欧州ENISA 宇宙脅威状況 2025 (2025.03.26)
こんにちは、丸山満彦です。
ENISAが商業衛星のサイバーセキュリティ脅威状況を特定、評価する報告書を公表していますね...
衛星のライフサイクルのそれぞれの段階(開発、展開、運用、廃止)におけるサイバーセキュリティと、関係するステークホルダーに焦点を当てて記述していますね...
セグメントは地上、宇宙、ユーザー、人的リソース...
私も関わっていますが...日本でも経済産業省が2024.03.28に民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver2.0
を公表していますね...
● ENISA
・2025.03.26 ENISA Space Threat Landscape 2025
・[PDF]
| 1. INTRODUCTION | 1. 序文 |
| 1.1 BACKGROUND AND CONTEXT | 1.1. 背景と文脈 |
| 1.2 POLICIES & STANDARDS | 1.2. 方針と標準 |
| 1.3 SCOPE & OBJECTIVES | 1.3. 範囲と目的 |
| 1.4 METHODOLOGY | 1.4. 方法論 |
| 1.5 TARGET AUDIENCE | 1.5. 想定読者 |
| 1.6 STRUCTURE OF THE REPORT | 1.6. 報告書の構成 |
| 2. COMMERCIAL SATELLITES LIFECYCLE MODEL | 2. 商業衛星のライフサイクルモデル |
| 2.1. GENERIC LIFECYCLE MODEL AND ACTORS | 2.1. 一般的なライフサイクルモデルとアクター |
| 3. ASSET TAXONOMIES | 3. 資産分類 |
| 3.1. GROUND SEGMENT | 3.1. 地上セグメント |
| 3.2. SPACE SEGMENT | 3.2. 宇宙セグメント |
| 3.3. USER SEGMENT | 3.3. ユーザー・セグメント |
| 3.4. HUMAN RESOURCES SEGMENT | 3.4. 人的リソース・セグメント |
| 4. SPACE THREATS | 4. 宇宙の脅威 |
| 4.1. SPACE THREAT TRENDS | 4.1. 宇宙脅威の傾向 |
| 4.2. THREAT ACTORS | 4.2. 脅威アクター |
| 4.3. THREAT TAXONOMY METHODOLOGY | 4.3. 脅威分類法 |
| 4.4. THREAT TAXONOMY | 4.4. 脅威分類 |
| 5. RISK ASSESSMENT | 5. リスクアセスメント |
| 5.1. SCENARIO 1: COMMUNICATIONS PROTOCOL COMPROMISE VIA SOCIAL ENGINEERING | 5.1. シナリオ1:ソーシャル・エンジニアリングによるコミュニケーション・プロトコルの侵害 |
| 5.2. SCENARIO 2: EXPLOITING OBC/OBSW VULNERABILITIES VIA MALICIOUS CODE | 5.2. シナリオ2:悪意のあるコードによる OBC/OBSW 脆弱性の悪用 |
| 5.3. SCENARIO 3: NETWORK INTRUSION DUE TO A LACK OF SECURITY PROTOCOLS AND MISCONFIGURATION | 5.3. シナリオ3:セキュリティ・プロトコルの欠如と設定ミスによるネットワーク侵入 |
| 6. CYBERSECURITY CONTROL FRAMEWORK | 6. サイバーセキュリティ・コントロール・フレームワーク |
| 6.1. CONTROLS TO THREATS MAPPING | 6.1.コントロールと脅威のマッピング |
| 7. CONCLUSIONS AND RECOMMENDATIONS | 7. 結論と提言 |
| ANNEX A - LIST OF ACRONYMS AND ABBREVIATIONS | 附属書A - 頭字語および略語のリスト |
| ANNEX B – DETAILED ASSET TAXONOMY | 附属書B - 資産分類の詳細 |
| ANNEX C – SPACE THREAT TAXONOMY | 附属書C - 宇宙脅威分類法 |
| ANNEX D – CYBERSECURITY CONTROL FRAMEWORK | 附属書D - サイバーセキュリティ・コントロール・フレームワーク |
エグゼクティブサマリー...
