2019年6月18日付けで、NASA(米国航空宇宙局)の監査部による監査報告書「CYBERSECURITY MANAGEMENT AND OVERSIGHT AT THE JET PROPULSION LABORATORY」が公開された。
数々の宇宙探査研究プロジェクトを抱えるジェット推進研究所のサイバーセキュリティマネージメントに対する監査報告書だが、答えを先にいってしまえば、これが宇宙探査をしている最先端科学の現場か、とびっくりするぐらいにずさんな管理をしている。
しかし、そこに書かれているサイバーセキュリティの問題は、企業や大学などで抱えている問題であり、そのずさんな管理はよく見る風景そのものである。この監査報告書の指摘は、多くの組織で共有できる問題であり、学びになるだろうと考え、取り上げてみる。
NASA傘下のジェット推進研究所(JPL)とは
NASAは、いまさら説明する必要もないほど有名な米連邦政府の宇宙開発を担当する組織である。ジェット推進研究所(以下JPL)は、NASA傘下の研究所で、主に無人探査機による研究開発および運用を担当している。中心となるキャンパスは米カリフォルニア州パサディナにあり、地理的にはなれているいくつもの研究ブランチがネットワークで接続されている。
JPLがサポートする研究プロジェクトには、火星探査プロジェクトやボイジャープロジェクトといった有名な宇宙探査プロジェクトがあり、JPLが提供するネットワークは13の研究プロジェクトに利用されている。JPLネットワークのサイバーセキュリティは、NASA監査部が評価をしている。
今回の報告書を読むまで筆者は知らなかったのだが、JPLはNASAが作ったものではなく、前身はカリフォルニア工科大学グッゲンハイム航空研究所で、今も、NASAはカリフォルニア工科大学(以下 Caltech)と運営委託契約してJPLを運営している。2018年にもNASAは5年・150億ドル(約1兆6,000億円)でカリフォルニア工科大学と再契約を済ませたばかりだ。
あとから気がついたのだが、報告書を読み解く上で、大学に運営管理を委託しているというバックグラウンドが重要なポイントになっている。
NASAは常に狙われている。しかし……
NASAは航空宇宙関連の最先端技術やこれまで集めた惑星や宇宙の膨大なデータだけではなく、国際武器取引規則(International Traffic in Arms Regulations、以下ITAR) にも抵触するような情報を大量に抱えている、米国政府の科学技術部門の組織である。
この報告書の一番はじめにNASA自身で書いているのだが、NASAは極めて魅力的なターゲットである。産業スパイ、敵対国のスパイ、ネットワーク侵入を試してみたいサイバー組織やあるいは一匹狼がやってくることは想像がつくし、実際にそうなっている。筆者が思うに、政府は宇宙人の証拠を隠しているに違いないとネットワークに侵入してくる連中もいることだろう(冗談ではなく大真面目にいっている)。
一方でNASAの一部門であるJPLは、報告書を読む限り、地球や火星といったものを研究する地球惑星科学や宇宙を研究する天文学の牙城で、極めてアカデミック色が強く、さらにネットワーク運営はCaltechが管理している。
そのためか、政府で国際武器取引規則が適用されるような組織であるにも関わらず、サイバーセキュリティに関する対応が、後手に回っている印象を持った。報告書には、よく日本国内の企業や大学で見聞きするような、「あまい」管理をしている状況が厳しく指摘されている。なので、身近に感じる話題の部分もたくさん現れる。
報告書にはJPLが過去に経験した大きなインシデントがいくつか紹介されているが、興味深いのは2009年と2011年の中国がらみの件だ。… 続きを読む