セキュリティ担当者に聞く!“何も起こらない”を守っている
セキュリティ担当の存在価値を高めていきたい。
企業・組織の情報セキュリティご担当者に、日頃の活動やセキュリティ対策に対する思いなど、ざっくばらんにお話を伺います。 第1回は、深刻化する宇宙ごみ(スペースデブリ)の除去を含む軌道上サービスに取り組む株式会社アストロスケールの八木 晴信 氏にご協力いただきました。
株式会社アストロスケール
生産・調達部 生産グループ
IT Infrastructure Manager(Production&Procurement)/
Cyber Security Manager(MD Office)
八木 晴信 氏
当社にとって最も重要なセキュリティ対策は
人工衛星のコントロールを
奪われないようにすること
人工衛星の
奪われないようにする
株式会社アストロスケールに入社されたのはなぜですか?
学生時代にソフトウェア工学を学んだ後、長年社会インフラ事業者に勤務し、日本を発展させたい、成長に貢献したいという思いを持って情報システム部門で充実した日々を過ごしていましたが、あるとき、その思いが宇宙事業にシフトしていることに気づきました。私は、宇宙が次世代の社会インフラになると考えていますが、宇宙産業にとって、サイバーセキュリティは単に産業の維持・発展にとどまらず、安全保障上でも重要な役割を果たします。フィールドが変わっても、これまでの経験を生かせば貢献できるはずだと感じ思い切って飛び込みました。宇宙産業の中でも、アストロスケールはスペースデブリ(宇宙ごみ)の除去を含む軌道上サービスに専業で取り組む民間企業です。そこに宇宙規模の社会貢献性を感じています。
実際に飛び込んでみて、いかがですか?
当社はまだこれからの企業です。ルールや仕組みもこれから整えていかなければなりません。しかし、これまでの経験や知識を生かせることや、専門性の高い優秀な人材がそろっている環境にワクワクしています。大きな組織では、すでに決まったやり方を変えるには時間がかかる場合が多いと思いますが、現時点で当社の日本法人は約200名の企業です。その規模独自のフットワークの軽さを生かして、これまでに得た知識や技術、もちろん前職での経験を存分に発揮して、セキュリティ対策の強化に努めていきます。そこにはルール作りや教育も含まれますが、人工衛星を製造し、運用している当社にとって、最も重要なのが人工衛星のサイバーセキュリティ対策です。
人工衛星との通信中に情報を盗まれないようにするなどでしょうか?
当然それも含まれます。人工衛星は、地上局を通じて、地上システムと通信を行っています。地上システムは、管制室のオペレーターからの命令を人工衛星に送ったり、人工衛星から送られてくるデータを受け取るといった重要な役割を果たしています。その地上システムが狙われて衛星制御を乗っ取られた場合、最悪の事態として安全保障上の脅威となり得ます。また、スペースデブリの除去には劣化状況の確認が必要ですが、確認に使われる画像が悪用される可能性も。そのため、人工衛星のコントロールを奪われない、情報を漏洩させないために、人工衛星本体も含めて衛星システム全体としての対策に取り組んでいます。
宇宙産業の企業ならではのお話ですね。
守るものが宇宙にあるだけで、一般の企業で取り組まれている対策と同じです。オートメーション化された工場や、皆さんが利用される電車も管制室で集中管理されています。宇宙産業というと特殊だと思われるかもしれませんが、セキュリティ対策の基本は、ほかの産業と変わりありません。
自動車や医療など、各業界独自のセキュリティガイドラインが公開されていますが、ほかの産業と変わりがないということは、宇宙産業についても公開されていますか?
すでに経済産業省が宇宙産業のサブワーキンググループを立ち上げ、「民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン」を発行しています。日本政府は、2020年に約4兆円だった日本の宇宙市場規模を、2030年には約8兆円にまで拡大し、国際競争力を増強すると表明しました。宇宙戦略基金も創設され、宇宙事業を社会インフラへと発展させていこうとしています。予算額を見ただけでも、今後確実に成長が見込める産業だとわかりますが、安全な社会インフラになるためには宇宙産業全体で、サイバーセキュリティ対策の実施が重要です。私の今の目標は、当社のサイバーセキュリティ対策や得られたノウハウを他の宇宙産業の会社にも展開できればと思っています。
2021年に打ち上げられたデブリ除去技術実証衛星ELSA-dは、軌道上サービスのための主要技術の実証に成功
外部の仲間から得られる情報が
自社のセキュリティ対策の参考になることも
自社の
八木さんは以前から、外部のセキュリティイベントに積極的に参加されていますね。
IPA(独立行政法人 情報処理推進機構)の中核人材育成プログラム修了後、IPAが主催するイベントでスピーカーを務めたころから、さまざまな組織・団体からお声がけいただくようになりました。セミナーへの登壇以外にも、商工会議所の広報誌などでコラムを執筆したり、サプライチェーンのセキュリティに関するプロジェクトに関わったこともありました。社外での活動についても頼まれたら、返事は「はい」か「YES」しかないと思っています。社外での活動に参加することは、多くの仲間を得ることにつながりました。
社外の方との情報交換や気軽に相談できる仲間が欲しいと思われているセキュリティ担当者に、アドバイスはありますか?
