「民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン」の Ver 2.0を策定、情報セキュリティ規程のひな形も公開 経産省
経済産業省はこのほど、「民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン」の Ver 2.0を策定、公表しました。Ver1.0を2022年7月に策定、2023年3月にはVer1.1を公表しています。今回の改訂では情報セキュリティ関連規程(ワード文書)が添付資料として追加されたほか、ガイドライン本論に最新の情勢が加味されました。
ガイドラインは民間の宇宙関連事業者を対象としています。宇宙ビジネスの振興とサイバー攻撃が企業経営に及ぼす影響の大きさなどの観点から、宇宙システムに関するセキュリティ上のリスクと対策などをとりまとめています。
宇宙関連事業者とは、衛星所有者や衛星運用事業者、衛星データプラットフォーム事業者、衛星データ利用サービス事業者、衛星開発事業者などです。民間宇宙システムにおけるセキュリティリスクの考え方やインシデント事例を紹介した上で、セキュリティ対策のポイントを示しています。
宇宙分野のサイバーセキュリティリスクは増加傾向にあり、国内外で多数のインシデントが発生しています。ガイドラインでは一例として、2023年にサイバー犯罪集団「ロックビット」がスペースXの下請け会社に対してランサムウェア攻撃をしかけ、スペースXのロケットに関する約3,000の設計文書を窃取したことなどを紹介しています。
対策のポイントとしては、宇宙システムに関係する全組織に関わる「共通的対策」と、各サブシステムで求められる「宇宙システム特有の対策」に分けて記されています。組織が対策を実行に移せるよう、対策要求事項チェックリスト(添付資料1)のほか、NIST CSF2.0との対応関係を示した表(添付資料2)も用意されています。ガイドラインVer2.0からは新たに情報セキュリティ関連規程のひな形も添付資料3として作成されました。 規程はセキュリティ基本方針などを踏まえて事業者が実施する対策を示すものであり、組織的対策や人的対策、情報資産管理、アクセス制御および認証など11の項目に対応しています。
