宇宙研究開発機構(JAXA)へのサイバー攻撃について

JAXAのセキュリティ対策は、日本を代表する有識者により、毎年情報システムの活用と情報セキュリティの確保が監査されており、決して手を抜いていた訳ではないと思います。

国立研究開発法人宇宙航空研究開発機構の令和4年度における業務の実績に関する評価
情報システムの活用と情報セキュリティの確保

JAXAの情報漏洩は現在調査中ですが、サイバーセキュリティの観点から、段階的に成熟度を向上させるアプローチが重要です。セキュリティは一夜にして完璧にすることは困難であり、今回のような事態から原因を特定し、継続的に改善していくことが求められます。

Table of Contents

JAXA情報流出 「安全」接続目的のVPNが不正アクセスの標的に 脆弱性突かれる

なお、重大な情報セキュリティ インシデントの発生防止と宇宙機の運用に不可欠な情報システムのセキュリティ対策の状況をモニタリング指標としており、JAXAはすでに国内全拠点の構内LANを一斉更新する計画の策定に着手済みでした。

国立研究開発法人宇宙航空研究開発機構の令和4年度における業務の実績に関する評価
情報システムの活用と情報セキュリティの確保

令和6年6月21日盛山正仁文部科学大臣記者会見

Q:朝日新聞の佐々木と申します。朝日新聞の取材で、JAXAが昨年以来複数回のサイバー攻撃を受け、秘密指定を受けた文書や、NASAやトヨタと秘密保持契約を結んだ外部組織とのやり取りを含む大量のデータが攻撃者側に流出した恐れがあることが分かりました。JAXAを所管し、宇宙研究開発分野を担う文部科学省としての受け止めをお伺いできればと思います。
A:昨年来、外部からJAXAに対して複数のサイバー攻撃が行われたという報告を受けています。JAXAでは、それぞれの事案について侵害および影響の範囲を特定するための調査を直ちに開始し、不正アクセスに関係する一部ネットワークの遮断などの措置を講じました。また、不正アクセスが行われたネットワークでは、ロケットや衛星の運用等の機密な情報は扱われていないという報告も受けております。 現在、JAXAにおいて、それぞれの事案について内閣サイバーセキュリティセンターなどの専門機関の知見と協力を得て詳細調査を進めているところです。これらの対応を早急に進めるとともに、必要な対策を十分に講じていただきたいと考えています。以上です。

Q:日本経済新聞の川原です。先ほどのJAXAのサイバー攻撃について伺いたいのですが、文部科学省としては、JAXAに対するサイバー攻撃をいつ把握したのか、またその都度報告を受けていたのか教えていただけますか。そして、こうしたサイバー攻撃について報道が先行することについて、情報管理体制やその対策についてどのようにお考えか伺いたいです。
A:具体的な報告時期については、サイバーセキュリティという事柄の性質上、お答えを差し控えさせていただきます。また、なぜこのような報道がなされるのかについてもお答えすることは難しいです。 報道機関の方の取材が厳しかったかどうかは分かりませんが、報道が先行することは望ましいことではありません。ただ今、どのような形で何が起こったのか、そしてそれをどう防ぐのかについては、JAXAの方で検討を進めている最中です。その辺りが一段落し、対応策を含めて公表できる時期までお待ちいただきたいと思います。

Q:NHKの者です。先ほどのJAXAの件ですが、一部報道では、NASAやトヨタの関係機関や企業との秘密保持契約に関する情報が流出したと指摘されています。先日、大臣がアメリカとの間に協力関係を結ぶなどしていますが、今後の協力関係に影響が出る可能性についてどうお考えですか。
A:我々としては、そういった機密情報が流出しているとは承知しておりません。そのご懸念はあるかもしれませんが、それほど大きな問題にはならないのではないかと思います。

Q:お伺いさせていただきます。先ほど、ロケットなどの機密情報は含まれていないということでしたが、情報流出自体はあったという理解でよろしいでしょうか。その上で、もし再び攻撃で情報が流出するということであれば、そのことについての大臣の受け止めもお聞かせいただければと思います。
A:繰り返しになりますが、何らかの情報流出はあったということです。ただし、機密情報の部分については流出していないと聞いております。そして、それも含めて現在対応を進めているところですので、その対応の結果が出るまでお待ちいただきたいと考えています。

Q:共同通信の水野と申します。この件に関連して、先ほどの質問に関連してですが、NASAやトヨタなどの情報について機密にあたる情報はないとおっしゃったと思います。ただし、機密に当たらない部分であっても、トヨタなどの情報が含まれているところが攻撃を受けたという理解でよろしいでしょうか。
A: 現在、JAXAにおいて侵害および影響の範囲等の詳細な調査・確認を進めております。そのため、範囲の詳細についてはお答えを差し控えさせていただきます。対応が完了するまでお待ちいただきたいと思います。

令和6年6月21日盛山正仁文部科学大臣記者会見(※「YouTube」文部科学省動画チャンネルへリンク)