| EXECUTIVE SUMMARY | エグゼクティブサマリー |
| This report underlines the growing importance of cybersecurity considerations for the space industry, with an emphasis on commercial satellites. Previous years have witnessed several notable cyber-attacks aimed at the space industry, including large-scale satellite systems, with consequences being not only visible, but also potentially harmful for societies at large. At the same time, the growing body of EU frameworks regulating network and information security as well as resilience of critical and important sectors, recognises the space sector among essential entities, thus subjecting it to strict cybersecurity requirements that will be applicable from January 2025. | 本報告書は、商業衛星に重点を置き、宇宙産業におけるサイバーセキュリティへの配慮の重要性が高まっていることを強調するものである。過去数年間、大規模衛星システムを含む宇宙産業を狙った注目すべきサイバー攻撃がいくつも発生しており、その結果は目に見えるものだけでなく、社会全体にとっても潜在的に有害なものであった。同時に、ネットワークや情報セキュリティ、重要事業体のレジリエンスを規制するEUのフレームワークが拡大しており、宇宙産業も重要事業体の1つとして認識されているため、2025年1月から適用されるサイバーセキュリティに関する厳しい要件が課されている。 |
| With this in mind, the primary objective of this report is to identify and assess the cybersecurity threat landscape for commercial satellites – exploring both existing and emerging challenges for the industry. This is achieved by focusing on cybersecurity aspects at each phase of the satellite lifecycle – development, deployment, operations, and decommissioning, and the stakeholders involved. The report defines a high-level reference architecture for commercial satellites presented in the form of a space assets taxonomy. The assets taxonomy is then matched against identified relevant threats and threat actors providing a space threat taxonomy, supplemented with possible risk scenarios and disruption models. Serving as a basic form of threat modelling, the scenarios, together with preceding sections, provide a baseline for designing a set of tailored cybersecurity controls derived from existing cybersecurity frameworks. The controls are aimed at providing guidance for strengthening resilience of commercial satellite operators. | このことを念頭に置いて、本報告書の主な目的は、商業衛星のサイバーセキュリティの脅威状況を特定・評価し、衛星業界にとっての既存の課題と新たな課題の両方を探ることである。これは、衛星のライフサイクルの各段階(開発、展開、運用、廃止)におけるサイバーセキュリティの側面と、関係するステークホルダーに焦点を当てることで達成される。本報告書では、商業衛星のハイレベルな参照アーキテクチャを宇宙資産分類法の形で定義している。次に、この資産分類法を、特定された関連脅威および脅威アクターと照合し、可能性のあるリスクシナリオと混乱モデルを補足した宇宙脅威分類法を提供する。脅威モデリングの基本的な形として機能するシナリオは、先行するセクションとともに、既存のサイバーセキュリティフレームワークから導き出された一連のサイバーセキュリティ制御を設計するためのベースラインを提供する。この管理策は、商業衛星事業者のレジリエンスを強化するためのガイダンスを提供することを目的としている。 |
| The report is aimed at a wide target audience – which includes representatives of the public/government sector and the space industry, technical and cybersecurity communities, as well as academia, standardisation bodies, civil society organisations, and the interested public. | この報告書は、官公庁、宇宙産業、技術コミュニティ、サイバーセキュリティコミュニティの代表者のほか、学界、標準化団体、市民社会組織、関心のある一般市民など、幅広い読者を対象としている。 |
| Among the key cybersecurity challenges faced by the commercial satellites industry, the report outlines: | 商業衛星産業が直面するサイバーセキュリティの主要課題のうち、本報告書は次のように概説している |
| • Supply chain risks, with the space sector heavily dependent on complex global supply chains; | • サプライチェーンのリスク。宇宙分野は複雑なグローバルサプライチェーンに大きく依存している; |
| • Use of third party Commercial Off-the-Shelf (COTS) components; | • サードパーティの商用オフザシェルフ(COTS)コンポーネントの使用 |
| • Legacy systems, due to the remote nature and location of space systems; | • レガシー・システムは、宇宙システムの遠隔地という性質と場所に起因する |
| • Limited visibility, again related to the remote nature of the space systems; | • 視界が狭いのは、やはり宇宙システムの遠隔地という性質が関係している |
