Bizコンパス

NASAに学ぶ“反面教師”のセキュリティ対策
2019.11.07

セキュリティ最前線第3回

NASAに学ぶ“反面教師”のセキュリティ対策

著者 すずきひろのぶ (鈴木裕信)

 2019年6月18日付けで、NASA(米国航空宇宙局)の監査部による監査報告書「CYBERSECURITY MANAGEMENT AND OVERSIGHT AT THE JET PROPULSION LABORATORY」が公開された。

 数々の宇宙探査研究プロジェクトを抱えるジェット推進研究所のサイバーセキュリティマネージメントに対する監査報告書だが、答えを先にいってしまえば、これが宇宙探査をしている最先端科学の現場か、とびっくりするぐらいにずさんな管理をしている。

 しかし、そこに書かれているサイバーセキュリティの問題は、企業や大学などで抱えている問題であり、そのずさんな管理はよく見る風景そのものである。この監査報告書の指摘は、多くの組織で共有できる問題であり、学びになるだろうと考え、取り上げてみる。

 

NASA傘下のジェット推進研究所(JPL)とは

 NASAは、いまさら説明する必要もないほど有名な米連邦政府の宇宙開発を担当する組織である。ジェット推進研究所(以下JPL)は、NASA傘下の研究所で、主に無人探査機による研究開発および運用を担当している。中心となるキャンパスは米カリフォルニア州パサディナにあり、地理的にはなれているいくつもの研究ブランチがネットワークで接続されている。

 JPLがサポートする研究プロジェクトには、火星探査プロジェクトやボイジャープロジェクトといった有名な宇宙探査プロジェクトがあり、JPLが提供するネットワークは13の研究プロジェクトに利用されている。JPLネットワークのサイバーセキュリティは、NASA監査部が評価をしている。

 今回の報告書を読むまで筆者は知らなかったのだが、JPLはNASAが作ったものではなく、前身はカリフォルニア工科大学グッゲンハイム航空研究所で、今も、NASAはカリフォルニア工科大学(以下 Caltech)と運営委託契約してJPLを運営している。2018年にもNASAは5年・150億ドル(約1兆6,000億円)でカリフォルニア工科大学と再契約を済ませたばかりだ。

 あとから気がついたのだが、報告書を読み解く上で、大学に運営管理を委託しているというバックグラウンドが重要なポイントになっている。

 

NASAは常に狙われている。しかし……

 NASAは航空宇宙関連の最先端技術やこれまで集めた惑星や宇宙の膨大なデータだけではなく、国際武器取引規則(International Traffic in Arms Regulations、以下ITAR) にも抵触するような情報を大量に抱えている、米国政府の科学技術部門の組織である。

 この報告書の一番はじめにNASA自身で書いているのだが、NASAは極めて魅力的なターゲットである。産業スパイ、敵対国のスパイ、ネットワーク侵入を試してみたいサイバー組織やあるいは一匹狼がやってくることは想像がつくし、実際にそうなっている。筆者が思うに、政府は宇宙人の証拠を隠しているに違いないとネットワークに侵入してくる連中もいることだろう(冗談ではなく大真面目にいっている)。

 一方でNASAの一部門であるJPLは、報告書を読む限り、地球や火星といったものを研究する地球惑星科学や宇宙を研究する天文学の牙城で、極めてアカデミック色が強く、さらにネットワーク運営はCaltechが管理している。

 そのためか、政府で国際武器取引規則が適用されるような組織であるにも関わらず、サイバーセキュリティに関する対応が、後手に回っている印象を持った。報告書には、よく日本国内の企業や大学で見聞きするような、「あまい」管理をしている状況が厳しく指摘されている。なので、身近に感じる話題の部分もたくさん現れる。

 報告書にはJPLが過去に経験した大きなインシデントがいくつか紹介されているが、興味深いのは2009年と2011年の中国がらみの件だ。… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

すずきひろのぶ (鈴木裕信)

すずきひろのぶ (鈴木裕信)

80年代よりUNIXやネットワークのエキスパートとして活躍し90年代よりコンピュータセキュリティに携わる。現在は業務アプリケーションにSELinuxを適用し安全性を高める研究に従事。近著「マジメだけどおもしろいセキュリティ講義 事故が起きる理由と現実的な対策を考える (Software Design plusシリーズ)」絶賛発売中

この記事で紹介しているサービスについて

SHARE

関連記事

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

“届いてから最短10分”でテレワークを始める方法がある

2020.03.04

テレワーク導入の“壁”を解決

“届いてから最短10分”でテレワークを始める方法がある

ECサイトからのカード情報の流出。利用者ができる対策は?

2020.02.20

今知っておきたいITセキュリティスキルワンランクアップ講座第20回

ECサイトからのカード情報の流出。利用者ができる対策は?

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第19回

マルチクラウドの活用に必要なクラウドマネジメントとは?

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

不正なOffice文書によるマルウェア感染への対策

2020.01.21

今知っておきたいITセキュリティスキルワンランクアップ講座第19回

不正なOffice文書によるマルウェア感染への対策

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

ランサムウェア?破壊型マルウェア?LockerGogaの罠

2019.12.25

セキュリティ最前線第5回

ランサムウェア?破壊型マルウェア?LockerGogaの罠

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる