多発する宇宙産業に向けたサイバー攻撃
2010年に設立されたispaceは、「Expand our planet. Expand our future. ~人類の生活圏を宇宙に広げ、持続性のある世界を目指す~」をビジョンに、月面資源開発に取り組んでいる宇宙スタートアップ企業である。
日本、ルクセンブルク、アメリカの3拠点で活動し、現在約300人のスタッフが在籍している。月への高頻度かつ低コストの輸送サービスを提供することを目的とした小型のランダー(月着陸船)と、月探査用のローバー(月面探査車)を自社開発。民間企業が月でビジネスを行うための仲介役となることを目指し、月市場への参入をサポートするデータサービス、マーケティング支援などのパートナーシップサービスも行っている。
2022年12月には、同社初となるミッション1のランダー打ち上げを完了。2023年4月には株式上場(東京証券取引所グロース市場)も果たした。そして最速で2025年1月には自社開発のローバーである「TENACIOUS (テネシアス) 」を初めて月へ運ぶミッション2が予定されており、日本の民間企業としては初となる月面着陸、さらには月面探査の実現に大きな期待が寄せられている。
日本が誇る高品質のモノづくりを背景に成長を続けるispaceにとって、必要不可欠となるのがセキュリティだ。近年は、宇宙産業にもサイバー攻撃による被害が頻発している。その中には衛星システムを利用したインフラの運用に影響を及ぼしたケースもある。機密情報を扱うだけに、内部からの情報漏洩も重要な懸念事項だ。また、主に3国の拠点で事業展開しているため、それぞれのセキュリティの法律に対応する必要もある。
「我々が事業を展開する日・米・欧の3カ国で施行されているサイバーセキュリティ関連法案やプライバシー関連法案は、それぞれ内容が異なります。また、各種データのやりとりやサプライチェーンのベンダーのバッググラウンドチェックでも各国で適用される規格が異なるため、まずは最も厳しいアメリカのNISTに沿ったセキュリティフレームワークを構築しながら、ISO/IEC 27001の認証取得も進めています」と語るのは、同社でグローバルなセキュリティ管理部門のトップを務めるウッドハム ジュニア ダン ラマー氏だ。
株式会社ispace
Director of Information Security and Global IT
ウッドハム ジュニア ダン ラマー氏
ただし、同社では多くの産業や国をまたいだパートナーやベンダーと情報をやり取りするため、セキュリティ管理を徹底するのは決して容易なことではない。
「例えば、部品1つとっても多くの供給先があり、実地テストを行うたびに設計や作り直しが発生するケースが多々あります。ソフトウェア開発を外部に委託することもあるため重要データのやりとりが頻繁で、データ量も大きいのです」(ウッドハム氏)
以前はCD-ROMやUSBメモリーに格納したファイルに暗号をかけて送付したり、パスワードをかけたZipファイルを送信したりするなどの運用が行われていた。しかしこの方法では暗号化や複合化に時間や手間がかかるだけでなく、データをやり取りする場所も限定することでしかセキュリティを担保できなかったという。
「2020年ごろまで、エンジニアは専用端末を使える場所が限定されていました。決められた部屋の中でしかPCを使った作業が行えず、端末を使った記録もホワイトボードや紙に記録するなど、フィジカルセキュリティで守るしかなかったのです。エンジニアにとっては非常にストレスがたまる環境だったと思います」(ウッドハム氏)
オペレーションミスや内部からの
情報漏洩に備える
データのクラシフィケーション(重要性の区分)に応じた承認フローの運用も複雑だった。外部とやりとりするデータの内容によって承認者が異なるため、定期的に承認手順のトレーニングを行っても、誤ったプロセスでデータを送ろうとしたり、禁止されているドキュメントのスクリーンショットを撮って添付しようとしたりするなどのオペレーションミスが頻発していた。
「それらは決して悪意を持った行為ではなく、多くが単純なヒューマンエラーです。現状、データ漏洩のような重大インシデントは1件も起こっていませんが、将来的にいつでも起こり得るインサイダーからの情報漏洩を未然に防ぐためにも、セキュリティポリシーに違反する行為やUSBメモリーの使用などを厳格に制御できる環境が必要でした」とウッドハム氏は振り返る。
現在、各国の拠点間やパートナー、ベンダーとの情報のやりとりはAWS LZA(Landing Zone Accelerator)を使って行われており、セキュリティ面での不安は大幅に軽減した。だが、相手側が選ぶ通信方法に沿ったデータ交換の承認フローや、AWSにアクセスして操作する際のポリシー管理は自社で厳格にコントロールする必要がある。
また、原則利用禁止となったUSBメモリーも、ネットワークやケーブルでのアクセスができないランダーのバグ修正やファームウェアアップデートなどの際には、例外的に許可を得て利用されるシーンが残っている。このような外部媒体の利用制限やログ管理についても、より一層のセキュリティ強化が求められていた。
SKYSEA Client Viewをセキュリティ強化に活用
こうした様々なセキュリティの課題を払拭するために同社が着目したのがSKYSEAだ。ispaceでは2018年からPCやサーバー、プリンタ、ネットワーク機器などのIT資産管理にSKYSEAを導入していた。その後ウッドハム氏が着任後、SKYSEAが備えている多様なセキュリティ機能に着目。あらゆる業務オペレーションに関わるクライアントPCのセキュリティ強化にも、同ソリューションを活用する方針を下したのである。