情報システムの活用と情報セキュリティの確保

主な業務実績等

1.情報システムの活用

(1)全社で共通的に利用する情報システムについて

  1. JAXAの基幹ネットワークとインターネットを接続するシステムの老朽化更新に合わせ、ファイアウォールの処理能力を1Gbpsから10Gbpsに向上させたことにより、インターネットを介したデータのアップロード・ダウンロード、オンライン会議、テレワーク時のJAXA内部システムの利用等において、インターネット接続が遅い・安定しない等の課題を改善した。
  2. Web会議の普及によりTV会議システムの利用が激減していることから、TV会議システムのセンター装置類の老朽化更新に合わせ、システム規模を縮小※し、更新費用を最小化した。(※)TV会議端末台数は約400台から100台以下に、センター装置類は冗長化をやめるなどによりサーバ10台を6台に削減。
  3. テレワーク等を実施する上での基盤として、TeamsやSharePoint等の利用は定着し、機構業務に必要不可欠なものとなっており、引き続き確実な業務の実施に供するよう、着実に維持運用した。並行して、これらの新機能の活用や、より適切な利用を目指して、機構内での講習会をのべ約10回開催するなどの利用促進策を継続的に行った。
  4. 国内17拠点の構内LANは、2010~2018年度にかけて整備したもので、メーカー保守が終了した機器も多く、障害発生リスクが増大している。また、その年度に整備する拠点ごとに調達(入札)してきたため、整備業者がバラバラで、後年になるにつれ、保守や障害対応などの運用が複雑化し、機器交換では解決しない複雑なネットワークトラブルが発生したときには、復旧までに時間がかかるケースが実際に生じている。このため、統一的な設計・運用の下で可用性を高めることをねらい、国内全拠点の構内LANを一斉更新する計画の策定に着手した。

(2)研究開発を支える情報システムについて

JSS3は運用3年目も安定したシステム運用を継続しつつ、経営方針や事業戦略と連携する仕組み作りと実践をしつつ、プロジェクトや研究開発を重要課題と位置付け支援した。外部利用も増加し企業でのスパコンによる業務推進を支援した。先進的な環境提供の準備として宇宙安全保障分野でのJSS3利用のための規程・システム要件の整備を進め、政府事評定:A新型コロナ禍でのテレワークが続く中、職員等が業務継続できる情報システムを提供し、JAXA全体としての「新たな働き方」における出勤率5割の維持に貢献した。また、JAXAスーパーコンピュータ(JSS3)について、経営方針に沿いプロジェクトの支援を行うとともに、外部利用が促進され航空宇宙産業の開発業務高度化に貢献した。加えて、宇宙安全保障分野でのJSS3利用のための規程・システムの準備を進め、政府事業での利用に目途を立てた。セキュリティの確保については、重大なインシデント発⽣を引き続き抑止したのに加え、機微な情報を扱うというJAXAの特性に鑑み、政府指針等を上回るリスク対策をルール・システム両面で拡充し、事案対応時間短縮による被害拡大抑止の大きな目途を立てた。さらに外部組織との信頼関係に基づき得た情報を運用に反映するなど、従来のPDCAに加え、観察・自他比較・方向づけ・実施のOODAループの循環が始まった。また、みなし輸出等の法令改正にも確実に対応した。以上のことから、顕著な成果を得たと評し、A評価とした。評定A<評定に至った理由>以下に示すとおり、国立研究開発法人の目的・業務、中長期目標等に照らし、法人の活動による成果、取組等について諸事情を踏まえて総合的に勘案した結果、適正、効果的かつ効率的な業務運営の下で「研究開発成果の最大化」に向けて顕著な成果の創出や将来的な成果の創出の期待等が認められるため。(評価すべき実績)JAXAスーパーコンピュータ(JSS3)について、経営方針に沿い、プロジェクト支援を行うとともに、外部利用を促進し、航空宇宙産業における開発業務の高度化に貢献した。また、宇宙安全保障分野でのJSS3利用のための規程・システムの準備を進め、政府事業での利用に目途を立てた。さらに、セキュリティの確保について、重大なインシデント発生を引き続き抑止するとともに、機微な情報を扱うというJAXAの特性に鑑み、政府指針等を上回るリスク対策をルール・システム両面で拡充し、事案対応時間短縮による被害拡大抑止の大きな目途を立てた。

<今後の課題>

〇安全保障に関わる重要な技術情報を持つ組織であり、常に狙われているという意識を持ってセキュリティ対策を不断にチェックし、見直すことが求められる。周知徹底等の職員教育を一層充実させる必要がある。

<その他事項>(分科会・部会の意見)

〇生産性に大きく影響するテレワーク時のネットワーク等の取組は、全てのJAXA研究開発活動に影響する重要事項であり、そこで着実な効率アップに資する取組を促進されているのは評価される。
〇評価のポイントが一覧表で示されるよう、表現に留意してほしい。また、達成成果の定量的/客観的提示は改善されているが、年度目標やKPIの提示と成果と対比した客観的評価がまだ十分でない点もあるので、次年度はその改善を期待したい。103業での利用に目途を立てた。共通基盤として有効なシステム整備の実例を示しつつ、今後のJAXA事業に必要な新たなシステムに関する情報収集やユーザーによるニーズ検討を本格的に開始した。

①安定した運用

  • 2022年度のJSS3のサービス稼働率は99.72%(2023年2月末)であり、前年度の99.28%に続き高い数値を維持できている。
  • JSS3利用枠組みのひとつである重点利用枠の課題選定プロセスを詳細に再検討し、経営方針及び事業戦略と連携できる仕組みにより戦略的なJSS3資源配分プロセスを構築した。