どんなイベントでもよいので、自分から進んで社外のイベントに出て行くことが大事だと思っています。お勧めの一つはサイバー攻撃からビジネスを護る疑似体験ができるHardening Project主催の競技会への参加です。競技会までの準備期間も含めて、同じチームになった人とは接する期間が長いので、競技会終了後も気軽に飲みに行けるような関係性が作りやすいと思います。仲良くなった参加者の会社にお邪魔して、セキュリティ対策について情報を交換したこともありました。ちなみに、私はHardening競技会が好き過ぎて何度も参加したため、残念ながら今年から出禁(殿堂入り)に……。その代わり、Hardening Projectの事務局の皆さんからのご提案で、同じく出禁(殿堂入り)になったメンバーとともに「Shield Stone」という新しいサイバーセキュリティ競技会を立ち上げました(2024年6月に「Shield Stone#ZERO-DAY」を開催)。初開催だったにもかかわらず、想像を超える参加者に集まっていただけたことに、運営メンバー一同感謝しています。今後も開催していく予定ですので、その際はぜひこの記事をご覧の皆さんにも参加していただきたいですね。会場でお会いできるのを楽しみにしています。
セキュリティ担当者にとって、情報のインプットが大事だと思いますが、忙しい業務の中で、どうやって時間を作っていますか?
目の前の業務をこなすだけでは、自分の組織をサイバー攻撃から守れないと思っていますので、業務で手を動かし始める前に、情報のインプットの時間を作っています。“何となくやるようにしている”では、絶対に業務に忙殺されてしまいますから、意識的にやらなければ続きません。サイバーセキュリティに関する技術や情報はどんどん変化していますから、何もしなければ、自分の知識は陳腐化します。そのため、直近で起こったインシデントの情報はもちろん、ガイドラインを読むなど、自分の知識をアップデートすることは絶対に必要だと思っています。
企業のセキュリティ担当者として
MDMに期待すること
MDMに
SKYSEA Client Viewの新バージョンでは、MDM(Mobile Device Management)機能の追加・改善を実施しましたが、機能一覧をご覧になってどのように感じられますか?
MDMに期待するのは、端末紛失時の対応や情報漏洩の防止、端末から社内システムへの不正アクセス・不正ログインの防止です。その視点でSKYSEA Client Viewの機能を見てみると、リモートでの画面ロックやBluetooth、テザリングなど、必要な機能が管理コンソールから一括で制御できる点は、管理が効率化できて負荷軽減につながると思います。また、一律にON / OFFできるだけでなく、接続する機器ごとに個別に制御できるのは便利ですね。そのほかにもオンラインストレージやアプリケーション内課金など、モバイル端末で禁止したい主な操作に対応できている点で、MDMとしておおむね満足できると思います。
新機能の中では、ブラウザアプリケーションからiPhoneの管理ができるようになったことや、Android端末をSKYSEA Client Viewに登録する際、QRコードを生成して読み取れる機能は、管理の効率化に役立つと思いました。今後、業務で利用するモバイル端末が増えてくると、当社でもMDMによる管理の効率化は欠かせなくなると考えています。
最後に、セキュリティ担当者の方にメッセージをお願いします。
私たちの業務は何も起こらない日常を守ることです。そのため、平時の状況を継続できているときには褒められず、何か起これば責められます。この状況を変えるには、有事が起きないために自分たちがやっていることをもっとアピールして、私たちの存在価値を広く認めてもらえるようにする。そうすれば、セキュリティ担当者になりたいと思う人がもっと増えていくのではないでしょうか。
セキュリティ対策は社外に出せない情報も多いので、セキュリティ対策業務に関わる人にとって多くの人と信頼関係を築き、互いに情報交換することは、とても重要です。私はそのようなネットワークの一員でありたいと思っていますし、皆さんにも外部のイベントには積極的に参加していただけたらと。一緒に語り合える日を楽しみにしています。
オススメ!八木氏原作の書籍
難しいサイバーセキュリティについて、漫画でわかりやすく紹介。Amazonなどのオンラインストアから、購入できます。なんと0円です。
株式会社アストロスケール
アストロスケールは、軌道上サービスの世界的リーダーとして、安全で持続可能な宇宙開発に取り組んでいます。当社は衛星の寿命延長、故障機や物体の観測・点検、衛星運用終了時のデブリ化防止のための除去、既存デブリの除去など、多様で革新的な軌道上サービスソリューションを提供します。2021年3月以降、アストロスケールはELSA-dやADRAS-Jのミッションにおいて軌道上でRPO技術を実証し、軌道上サービスのリーダーとしての地位を確立してきました。アストロスケールの宇宙機は、宇宙航空研究開発機構(JAXA)や米国宇宙軍、欧州宇宙機関(ESA)、英国宇宙庁(UKSA)、Eutelsat OneWebとの先駆的なミッションに採用されています。宇宙機の定期的な点検、移動、除去、寿命延長のためにより多くの衛星運用者が軌道上サービスを導入し、循環型宇宙経済の可能性が広がり、より持続可能な宇宙の未来が開かれつつあります。本社・R&D拠点の日本をはじめ、英国、米国、フランス、イスラエルとグローバルに事業を展開しています。
(「SKYPCE NEWS vol.98」 2024年9月掲載 / 2024年7月取材)