기타 「宇宙ビジネス」市場拡大の裏で“地政学的緊張”による《敵対的なサイバー攻撃》が急増、今後想定される2つのリスクとは？

[お持て成し]

「宇宙ビジネス」市場拡大の裏で“地政学的緊張”による《敵対的なサイバー攻撃》が急増、今後想定される2つのリスクとは？/ 1/13(火) / 東洋経済オンライン

急成長する「宇宙産業」だが、サイバー攻撃による国家機能の混乱や企業活動の停止が懸念されている（写真：Andrey Armyagov/PIXTA)

　筆者らが2019年に宇宙サイバーセキュリティの重要性を研究し始めた際、「宇宙人からの脅威に対してサイバーセキュリティが必要なのですか」と真顔で質問を受けたことがありました。当時は宇宙とサイバーセキュリティの関係性がまだ十分に理解されておらず、宇宙システムへのサイバー攻撃はSFの世界の話だと思われていたのかもしれません。

【図】最近の宇宙産業で起きたサイバー攻撃の共通点とは？

　しかし、ウクライナ侵攻時に同国が利用する通信衛星システムがサイバー攻撃を受けたことで、世の中の見方は一変しました。宇宙はもはや「安全保障」と「経済活動」の両輪を支える基盤であり、宇宙システムへのサイバー攻撃は国家機能の混乱や企業活動の停止に直結します。

■ 成長が見込まれる「宇宙産業」の今

　高市早苗首相が首相就任後に掲げた17の戦略分野には、人工知能(AI)・半導体、エネルギー安全保障などと並んで「宇宙」も含まれています。高市政権は「宇宙」について、経済安全保障上の重要性が高い技術「国家戦略技術」(6分野)の1つとしても指定しており、市場でも引き続き関心は高いです。

　ますます宇宙システムのサイバーセキュリティ対策は急務となっているわけですが、具体的にはどのような脅威が考えられるのでしょうか。まずは、“宇宙産業の今”について確認していきましょう。

　衛星製造や打ち上げコストの低下を背景に、宇宙活動は従来の官需主導から、官民連携への移行が進み急速に商用化しています。PwCコンサルティングでは、23年時点における宇宙分野の市場規模を約4030億米ドルと推計しました。また、内閣府宇宙政策委員会の資料によると、宇宙の市場規模は30〜40年に約1兆米ドル(約150兆円)になると予測されています。

　事業領域も多岐にわたっています。PwCコンサルティングでは、宇宙産業の事業領域について事業エリア(「地上」「準軌道・成層圏」「軌道上」「深宇宙」に分類)とバリューチェーン(Upstream、Midstream、Downstream)の2軸で整理・分類していますが、すでに18もの事業領域が確認できます。

まず、宇宙に打ち上げた人工衛星などのアセットを活用して地上でビジネスを行う「地上」の事業領域は、すでに地球上のさまざまな産業に浸透するところまで成長し、今後もさらなる発展が見込まれています。

　例えば、上図の⑥リモートセンシングや⑦位置情報、⑧通信・放送といった人工衛星を活用した領域については、防災や自動運転等、地球上のさまざまな課題解決に役立っています。また、最近身近になった「衛星とスマートフォンの直接通信」により、圏外だった場所でも、空が見える環境であれば衛星モードに自動で切り替わり、陸・海・空どこでもスマートフォンさえあればインターネットにつながる世界が実現しようとしています。

　そして今、事業エリアは、「準軌道・成層圏」から「軌道上」、そして月面をはじめとする「深宇宙」へと広がりつつあります。

　アメリカが主導する有人宇宙飛行計画「アルテミス計画」では、日本は月周回有人拠点の機器や、月面ローバーの提供を行う予定となっており、さまざまな業種の事業者が研究開発も含めて事業検討を進める動きが出てきています。今後は探査情報の活用による資源開発や通信・エネルギー・居住関連のインフラ開発等、月面開発の進展が期待されています。

　このように宇宙産業が拡大していく中で、宇宙システムのサイバーセキュリティ対策が急務とされるのは、私たちの「安全保障」と「経済活動」の多くが衛星に依存しているためです。衛星や地上局がサイバー攻撃を受ければ、通信や交通等、広範な影響が発生する可能性があります。

