2024年4月27日、BSI(ドイツ連邦情報セキュリティ庁)は、「地上セグメントIT基本保護プロファイル(IT-Grundschutz-Profil für das Bodensegment von Satellite)」を発表しました。この新しいプロファイルは、とくに地上セグメントのセキュリティ対策に焦点をあてており、衛星通信の安全性向上に寄与します。本記事では、このプロファイルの主要な内容と、衛星通信のセキュリティ強化におけるその影響について詳しく解説します。
はじめに
BSI(ドイツ連邦情報セキュリティ庁)は2022年8月に「宇宙インフラのサイバーセキュリティ」と題して、宇宙セキュリティにおけるBSIの役割を公表して以来、矢継ぎ早に宇宙セキュリティに関する文書を公開しています。
2023年には衛星本体や射場を含む「宇宙インフラストラクチャ」に対するセキュリティ対策を規定した「IT基本保護プロファイル」を公開し、2024年には地上セグメント向けの「IT基本保護プロファイル」を公開しました。
このプロファイルは、地上セグメントの開発から廃棄までのライフサイクル全体におけるリスクを特定し、そのリスクに対応するための基本的なセキュリティ対策を定義しています。具体的には、アクセス制御、OSやコンテナの堅牢化、衛星運用アプリケーションの堅牢化など、多岐にわたる対策が含まれています。
地上セグメントIT基本保護プロファイル公開までのタイムライン
IT基本保護プロファイルとは
IT基本保護プロファイル(IT-Grundschutz-Profil)とは、情報セキュリティ管理システム(ISMS)を構築するためのフレームワークです。これは、一般的な情報システム向けに定義されたIT基本保護大要 (IT-Grundschutz-Kompendium)を参照し、特定の種類のシステムに特化したセキュリティ対策を事前に定義した文書です。組織が個別にセキュリティ対策をマッピングする作業の労力と時間を節約することを目的として作成されました。
IT基本保護大要は、800ページを超える大作でWindows 10クライアント、Linuxサーバ等、具体的な情報機器の種類ごとにセキュリティ要件を定義した多数の「モジュール」を集約した文書となっています。モジュールには、基本要件(Basic requirements)や標準要件(Standard requirements)等のレベル別にセキュリティ要件が定義されています。IT基本保護大要は、最新の技術標準や規制に基づいて毎年更新されており、現在は2023年版が最新です。
IT基本保護プロファイルには、セキュリティ対策の前提とするシステムのアーキテクチャを可視化した「構造分析」、IT基本保護大要とプロファイルの対応関係を表形式で整理した「モデリング」、IT基本保護プロファイルの適用範囲などIT基本保護大要からセキュリティ対策を導出した「ステップ」と、その「対策」が文書化されています。
IT基本保護大要のステップとIT基本保護プロファイル
IT基本保護プロファイル本文の流れ
IT基本保護プロファイルの本文の流れを説明します。
第1章~第4章はIT基本保護プロファイルの目的や免責事項などの定型文です。続く第5章のエグゼクティブサマリーでは、IT基本保護プロファイルの要約が提供され、読者がIT基本保護プロファイルの主要なポイントを迅速に把握できるようになっています。第6章ではこのIT基本保護プロファイルがどのような状況や条件下で適用されるかを説明しています。第7, 8章では地上セグメントの情報ネットワーク、システム構成、ライフサイクルの仮定や定義について説明しています。第9章では、IT基本保護プロファイルが参照しているIT基本保護大要との関係と、付録(Excel)に記載された詳細要件の概要を簡単に説明しています。第10章と第11章はこのIT基本保護プロファイルの特徴的な部分です。衛星メーカーや衛星オペレーターの具体的な情報や経験に基づく特記事項や衛星のミッションに応じた軌道やステークホルダーの特性が説明されています。第12, 13章ではGNSSや通信衛星におけるケーススタディ、IT基本保護プロファイル適用に当たって留意すべき注釈(ノート)と残留リスクが説明されています。
地上セグメントIT基本保護プロファイルの目次
和訳 |
概要 |
1 はじめに |
IT基本保護プロファイルの目的と概要 |
2 形式的側面 |
IT基本保護プロファイルのタイトル、出版元等の情報 |
3 免責事項 |
IT基本保護プロファイル使用時の法的な免責事項 |
4 執筆者一覧 |
執筆者一覧 |
5 エグゼクティブサマリー |
本書の要約 |
6 適用範囲の定義 |
本書の適用範囲 |
7 情報ネットワークの区切り |
地上セグメントの情報ネットワークのモデル化 |
8 構造分析 |
地上セグメントのライフサイクルの分析と分析における仮定や逸脱 |
9 モデリング |
IT基本保護大要との対応関係、詳細は付録(Excel)に表形式で列挙 |
10 特記事項 |
メーカーや衛星オペレーターの具体的な情報や経験に基づく特記事項 |
11 ミッションの特性 |
衛星のミッションに応じた軌道やステークホルダーの特性 |
12 保護要件の決定 |
GNSS(Global Navigation Satellite System)や通信衛星などで保護要件を適用するケーススタディ |
13 アプリケーションノートと残留リスク |
実際のアプリケーションに適用する際のヒントと残留リスクの扱いについて |
IT基本保護プロファイルの主な4つのポイント
次に、このIT基本保護プロファイルのポイントを4つに絞って解説します。
- IT基本保護プロファイルの適用範囲