②先進的な環境提供

  • 事業部門が戦略的な取組として申請した業務に計算機資源を割り当てる重点利用制度等により、プロジェクト(5件)及び研究開発業務(5件)等に優先的に計算リソースを割り当て(上限55%)、経営方針・事業戦略に沿ったスパコン運営を行い、開発プロジェクトでの活用(現象理解・予測、トラブルシュート)や外部資金提案※につながった。(※新エネルギー・産業技術総合開発機構(NEDO)の経済安全保障重要技術育成プログラムに航空技術部門から課題を提案。)
  • 外部利用(設備供用制度)の申込件数が増加(6件→10件)し、企業でのJAXAスパコンと航空技術部門開発コードを組み合わせた数値シミュレーションによる解析業務の推進、航空宇宙産業の開発業務高度化に貢献した。
  • “富岳とJSS3を透過的に利用するための環境構築に関する共同研究”を理化学研究所と開始し、供給を上回る計算機需要への対応を行うと共に、国内スパコン相互の効果的利用に関する仕組みの構築に着手した。
  • 顧客要求に基づき制定されている二つの文書(1)情報セキュリティ基本方針、(2)情報セキュリティ基準に則り、個別文書である二つの文書(3)情報セキュリティ実施手順、(4)情報セキュリティ対策実施確認書の原案を作成すると共に、これらに適合するJSS3のシステム構成(要件)や運用体制の概念を整理し、宇宙安全保障分野での政府事業での利用に目途を立てた。
  • JSS3でなければできない課題として大規模チャレンジ課題(年間総計算リソースの2%を割当)を募集し、研究開発部門第3研究ユニットの「ロケットエンジン燃焼器の壁面熱流束予測に向けた壁面モデルLES」を選定し、航空宇宙分野アプリケーションによる社会へのインパクトのある成果創出を支援した。
  • 学会や研究会へ参加し情報収集を継続すると共に新たなアーキテクチャの利用可能性をユーザーと共に検討する場として、(1)ゲート型量子コンピュータ検討会、(2)ユース・ケースディスカッション、(3)将来システム研究会を主催し、今後求められるスパコンシステムの技術調査に着手した。
  • 米国スパコン学会(SC22)でNICTと共同で日米間遠隔可視化実験を行い、スパコンのクラウド化や連携技術の評価を行い、課題を明確にした。

③有効性の向上

  • “基本部分をセキュリティ・情報化推進部で整備し固有ニーズ部分をプロジェクトが負担する”という共通基盤たるスパコンが担うべき設備整備の一手法の適用事例を複数実現し、有効性を向上させた。1.アーカイバJ-SPACE/JSS3について、ALOS-2資金による6PBのテープカートリッジ追加を行い、プロジェクト運営を支援した。2.ファイルシステムTOKI-FS/JSS3について、静粛超音速機チーム資金による容量追加を行い、プロジェクト運営を支援した。3.衛星データ再処理用ワークフローソフトウェアについて、EarthCAREでの新規利用の調整を開始し、スパコン設備を通した共通ソフトウェア整備の検討を開始できた。•ユーザーヒアリングを合計25件行い、スーパーコンピュータ活用課サービスの浸透と詳細なユーザーニーズ把握を行った。

2.情報セキュリティの確保全社的な情報セキュリティについて

JAXAに対するサイバー攻撃関連通信は一般よりはるかに多い中(外部組織の平均に比べて約5倍)、JAXA内外の状況に応じ、ルールの見直し、オリジナルのセキュリティ関連教育や研修を実施するとともに、人や環境に依存しない新しい働き方に対応したシステム的なセキュリティ対策を充実させ、重⼤なインシデント発⽣を抑止するとともに、各事業やプロジェクト等の継続的な実施・成果獲得に貢献した。特に、JAXAが機微な情報を扱っていることに鑑み、政府指針等を上回る基準・手続きを整備したり、クラウドサービスの利用開始から終了までをルールとシステムの両面から整備したこと、外部組織とGive&Takeの信頼関係構築を含むネットワーキングを進め、得られた情報を活用してセキュリティ運用の更なる改善を進めたことなど、セキュアなクラウドサービスの利用の目途を立て事案減少に道筋をつけると共に、事案対応の時間短縮により被害拡大の防止に大きな目途を立てた。情報セキュリティ委員会のガバナンス下で、ルールの維持改善、人への教育、システムの対策のPCDAループの循環に加え、観察・自他比較・方向づけ・実施のOODAループ*を短いサイクルで回し外部組織とも協働する枠組みへの参加により、関連組織全体のセキュリティ対策強化に貢献する目途を立てた。(*OODAループ:Observe(観察・情報収集)、Orient(仮設構築・状況判断)、Decide(意思決定)、Act(実行)で構成され、PDCAに比べ、変化の速い環境に適用しやすい意思決定のやり方とされる。)