| • Weak configuration, primarily found in the lack of cryptographic technologies; | • コンフィギュレーションが弱く、主に暗号技術の欠如に見られる; |
| • Human error, since space systems dependent on a high degree of human interaction in all phases of their lifecycle; and | • 宇宙システムは、そのライフサイクルのすべての段階において、高度な人的相互作用に依存しているため、ヒューマンエラーが発生する。 |
| • The threat of sophisticated cyber-attacks, launched by skilled and capable threat actors | • 熟練した有能な脅威アクターによる高度なサイバー攻撃の脅威。 |
| To address these, some of the most notable recommended actions identified by the report include: | これらに対処するため、報告書が推奨する最も注目すべき行動には以下のようなものがある |
| • Implementing security by default and by design principles; | • デフォルトと設計原則によるセキュリティを実装する; |
| • Analysis, testing, and hardening of COTS before and after introducing them into the production environment (operations); | • COTSを本番環境(オペレーション)に導入する前後の分析、テスト、ハードニングを行う; |
| • Strengthened physical security of all ground-based assets, as well as space assets prior to their launch; | • すべての地上資産および打ち上げ前の宇宙資産の物理的セキュリティを強化した; |
| • Deployment of validated and tested cryptographic technologies measures into space systems; | • 妥当性を確認し、テストした暗号技術を宇宙システムに展開する; |
| • Introduction of robust segmentation measures; | • ロバストセグメンテーションの序文; |
| • Regular patching and hardening of space systems; | • 宇宙システムの定期的なパッチ適用とハードニング; |
| • Adopting a zero-trust approach; and | • ゼロ・トラスト・アプローチを採用する |
| • Adopting sound and appropriate cyber hygiene practices. | • 健全かつ適切なサイバー衛生慣行を採用する。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.08.28 米国 国家安全保障局 (NSA) 商用超小型地球局(VSAT)ネットワークの保護
・2024.07.01 防衛省 防衛研究所 「商業宇宙戦争」の時代における防衛組織の課題 + 米国国防総省の商業宇宙統合戦略
・2024.04.24 ドイツ BSIが人工衛星の地上セグメント用のITベースライン保護プロファイルを公表
・2024.04.06 米国 国防総省 商業宇宙統合戦略2024 - 新宇宙戦略は国防総省と民間企業の努力の統合を目指す
・2024.03.29 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0
・2024.02.19 ENISA 低軌道(LEO)衛星通信のサイバーセキュリティ評価
・2023.09.26 NIST IR 8441 ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティフレームワーク・プロファイル
・2023.08.01 NIST NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門
・2023.06.10 NIST NISTIR 8441(ドラフト)ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)
・2023.05.31 ENISA 海底ケーブルから低軌道衛星通信までのセキュリティの確保 (2023.05.24)
・2023.04.02 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver1.1
・2023.03.08 欧州 安全な宇宙ベースの接続プログラムを欧州理事会が承認
・2023.01.08 NISTIR 8401 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用 (2022.12.30)
・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティフレームワーク・プロファイル:注釈付きアウトライン最終版
・2022.08.05 ドイツ BSI 宇宙インフラのためのサイバーセキュリティ
・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在
・2022.07.14 NIST NCCoE ハイブリッド衛星ネットワーク(HSN)サイバーセキュリティ(ドラフト)
・2022.07.06 NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29)
・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用
・2022.02.28 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)
・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」
・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門
・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。
・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?
・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07
・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。
・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。
・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。
« 経済産業省 ウラノス・エコシステムにおける産業データ連携の促進に向けた「トラスト」のあり方に関する報告書 (2025.03.28) | Main | 英国 ICO ランサムウェア被害にあったITサービス提供者に罰金約3百万ポンド(約6億円)を課す (2025.03.27) »
Comments