- 地上セグメントのライフサイクルと業務プロセス
- 地上セグメントの構成要素の分類
- 地上セグメントのセキュリティ要件
1.IT基本保護プロファイルの適用範囲
このIT基本保護プロファイルは、宇宙インフラストラクチャを構成する宇宙セグメントと地上セグメントのうち、地上セグメントに焦点を当てており、そのセキュリティ保護に必要なガイドラインを提供しています。
適用範囲(IT基本保護プロファイル7.1節より)
TTC…Telemetry, Tracking, Command
地上セグメントは、一般に衛星バスにテレコマンドを送信してテレメトリを受信する衛星管制局と、衛星ペイロードとミッションデータに関する情報を送受信するミッション地上局に分類されます。このIT基本保護プロファイルは、その双方が適用範囲に含まれます。
2.地上セグメントのライフサイクルと業務プロセス
このIT基本保護プロファイルは、地上セグメントの製造から廃止措置まで6つに区分されたライフサイクルのサプライチェーン上の製造業者とサプライヤーに適用され、情報セキュリティ、情報技術、インフラストラクチャセキュリティを担当するステークホルダーやプロジェクトマネージャーに向けて作成されています。具体的には、地上セグメント全体のIT基本保護プロファイルとして機能し、サプライチェーンの関係者が参照、適用できます。
地上セグメントのライフサイクル(IT基本保護プロファイル5.2節より)
IT基本保護プロファイルの6つのライフサイクルは、さらに16の業務プロセスに分類されています。
地上セグメントの業務プロセス(IT基本保護プロファイル付録より)
地上セグメントのライフサイクルは、一般的なITインフラの構築から始まり、構想と設計、製造、運用準備、そしてサプライチェーン管理を通じて、ソフトウェアとハードウェアの自社開発に至ります。これらのプロセスは、選定されたハードウェアとソフトウェアの統合とテスト、さらには運用前の訓練を含みます。運用可能な製品を準備するためには、システムテスト、受入れ、認定が必要であり、これには軌道決定やミッション計画も含まれます。最終的には、運用業務、搭載ソフトウェアのメンテナンス、そして鍵管理が行われ、セキュリティ要件が各ステップにおいて詳細に定義されています。
これにより、地上セグメントのライフサイクル全体を通じて、セキュリティと機能性が確保されます。
3.地上セグメントの構成要素の分類
本IT基本保護プロファイルでは、IT基本保護大要を参考に地上セグメントを構成する要素を、建物、部屋、ITシステム、アプリの4種類に分類しています。
4つの構成要素
建物はオフィス棟、衛星の製造棟、衛星運用棟などの建造物、部屋は衛星運用室やサーバ室などの居室を指します。ただし例外として、建物には宇宙が、部屋には衛星が分類されています。本書が参照しているIT基本保護大要では建物や部屋はあっても宇宙や衛星に該当する構成要素の分類がないため、やむを得ず宇宙を建物、衛星を部屋と分類しているようです。
ITシステムには、仮想化基盤等のアプライアンスや、クライアントなどの情報機器が含まれます。アプリには、衛星の運用計画を立案するミッション計画SW、衛星の運動を模擬するミッションシミュレーター、衛星の搭載SWなどが該当します。
構成要素の例
このように、このIT基本保護プロファイルは汎用的なIT基本保護大要の4つの構成要素の分類を活用しつつ、地上セグメントの各種ソフトウェア、衛星、宇宙などの宇宙特有の構成要素をより具体的に洗い出して列挙しています。
4.地上セグメントのセキュリティ要件
IT基本保護プロファイルには、具体的なセキュリティ要件は記載されていません。衛星運用棟、ミッション計画SW等の地上セグメントの構成要素毎に対応するIT基本保護大要のモジュールが記載されています。具体的なセキュリティ対策はIT基本保護大要を参照して確認します。
セキュリティ対策の例
たとえば、「建物」や「部屋」は火災対策、適切なケーブル配線、アクセスコントロール等の物理セキュリティ要件が定義されています。
「ITシステム」はLinuxカーネルやWindowsクライアントのマルウェア対策の堅牢化が定義されています。近年では、米国の航空宇宙防衛産業のWindows PCを標的としたマルウェア「PowerDrop」なども発見されており、攻撃の入口になりうるITシステムの堅牢化は非常に有用です。
「アプリ」には、アプリケーションを仮想化する場合に使用するコンテナイメージは信頼できる配信元からのコンテナイメージだけを使用することや、衛星運用ソフトウェアなどの一般的なソフトウェアのプラグインや拡張機能は必要な物だけに限定し、無効化オプションを用意することなどが定義されています。サプライチェーンセキュリティの観点から、とくに衛星運用に供するアプリケーションへのバックドアの混入を防止するために不審な配信元からのコンテナイメージの利用や不必要な拡張性は避けたほうが良いでしょう。
さいごに
BSI(ドイツ連邦情報セキュリティ庁)が発表した「地上セグメントIT基本保護プロファイル(IT-Grundschutz-Profil für das Bodensegment von Satellite)」について解説しました。
このプロファイルは、衛星通信の安全性を高めるための重要なステップであり、とくに地上セグメントのセキュリティに焦点を当てていました。地上セグメントの開発から廃棄までのライフサイクル全体におけるリスクを特定し、そのリスクに対応するための基本的なセキュリティ対策を包括的に定義していました。
これらの基本的なセキュリティ対策を通じて、ますます重要となっている宇宙システムの安全性が一層強化されることが期待されます。
■宇宙事業に関するセキュリティのご相談はこちら