(1)ルール・しくみの維持改善、教育によるセキュリティ意識の醸成

  • みなし輸出、情報セキュリティ、個人情報保護等、法令や政府指針に合わせ、クラウドサービス利用におけるセキュアなサービス選定・リスク評価の実施等手続きの改正、サプライチェーン対策としての外部委託における情報セキュリティ対策強化、個人情報保護ガイドライン等の改正を実施した。①みなし輸出国は経済安全保障の観点から、技術流出防止を目的として2022年5月にみなし輸出管理関連法令を改正した。具体的には、居住者のうち外国の影響を強く受ける者を「特定類型」と新たに区分して輸出審査対象としたものである。JAXAでは、輸出審査の他、部外者の受け入れ手順においても、外国の影響について確認を行うよう見直すとともに、併せて機構内の既存の部外者受け入れルールに脆弱性がないかあらためて点検し、非グループA国からの来訪者の審査を強化したり、システムによる確認漏れ対策などの予防的な補強も実施した。
  • 改正後は当該改正内容に係る教育や外部講師による講演などを全職員及びパートナーに向けて実施した。②情報セキュリティ全般
  • 年度初めに更新したセキュリティ教育計画及びセキュリティスキルマップに従い、職員・パートナーへのセキュリティ教育(受講率100%、4556人)の他、情報システムセキュリティ責任者、宇宙システム開発・運用関係者、テレワーク実施者向け教育、メール訓練、改正ルール・手続き等の説明会、意見交換等、役割や業務に応じたセキュリティ関連教育・研修を多角的に開催した。これらにより、ルールの浸透やセキュリティ意識の醸成を踏まえ、新しい働き方が進む中ではあるが、不適切な情報管理や情報システム利用による業務に影響を及ぼす事案は発生していない。
  • 外部組織との連携や利用する情報システムが多様化する中で不安が高まる情報管理やアクセス制御に関し、情報セキュリティ管理者(各部署の管理職等161名)に対し、管理者の役割やルールを周知した。グループ演習を通じて、共通の課題や悩み、対応策を共有し、ベストプラクティスや例示をルールに反映した。これにより、各職員等が様々なシチュエーション下での情報セキュリティ上の不安を削減し円滑な業務遂行への寄与と事案発生リスクを軽減することが期待できる。

(2)システムの対策強化

  • 高度化するサイバー攻撃に対処するため、入り口での防御や従来型のアンチウイルス対策では防御できない未知のセキュリティ脅威対策として、エンドポイント対策(EDR)を端末・サーバに導入した。これにより、不審な挙動の検出、封じ込めまでが速やかに行え、セキュリティ運用の効率化(人手を介した場合の封じこめは数時間~数日かかることが想定されるが、即時隔離可能となる)と、ウイルス感染・情報漏えいリスクが軽減することで、各事業の安定的な実施に貢献した。
  • 近年利用が増加するクラウドサービスについて、新規調達・利用開始時の選定基準やリスク評価の実施を含む手続きの改正(2022.4)に先立ち導入したクラウドセキュリティ対策(CASB)を活用し、すでに利用中のクラウドサービスについてもサービスの脆弱有無を可視化し、運用点検を実施している。リスクが高いと考えられるサービスへのJAXA職員等からのアクセスは半減し、未許可のクラウドサービス利用(シャドーIT)を制限している。また、サプライチェーンリスク軽減のため業務委託先に対しても選定時の要求をルール化した(2022.10)。政府統一基準・ISMAP制度に則り、利用開始時にクラウドサービス提供者の対策状況を確認するだけでなく、利用開始から終了までのシステムのライフサイクルを通じて、人によるリスク評価手続き・点検と、システム(CASB)によるクラウドサービス脆弱度の評価・遮断運用との両面で対策を整備している。この点は、他の独法が政府統一基準への準拠までの部分的な対応にとどまるのに対し、先進的な取組として他の独法からも評価されている。
  • セキュリティログや各種情報システム台帳*の情報を活用し、外部から得たノウハウ((3)参照)により複数のセキュリティ機器での防御状況を可視化した。また、セキュリティログの相関分析・検知ルールの更なる改善や運用の自動化により、多層防御のセキュリティ機器をすり抜けた不審メールへの処置時間の短縮化(20分→4分)を始め、限られた人員でのインシデント対応においてセキュリティ機器の特性を捉えてスピーディな初動の見極めが可能になった。事案発生時には初動時間の短縮により被害拡大が抑止できるとともに、さらにJAXA内の教育活動においても効果的に活用できる見込みを得た。

*情報システム台帳:JAXA内HP上に、システム管理者、システム所在、機密性・完全性・可用性重要度、公開系フラグ等の情報システム概要、及び定期的な運用点検結果を蓄積し、各部署で可視化したデータベースを整備し運用している。2022年度、クラウドサービス利用手続きとの自動連携を追加。1200以上あるオンプレミス及びクラウドサービス上のシステムに対しても、緊急連絡体制を最新化して継続的に確保するもの。

(3)外部組織との連携・セキュリティ人材の確保

•国内でのセキュリティ人材不足が顕著な中、前述の(1)ルール・しくみ・人への教育と(2)システムの両面からのセキュリティ対策の推進・維持向上に携わる人材を継続的に確保するため、JAXAにおけるセキュリティ人材育成計画(キャリアパス含む)を策定し、外部組織との連携や研修参加を通じて一定のノウハウやスキルを獲得した。また、JAXA内でセキュリティ人材を循環させることにより、部108門・部特有のセキュリティ対策向上にも寄与する計画である。
•海外宇宙機関とのIT・セキュリティに関する会合やSpaceISAC*1会合等へ参加、日本シーサート協議会(NCA*2)地区ワークショップを筑波宇宙センターで開催(セキュリティ有識者等、約70名参加)を通じて、海外宇宙機関や民間企業での先進的なセキュリティ施策やシステム対策・ツール利用ノウハウを学び、セキュリティ監視運用の効率化を実現した((2)参照)。また、アンケートより、JAXA発表が外部組織に気づきをもたらしたと好評であり、Give&Takeでの信頼関係構築を含む人的ネットワーク形成を継続的に拡大している。
•これら外部組織との連携で得られた情報をJAXA内セキュリティ施策や教育へ反映したりセキュリティ監視運用に生かすことにより、各事業やプロジェクトで、サプライチェーン含め、開発・運用するシステムのサイバー攻撃への耐性強化に寄与することが期待される。なお、年度計画で設定した業務は、計画どおり実施した。

