUTO-R」のミッションをご存じの方もいらっしゃるのではないでしょうか。

同業他社の多くがそうであるように、当社も複数の国に拠点を置いています。もちろん、さまざまな文化が相まって多くの知見が得られるメリットは大きいのですが、それぞれの国の法律を遵守することはもちろん、製品やサービス、情報セキュリティマネジメントシステムに関する国際規格も国ごとに取得が必要で、セキュリティ対策の強化は一筋縄ではいきません。一つの部品だけでも複数の国に多くの供給先を持っていますから、関わるベンダーも相当数にのぼり、各社とのやりとりには情報が漏れないよう細心の注意を払っています。

スタッフへの情報セキュリティ対策も毎年欠かさず行っていますが、人がやることにミスはつきものです。そのため、インサイダーリスクにはかなり敏感で、見落とされがちな画面キャプチャーの危険性についても早い時期から気を遣っていました。しかし、IT資産を外部の脅威から守るDRP（Digital Risk Protection）では画面キャプチャーの制御は難しく、対策には頭を悩ませることに。

また、USBデバイスの制御についても課題に感じていました。通常のデータのやりとりはAWS WAF（ウェブアプリケーションファイアウォール）経由ですが、安全性を最大限考慮した結果、ランダー（宇宙船）内のシステムのアップデート等には今でもUSBデバイスを使用。そのため、制御と許可を安全で効率的に実施するための対策が必要でした。この状況を改善するためには、性善説に頼らないシステムによる制御が欠かせません。そこで、いくつかのシステムを検討した結果、私たちが選んだのは、求めていた機能がすべて搭載された「SKYSEA Client View」でした。

導入の効果

機密情報の流出につながる“画面キャプチャー”を禁止

インサイダーリスクを低減させるには、故意・不注意にかかわらず当社のセキュリティポリシーに違反した操作、オペレーションミスを防がなければなりません。月着陸船の打ち上げに向けて非常にタイトなスケジュールでミッションをこなしている当社では、各自が常に効率化を意識して作業しています。それはテレワーク時も同様で、キャプチャーを試みるスタッフもいますが、画像ファイルにはデータをカテゴリ別に分類するデータクラシフィケーションが機能しないため、検知が難しいことが問題でした。そこで、機密情報が流出する恐れのある画面キャプチャーの実行を検知するために当社が活用しているのが「SKYSEA Client View」のアラートです。操作を禁止するとともに、実行時には私どもに通知が届くようになっています。また、アラートが上がったPCを操作したスタッフには、実行した操作の確認とセキュリティポリシーを確実に理解できているかをチェック。理解不足が認められた場合には、その都度指導して再発防止に努めています。

当社が外部とやりとりするデータに含まれているのは、非常に機微な情報です。そのため、ベンダーやパートナー企業とのデータのやりとりは、承認プロセスや通信方法、使用するサービスなど細かい規定を設けています。現在は、もし許可していないサービスを利用しようとすれば、「SKYSEA Client View」のアラートで検知。許可していないアプリケーションのインストール等にも同様の仕組みが働くので安心です。

導入の効果

“制御の効率化と安心”を両立したUSBデバイス管理

USBデバイスは、基本的に使用禁止ですが、ランダー内のシステムのファームウェア更新やプログラムのバグ修正にはUSBデバイスを使うため、作業者からリクエストがあった際は申請期間に限定して許可しています。それらはすべて「SKYSEA Client View」で制御。許可している間にUSBデバイスを介して行った操作は、すべて「SKYSEA Client View」のログに記録されているため、目的外のファイルがコピーされていないか等も確認しています。

また、当社の各拠点で、スタッフがどこにいてもすぐにフォローできる点が業務の効率化に役立っています。これまでの「SKYSEA Client View」は日本語のUIのみ提供されていましたので、日本での一括管理を行っていました。Ver.20から英語表記にも対応しているので、早急にバージョンアップして日本以外でも管理できる体制を検討していきたいと思います。