NTTコミュニケーションズ

Bizコンパス

NASAに学ぶ“反面教師”のセキュリティ対策
2019.11.07

セキュリティ最前線第3回

NASAに学ぶ“反面教師”のセキュリティ対策

著者 すずきひろのぶ (鈴木裕信)

 2019年6月18日付けで、NASA(米国航空宇宙局)の監査部による監査報告書「CYBERSECURITY MANAGEMENT AND OVERSIGHT AT THE JET PROPULSION LABORATORY」が公開された。

 数々の宇宙探査研究プロジェクトを抱えるジェット推進研究所のサイバーセキュリティマネージメントに対する監査報告書だが、答えを先にいってしまえば、これが宇宙探査をしている最先端科学の現場か、とびっくりするぐらいにずさんな管理をしている。

 しかし、そこに書かれているサイバーセキュリティの問題は、企業や大学などで抱えている問題であり、そのずさんな管理はよく見る風景そのものである。この監査報告書の指摘は、多くの組織で共有できる問題であり、学びになるだろうと考え、取り上げてみる。

 

NASA傘下のジェット推進研究所(JPL)とは

 NASAは、いまさら説明する必要もないほど有名な米連邦政府の宇宙開発を担当する組織である。ジェット推進研究所(以下JPL)は、NASA傘下の研究所で、主に無人探査機による研究開発および運用を担当している。中心となるキャンパスは米カリフォルニア州パサディナにあり、地理的にはなれているいくつもの研究ブランチがネットワークで接続されている。

 JPLがサポートする研究プロジェクトには、火星探査プロジェクトやボイジャープロジェクトといった有名な宇宙探査プロジェクトがあり、JPLが提供するネットワークは13の研究プロジェクトに利用されている。JPLネットワークのサイバーセキュリティは、NASA監査部が評価をしている。

 今回の報告書を読むまで筆者は知らなかったのだが、JPLはNASAが作ったものではなく、前身はカリフォルニア工科大学グッゲンハイム航空研究所で、今も、NASAはカリフォルニア工科大学(以下 Caltech)と運営委託契約してJPLを運営している。2018年にもNASAは5年・150億ドル(約1兆6,000億円)でカリフォルニア工科大学と再契約を済ませたばかりだ。

 あとから気がついたのだが、報告書を読み解く上で、大学に運営管理を委託しているというバックグラウンドが重要なポイントになっている。

 

NASAは常に狙われている。しかし……

 NASAは航空宇宙関連の最先端技術やこれまで集めた惑星や宇宙の膨大なデータだけではなく、国際武器取引規則(International Traffic in Arms Regulations、以下ITAR) にも抵触するような情報を大量に抱えている、米国政府の科学技術部門の組織である。

 この報告書の一番はじめにNASA自身で書いているのだが、NASAは極めて魅力的なターゲットである。産業スパイ、敵対国のスパイ、ネットワーク侵入を試してみたいサイバー組織やあるいは一匹狼がやってくることは想像がつくし、実際にそうなっている。筆者が思うに、政府は宇宙人の証拠を隠しているに違いないとネットワークに侵入してくる連中もいることだろう(冗談ではなく大真面目にいっている)。

 一方でNASAの一部門であるJPLは、報告書を読む限り、地球や火星といったものを研究する地球惑星科学や宇宙を研究する天文学の牙城で、極めてアカデミック色が強く、さらにネットワーク運営はCaltechが管理している。

 そのためか、政府で国際武器取引規則が適用されるような組織であるにも関わらず、サイバーセキュリティに関する対応が、後手に回っている印象を持った。報告書には、よく日本国内の企業や大学で見聞きするような、「あまい」管理をしている状況が厳しく指摘されている。なので、身近に感じる話題の部分もたくさん現れる。

 報告書にはJPLが過去に経験した大きなインシデントがいくつか紹介されているが、興味深いのは2009年と2011年の中国がらみの件だ。… 続きを読む

すずきひろのぶ (鈴木裕信)

すずきひろのぶ (鈴木裕信)

80年代よりUNIXやネットワークのエキスパートとして活躍し90年代よりコンピュータセキュリティに携わる。現在は業務アプリケーションにSELinuxを適用し安全性を高める研究に従事。近著「マジメだけどおもしろいセキュリティ講義 事故が起きる理由と現実的な対策を考える (Software Design plusシリーズ)」絶賛発売中

この記事が気に入ったらクリック!

お気に入り登録

この記事で紹介しているサービスについて

SHARE

関連記事

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

2021.01.25

IT&ビジネス最新ニュース第101回

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

2021.01.20

ニューノーマル時代にビジネスはどう変わるか第1回

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

2020.12.24

IT&ビジネス最新ニュース第94回

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」

2020.12.23

DXを加速させるITシステムの運用改革第33回

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」