自己評価 評定:A

新型コロナ禍でのテレワークが続く中、職員等が業務継続できる情報システムを提供し、JAXA全体としての「新たな働き方」における出勤率5割の維持に貢献した。また、JAXAスーパーコンピュータ(JSS3)について、経営方針に沿いプロジェクトの支援を行うとともに、外部利用が促進され航空宇宙産業の開発業務高度化に貢献した。加えて、宇宙安全保障分野でのJSS3利用のための規程・システムの準備を進め、政府事業での利用に目途を立てた。セキュリティの確保については、重大なインシデント発⽣を引き続き抑止したのに加え、機微な情報を扱うというJAXAの特性に鑑み、政府指針等を上回るリスク対策をルール・システム両面で拡充し、事案対応時間短縮による被害拡大抑止の大きな目途を立てた。さらに外部組織との信頼関係に基づき得た情報を運用に反映するなど、従来のPDCAに加え、観察・自他比較・方向づけ・実施のOODAループの循環が始まった。また、みなし輸出等の法令改正にも確実に対応した。以上のことから、顕著な成果を得たと評し、A評価とした。

主務大臣による評価 評定:A

評定に至った理由

以下に示すとおり、国立研究開発法人の目的・業務、中長期目標等に照らし、法人の活動による成果、取組等について諸事情を踏まえて総合的に勘案した結果、適正、効果的かつ効率的な業務運営の下で「研究開発成果の最大化」に向けて顕著な成果の創出や将来的な成果の創出の期待等が認められるため。

評価すべき実績

JAXAスーパーコンピュータ(JSS3)について、経営方針に沿い、プロジェクト支援を行うとともに、外部利用を促進し、航空宇宙産業における開発業務の高度化に貢献した。また、宇宙安全保障分野でのJSS3利用のための規程・システムの準備を進め、政府事業での利用に目途を立てた。さらに、セキュリティの確保について、重大なインシデント発生を引き続き抑止するとともに、機微な情報を扱うというJAXAの特性に鑑み、政府指針等を上回るリスク対策をルール・システム両面で拡充し、事案対応時間短縮による被害拡大抑止の大きな目途を立てた。

今後の課題

〇安全保障に関わる重要な技術情報を持つ組織であり、常に狙われているという意識を持ってセキュリティ対策を不断にチェックし、見直すことが求められる。周知徹底等の職員教育を一層充実させる必要がある。

<その他事項>(分科会・部会の意見)

〇生産性に大きく影響するテレワーク時のネットワーク等の取組は、全てのJAXA研究開発活動に影響する重要事項であり、そこで着実な効率アップに資する取組を促進されているのは評価される。
〇評価のポイントが一覧表で示されるよう、表現に留意してほしい。また、達成成果の定量的/客観的提示は改善されているが、年度目標やKPIの提示と成果と対比した客観的評価がまだ十分でない点もあるので、次年度はその改善を期待したい。

宇宙システム全体の機能保証強化

【多様な国益への貢献;安全保障の確保】

<評価軸>

○我が国の安全保障の確保に貢献する取組の立案・検討・マネジメントは適切に進められたか。それに伴う成果が生まれているか。

<評価指標>(成果指標)

○安全保障の確保に係る取組の成果(マネジメント等指標)
○研究開発等の実施に係る事前検討の状況
○研究開発等の実施に係るマネジメントの状況(例:研究開発の進捗管理の実施状況、施設・設備の整備・維持・運用の状況、コスト・予算の管理状況等)
○安全保障機関等の外部との連携・協力の状況<モニタリング指標>(成果指標)
○国際的ベンチマークに照らした研究開発等の成果(例:データ提供数・達成解像度等)(マネジメント等指標)
○安全保障機関等の外部との連携・協力の状況(例:協定・共同研究件数等)
○外部資金等の獲得・活用の状況(例:受託件数等)

1.機能保証強化への取組

以下のとおり安全保障及び機能保証に係る取組を実施した。

(1)ミッションアシュアランス(機能保証)強化に資するため、前年度に引き続き、内閣府主催の宇宙システム機能保証強化机上演習に有識者1名参加し、機能保証演習に対する講評を行った。

(2)ミッションアシュアランス強化を視野に、以下のとおり防衛省/防衛装備庁との連携強化を進めている。
➢宇宙安全保障の確保に向けた取組として、宇宙状況監視(SSA)(Ⅰ.1.3参照)という重要プロジェクトを着実に遂行し政府のSSAシステムの2023年度からの実運用に向けて、JAXAのSSAシステムの構築を完了した。
➢新たに策定された国家防衛戦略・防衛力整備計画に明示されている宇宙領域把握(SDA)衛星について、関係府省との緊密な連携の下、事業化に向けた機構横断的な総合調整、実現に向けた提案活動等を通じ、「宇宙状況監視(SSA)衛星システム(衛星その1)」(衛星の基本設計・詳細設計並びに構成品の一部製造)、「宇宙状況監視(SSA)衛星システム(地上その1)」(サービス設計)及び「宇宙状況監視(SSA)衛星の複数機運用に係る調査研究」の前年度受託開始した3件について継続検討を実施した。(本受託の詳細については、Ⅰ.1.3項参照)
➢2022年度も、防衛省へJAXA講演対応として講師派遣を実施した(合計8回、各回100人程度参加)。また、航空自衛隊幹部学校、防衛研究所一般課程、情報本部上級研修等のJAXA事業所における研修も実施した。
➢極超音速飛翔体観測衛星コンステレーションシステムに係る調査研究(受託:FY2021-FY2022)の検討を完了した。