SKYSEAを使ったセキュリティ対策としては、まずセキュリティパッチの適用が挙げられる。SKYSEAでは管理下にある全てのPCに、常に最新のセキュリティパッチを自動的に配布することで、外部からの攻撃に利用される脆弱性を継続的に改善。情報漏洩も含めたサイバー攻撃の被害から組織を守るとともに、常にシステムがコンプライアンスに準拠し、正常であることを担保している。
さらに、ネットワークのみならずUSBメモリーや外部メディアへのデータコピーを常に監視して制御する運用にも利用されている。同社のセキュリティポリシーから外れている場合は当該メディアを使えないようにするほか、許可・不許可の設定そのものを忘れていた場合も、アラートを上げる運用によりヒューマンエラーを最小化する対策が行われている。
図1 社内ポリシーに沿って不適切な操作を制限。ユーザーの情報セキュリティ意識向上に
許可していない外部記憶媒体の使用や、Webサイトへのデータアップロードなど、組織のセキュリティポリシーに違反する行為に対して、注意表示(アラート)メッセージを通知したり、操作そのものを禁止したりする設定が可能。ポリシーに反する行為が行われたPCの画面を自動録画する機能も搭載している
「社内だけでなく、各国のベンダーやパートナーと情報をやりとりする際は、必ずデータクラシフィケーションに則った承認プロセスがあり、申請者は誰か、このドキュメントはこの会社に出せるのかどうかといったガバナンスを効かせています。特に宇宙機の設計や軍事機密に転用できるおそれのある情報は誤って漏洩すると世界的な脅威になりかねません。そこで、あらゆる承認フローやデータ交換、PC操作はSKYSEAとDRP(Digital Risk Protection)のツールを使って厳重に管理しています」とウッドハム氏は言う。
ポリシーに違反した行為が行われた際は、「誰が、いつ、どのアプリケーションを使って、何をしたか」まで細やかに把握できる操作ログに加えて、PC操作画面やファイル内容のスクリーンショットを撮ってダッシュボードにアラートが上がる。これによりセキュリティ運用チーム全体が、どこで何が起こったかをスピーディーに把握できるようになった。その多くは単純なオペレーションミスだが、月に数回はアラートが上がり、問題の見逃しを一時たりとも許さない体制が構築されている。
SKYSEAが事業展開に不可欠な基盤に
SKYSEAのダッシュボードでは、日・米・欧の各拠点で稼働しているクライアントPC約330台の資産情報やログが日々集約・分析・可視化され、セキュリティチームによって厳格にチェックされている。情報漏洩につながる様々なリスクを網羅的に把握することで、限られた人員で運用されている環境でもセキュリティ対策の抜け漏れ防止を支援。宇宙ビジネスをグローバルに展開する同社の社会的信頼を継続的に高めることに貢献している。
「当社では様々なセキュリティツールを導入していますが、SKYSEAが担うのは現場の本当にコアな部分、社員全員が使っているクライアントPCのセキュリティです。SKYSEAがなかったらispaceの事業は推進できません。それほど重要なセキュリティインフラになっているのです」とウッドハム氏は強調する。
SKYSEAは、コロナ禍での事業継続にも貢献した。セキュリティを確保するため、それまでエンジニアが限定されたエリアでしか使えなかったクライアントPCを、リモートワークによってあらゆる場所で使える環境にスムーズに移行させた。クライアントPCが社内外のどこに存在しても、SKYSEAがその操作状況をコントロールセンターから一括管理し、リアルタイムに必要な制御が行えるようになったからだ。
「コロナ禍ではSKYSEAに本当に助けられました。それぞれのエンジニアがソーシャルディスタンスを保ちながらソフトウェア開発を安心して行え、データのやりとりもセキュアに行える。心配されていたグローバルプロジェクトの停滞を最小限に抑えることができました」とウッドハム氏は評価する。
ゼロトラストのモニタリングにも適用予定
こうした運用を徹底することで同社ではセキュリティ体制を一段と強化することに成功。様々な監査やセキュリティポリシーのコントロールを徹底する環境が整備されたことで、2025年にはISO/IEC 27001の認証を正式に取得できる見込みだ。
ispaceは今後、ゼロトラストネットワークの導入も検討している。その際には、グローバルなセキュリティネットワークと各種デバイスのモニタリングにもSKYSEAを積極的に活用していく考えだ。
株式会社ispace
Director of Information Security and Global IT
ウッドハム ジュニア ダン ラマー氏
ウッドハム ジュニア ダン ラマーは、30年以上のキャリアを持つ、情報セキュリティ、ガバナンス、リスク管理の専門家です。1993年に日本に移住して以来、電気通信、銀行、自動車業界、航空業界、航空宇宙と様々な分野で経験を積んできました。組織の資産を保護し、国際標準への準拠を確保するための堅牢なセキュリティ フレームワークとガバナンス戦略を統合することに優れています。リスク管理に対する彼の深い理解により、企業は自信と先見性を持って複雑な課題に対処できるようになります。また彼は熱心な船乗りであり、日本の海岸沖の穏やかな海で探検しているのをよく見かけることができます。セーリングに対するこの情熱は、正確さ、適応性、そして鋭い方向感覚を必要とする彼の戦略的思考を補完します。