2.宇宙システムの脆弱性評価を行うとともに、その結果を踏まえた必要な取組

(1)内閣府の求めに応じて2021年度に示された軌道利用のルール作りに関する中長期的な取組方針で掲げられている4テーマ(①航行時の衝突防止、②SSAの構築・活用、③デブリ抑制の推進、④ラージコンステレーション)について、JAXAが持つ技術的知見からの支援を実施。二つのテーマにおいては下記の点で成果に大いに貢献。①航行時の衝突防止:2022年度の活動目標の一つであるJAXA技術標準「人工衛星の衝突リスク管理標準(JMR-016)」を2022年12月27日に制定。②SSAの構築・活用:活動拡大の下支えとなる政府のSSAシステムの2023年度からの実運用に向けて、JAXAのSSAシステムの構築完了した。

(2)2020年度に制定した「宇宙システムセキュリティ管理標準(JMR-015)」「宇宙システムセキュリティ対策標準(JERG-0-058)」の活用・維持
➢複数の新規衛星システムでセキュリティ標準を適用開始し、各プロジェクトでセキュリティ脅威分析・リスク評価を実施し、審査会でセキュリティに知見のある者による第三者レビューを行い、適切な追加対策を各宇宙システムの設計に反映している。⇒開発する衛星システムのセキュリティ堅牢性を体系的に確保。
➢JAXAが開発・運用中の宇宙システム・制御システムに対し宇宙システム対策標準をベースとした自己点検(脆弱性評価)を継続的に実施した(対象システム数:85システム)。⇒宇宙システムのセキュリティ対策の向上・維持を確認。
➢サイバー攻撃の流れと手法を体系化した国際的なフレームワークで「MITREATT&CK」の宇宙システム版が米国で発行されたのを受け、JAXAのセキュリティ対策標準においても宇宙システムのサイバー脅威シナリオを拡充した改定案を作成した。⇒セキュリティ標準を適用するプロジェクトにおいて高度化・複雑化するサイバー攻撃への対応策の確実な取り込みへの貢献が期待。

(3)宇宙システムの開発・運用に携わるJAXA職員及び関連企業のセキュリティ意識醸成・ネットワーキング
➢宇宙システム・制御システムの管理者向けセキュリティ講習を開催(3回開催、JAXA職員74名+関連企業108名=計182名が参加、前年度より参加者倍増)し、宇宙システム特有の脅威の共有や宇宙システムセキュリティ管理標準・セキュリティ対策標準の活用に関する研修を実施した。⇒「宇宙xセキュリティ」の講習はオリジナル教材であり、JAXAに加え、関連企業も参加し、意識醸成を図ることにより、セキュアなJAXA宇宙システムの開発・運用に寄与。
➢JAXAと協力関係のある宇宙関連企業や制御系セキュリティ専⾨組織を含む関係機関を参集するセキュリティWGを運営し、国内外の最新動向(宇宙関連のセキュリティ対策ガイドライン整備状況、脅威・事案例等)を共有した。
➢海外からの情報収集をより一層タイムリーなものにするために、FY2021加入した宇宙分野におけるセキュリティ脅威情報共有組織であるSpaceISACより情報収集を開始するとともに、年次会合へも参加し、人脈形成・信頼関係の構築を推し進めた。

(4)JAXAの宇宙システムセキュリティ管理標準・対策標準の活用において得られた知見や教訓、及び米国主体のSpaceISAC活動状況を、経産省の産業サイバーセキュリティ研究会内の宇宙産業サブワーキンググループにインプットし、産業分野での衛星開発運用のセキュリティ対策やガイドライン作成・更新や国内情報共有組織検討にも協力・支援を行った。これら活動により、JAXAの宇宙システムのみならず、幅広く、国内の宇宙業界全体のセキュリティ対策の水準向上及び機能保証に貢献。なお、年度計画で設定した業務は、計画どおり実施した。

自己評価 評定:A

内閣府や防衛省を始めとする政府の安全保障関係機関と連携し、計画に基づき着実な業務運営が行われたと評価する。特に、2022年度は、これまでのJAXA宇宙システムの脆弱性評価実施や2020年度に策定した宇宙システムセキュリティ標準を活用し、JAXA宇宙システムの開発から運用の各フェーズにおいてセキュリティ堅牢性を体系的に確保するよう導いたこと、また、JAXA内にとどまらず、JAXA関連企業、国内外他組織との情報共有促進・人脈形成を強化したことにより宇宙業界全体のセキュリティ対策の水準向上への貢献という顕著な成果があった。

主務大臣による評価 評定A

<評定に至った理由>

以下に示すとおり、国立研究開発法人の目的・業務、中長期目標等に照らし、法人の活動による成果、取組等について諸事情を踏まえて総合的に勘案した結果、適正、効果的かつ効率的な業務運営の下で「研究開発成果の最大化」に向けて顕著な成果の創出や将来的な成果の創出の期待等が認められるため。(評価すべき実績)複数の新規衛星システムでセキュリティ標準の適用を開始し、セキュリティ脅威分析・リスク評価や、セキュリティに知見のある者による第三者レビュー、追加対策の反映を行い、開発する衛星システムのセキュリティ堅牢性を体系的に確保した。また、宇宙システム・制御システムの管理者向けセキュリティ講習を開催し、JAXAのみならず関連企業も参加することで、セキュアなJAXA宇宙システムの開発・運用に寄与するとともに、宇宙業界全体のセキュリティ対策の水準向上及び機能保証に貢献した。

<今後の課題>

〇能力開発支援を受けた側が継続的に自己の機能保証能力を高められる仕組みを作ること等により、日本全体の機能保証能力強化が円滑に進むことを期待する。

<その他事項>(分科会・部会の意見)

〇防衛省関連その他の外部機関に対する人的貢献を含む共同体形成に向けて貢献した点を評価する。
〇国際情勢の変化によって、宇宙システムへの脅威が増す中、JAXAだけでなく、関連企業も含めて、セキュリティ意識を醸成し、機能保証を強化することは大事であり、今後も進めてほしい。
〇評定理由・根拠のコメントでは、年度目標とKPIが明確でなく、年度成果がそれとの対比でどれだけ優れているかが見えにくい。翌年度以降はこの点の改善を期待したい。利用のルール作りに関する中長期的な取組方針で掲げられている4テーマ(①航行時の衝突防止、②SSAの構築・活用、③デブリ抑制の推進、④ラージコンステレーション)について、JAXAが持つ技術的知見からの支援を実施。二つのテーマにおいては下記の点で成果に大いに貢献。①航行時の衝突防止:2022年度の活動目標の一つであるJAXA技術標準「人工衛星の衝突リスク管理標準(JMR-016)」を2022年12月27日に制定。②SSAの構築・活用:活動拡大の下支えとなる政府のSSAシステムの2023年度からの実運用に向けて、JAXAのSSAシステムの構築完了した。

(2)2020年度に制定した「宇宙システムセキュリティ管理標準(JMR-015)」「宇宙システムセキュリティ対策標準(JERG-0-058)」の活用・維持
➢複数の新規衛星システムでセキュリティ標準を適用開始し、各プロジェクトでセキュリティ脅威分析・リスク評価を実施し、審査会でセキュリティに知見のある者による第三者レビューを行い、適切な追加対策を各宇宙システムの設計に反映している。⇒開発する衛星システムのセキュリティ堅牢性を体系的に確保。➢JAXAが開発・運用中の宇宙システム・制御システムに対し宇宙システム対策標準をベースとした自己点検(脆弱性評価)を継続的に実施した(対象システム数:85システム)。⇒宇宙システムのセキュリティ対策の向上・維持を確認。
➢サイバー攻撃の流れと手法を体系化した国際的なフレームワークで「MITREATT&CK」の宇宙システム版が米国で発行されたのを受け、JAXAのセキュリティ対策標準においても宇宙システムのサイバー脅威シナリオを拡充した改定案を作成した。⇒セキュリティ標準を適用するプロジェクトにおいて高度化・複雑化するサイバー攻撃への対応策の確実な取り込みへの貢献が期待。

(3)宇宙システムの開発・運用に携わるJAXA職員及び関連企業のセキュリティ意識醸成・ネットワーキング
➢宇宙システム・制御システムの管理者向けセキュリティ講習を開催(3回開催、JAXA職員74名+関連企業108名=計182名が参加、前年度より参加者倍増)し、宇宙システム特有の脅威の共有や宇宙システムセキュリティ管理標準・セキュリティ対策標準の活用に関する研修を実施した。⇒「宇宙xセキュリティ」の講習はオリジナル教材であり、JAXAに加え、関連企業も参加し、意識醸成を図ることにより、セキュアなJAXA宇宙システムの開発・運用に寄与。
➢JAXAと協力関係のある宇宙関連企業や制御系セキュリティ専⾨組織を含む関係機関を参集するセキュリティWGを運営し、国内外の最新動向(宇宙関連のセキュリティ対策ガイドライン整備状況、脅威・事案例等)を共有した。
➢海外からの情報収集をより一層タイムリーなものにするために、FY2021加入した宇宙分野におけるセキュリティ脅威情報共有組織であるSpaceISACより情報収集を開始するとともに、年次会合へも参加し、人脈形成・信頼関係の構築を推し進めた。

(4)JAXAの宇宙システムセキュリティ管理標準・対策標準の活用において得られた知見や教訓、及び米国主体のSpaceISAC活動状況を、経産省の産業サイバーセキュリティ研究会内の宇宙産業サブワーキンググループにインプットし、産業分野での衛星開発運用のセキュリティ対策やガイドライン作成・更新や国内情報共有組織検討にも協力・支援を行った。これら活動により、JAXAの宇宙システムのみならず、幅広く、国内の宇宙業界全体のセキュリティ対策の水準向上及び機能保証に貢献。なお、年度計画で設定した業務は、計画どおり実施した。

内閣府宇宙政策委員会宇宙航空研究開発機構分科会構成員

白坂成功委員(慶應義塾大学大学院システムデザイン・マネジメント研究科教授)、片岡晴彦委員(株式会社IHI顧問(元防衛省航空幕僚長))、青木節子臨時委員(慶應義塾大学大学院法務研究科教授)、田辺国昭臨時委員(国立社会保障・人口問題研究所長)、中村友哉臨時委員(株式会社アクセルスペース代表取締役(CEO)、林田佐智子臨時委員(総合地球環境学研究所教授)

総務省国立研究開発法人審議会宇宙航空研究開発機構部会構成員

梅比良正弘委員(南山大学理工学部教授・茨城大学名誉教授)、知野恵子委員(ジャーナリスト)、藤野義之委員(東洋大学理工学部教授)、入澤雄太専門委員(監査法人アヴァンティアパートナー)、生越由美専門委員(東京理科大学大学院経営学研究科教授/サンケン電気株式会社社外取締役)、小塚荘一郎専門委員(学習院大学法学部法学科教授)、小紫公也専門委員(東京大学大学院工学系研究科教授)、篠永英之専門委員(前東洋大学理工学部教授)、末松憲治専門委員(東北大学電気通信研究所教授)、藤本正代専門委員(情報セキュリティ大学院大学教授)、矢入郁子専門委員(上智大学理工学部情報理工学科教授)

文部科学省国立研究開発法人審議会宇宙航空研究開発機構部会構成員

髙橋德行委員(トヨフジ海運株式会社アドバイザー/元トヨタ自動車常務)、古城佳子委員(青山学院大学国際政治経済学部教授)、赤松幸生臨時委員(国際航業株式会社上席フェロー)、城戸彩乃臨時委員(株式会社soranome代表取締役社長)、白坂成功臨時委員(慶應義塾大学大学院システムデザイン・マネジメント研究科教授)、中村昭子臨時委員(神戸大学大学院理学研究科准教授)、平野正雄臨時委員(早稲田大学大学院経営管理研究科(早稲田大学ビジネススクール)教授)、李家賢一臨時委員(東京大学大学院工学系研究科教授)

経済産業省国立研究開発法人審議会宇宙航空研究開発機構部会構成員

坂下哲也委員(一般財団法人日本情報経済社会推進協会常務理事)、笹岡愛美委員(横浜国立大学国際社会科学研究院教授)、大貫美鈴臨時委員(スパークス・イノベーション・フォー・フューチャー株式会社エグゼクティブバイスプレジデント)、小川尚子臨時委員(一般社団法人日本経済団体連合会産業技術本部長)、石田真康臨時委員(A.T.カーニー株式会社ディレクター)、甘木大己臨時委員(株式会社日本政策投資銀行企業金融第2部航空宇宙室長)

    JAXAにおいて発生した不正アクセスによる情報漏洩について

    2024年(令和6年)7月5日

    1. JAXAの対応状況
       JAXAは、外部機関からの通報を踏まえて、攻撃元との通信遮断及びサーバ等のJAXAのネットワークからの切断など初期対応を速やかに実施しました。その上で、セキュリティベンダーによる侵害痕跡の調査、攻撃対象サーバ及び端末の詳細調査(フォレンジック調査)等を実施し、マルウェアを発見・除去したほか、内部通信の強化など、想定されるリスクに対する緊急対策を実施しました。
       また、調査の過程で、Microsoft365(以下、「MS365」といいます)に対する不正アクセスの可能性が確認されたことから、Microsoft社の専門チームによる調査を実施し、更なる侵害が発生していないことを確認しました。
       これらの対応を実施するにあたっては、警察、一般社団法人JPCERTコーディネーションセンター、独立行政法人情報処理推進機構(IPA)などの専門機関と連携し、不正な通信先の情報や使用されたマルウェア情報などを報告・共有して進めております。
    2. 侵害範囲
       初期調査、セキュリティベンダー及びMicrosoft社による調査並びにJAXAによる分析を踏まえ、本インシデントに関する主な侵害範囲を以下の通り明らかにしました。なお、侵害の過程では、未知のマルウェアが複数使用されていたことが確認されており、侵害の検知を困難にしておりました。

      ①第三者がVPN装置の脆弱性を起点にJAXAの一部のサーバ及び端末に侵入。先だって公表された脆弱性が悪用された可能性が高い。
      ②侵入したサーバからさらに侵害を広げ、アカウント情報等を窃取。
      ②窃取したアカウント情報等を用いて、MS365に対して正規ユーザを装った不正アクセスを実施。
    3. 流出した情報
       本インシデントにより、侵害を受けたJAXAの端末・サーバに保存されていた一部の情報(JAXA職員等の個人情報含む)が漏洩した可能性があります。また、MS365上でJAXAが管理していた情報の一部(外部機関と業務を共同で実施するにあたっての情報及び個人情報)が漏洩したことを確認しております。関係する方々には既に個別にご説明及び謝罪を差し上げております。なお、本インシデントで侵害を受けた情報システムやネットワークにおいては、ロケットや衛星の運用等の機微な情報は扱われておりません。
    4. 対策
       本インシデントを受けて、脆弱性対応を迅速に行うための体制整備や内部通信ログの監視強化等の短期的対策を実施しました。加えて、更にセキュリティを強化するための恒久対策を検討し、エンドポイントを含めたネットワーク全体の更なる監視強化、外部からの接続方法の改善、運用管理の効率化・可視化、なりすまし対策の強化等の対策を策定しました。現在、これらの対策の計画の具体化をはかっているところです。
       なお、上記の対策を進め監視を強化している中で、本年1月以降、複数回の不正アクセスを確認しました(その中には、ゼロデイ攻撃によるものも含まれます)が、情報漏洩等の被害が発生していないことを確認しました。
    5. 今後の取組
       サイバー攻撃がますます高度化し、攻撃も対策も常に進化し続ける中、JAXAは中核的宇宙開発機関として、迅速・的確なセキュリティ対応が求められていることを強く自覚し、本インシデントを受けた短期的対策及び恒久対策を着実に実施していく予定です。今後も専門機関を含めた関係機関と連携し、情報セキュリティを今後一層強化してまいります。

    投稿者: 二本松 哲也

    SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