■ 地政学的緊張に伴い「敵対的な攻撃」が顕在化

　具体的に、昨今のサイバー攻撃被害事例を見ていきましょう。下図にまとめたとおり、ここ数年だけでも、日本の宇宙研究機関、韓国の製造会社、ロシアの研究センター、ポーランドの宇宙機関と、世界中で宇宙関連の組織がサイバー攻撃の被害に遭い、システム停止や情報漏洩が発生しています。被害状況から、地政学的緊張の高まりに伴い、宇宙システムに対する敵対的なサイバー攻撃が顕在化していることがうかがえます。

今後、東アジアで国際的緊張が高まった場合、通信衛星や観測衛星、関連する地上システムが標的となり、日本も安全保障上の重大なリスクを抱える恐れがあります。

　宇宙システムのセキュリティ対策は、インシデントの増加や法規制の整備を背景に、徐々に進み始めています。

　日本では、24年3月に経済産業省が「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインVer 2.0」を公開しました。このガイドラインでは、民間企業が主体となる衛星システムや地上システムを対象とし、網羅的なサイバーセキュリティが記載されています。とくに、初見の方は「対策要求事項チェックリスト」をご覧いただくと、サイバーセキュリティ対策の全容が一目でわかるようになっています。

　また、24年11月に一般社団法人 Japan Space ISACが設立されました。宇宙産業に参入している事業者を中心に、宇宙のサイバーセキュリティを中心とするプラクティス、課題、情報等を共有しあうための活動を行っています。

　EUにおいては、宇宙分野のサイバーセキュリティを法的に強化する動きが進んでいます。具体的には、欧州委員会が施行するサイバーセキュリティに関する法的枠組み「NIS2指令」において、宇宙産業は主要事業体として位置づけられています。

　また、25年6月に欧州委員会はEU Space Act(EU宇宙法)の草案を発表しました。この法案は、EU域外の事業者であっても、EU域内で宇宙サービスやデータを提供する場合には適用対象となるため、日本企業も注意が必要です。

■ 対策が難しい「宇宙特有の制約」とは？　

　このように、宇宙システムのセキュリティ対策は法規制が整備され、現場の意識も徐々に高まっています。しかし、宇宙システムは寿命が長く、打ち上げ後の設計変更が困難という宇宙特有の制約により、対策の推進は容易ではありません。そのため、計画・設計段階からセキュリティを組み込む「セキュア・バイ・デザイン」が不可欠です。

さらに、クラウド技術を活用した地上セグメントサービス(Ground Segment/Station as a Service)の普及に伴い、設定不備や脆弱性を突いた不正アクセスのリスクが高まっています。宇宙関連企業は、法令やガイドライン等のベストプラクティスに基づき、セキュリティ対策の成熟度を早期に高めるべきです。そのためには予算や人材といった相応のリソースが必要であり、経営層や調達側の理解と支援を得ることが不可欠です。

　今後、注目すべき主なリスクは2つあります。

　1つ目は、「生成AIに関するリスク」です。すでに、攻撃者は生成AIを用いたフィッシングメール用の文章作成、脆弱性を悪用するための攻撃コード作成を行っています。さらには、「AI駆動型マルウェア」が25年7月にウクライナで発見され、生成AIを悪用した手法として注目を集めています。

　このAI駆動型マルウェアとは、マルウェア自体には不正なプログラムを保持せず、「感染したシステムの一覧を収集せよ」といった自然言語のプロンプトを生成AIに送信し、その回答を基に攻撃コードを実行するものです。

　つまり、外部の生成AIにプロンプトを送る機能が存在する“自律的マルウェア”なのです。通常のセキュリティツールや生成AIのガードレール機能では検知することが難しく、プログラム自体も軽量で済むため、処理性能が限られる衛星機器に用いられる恐れがあります。

　2つ目は、「暗号の2030年問題」です。量子コンピュータが実用化されると、効率的に素因数分解等を行うアルゴリズムが利用できるようになり、RSA等の公開鍵暗号方式を破る能力を持つことができるとされています。その時期は30年頃といわれており、宇宙システムや各種サービスで利用している暗号のマイグレーションが遅れた場合、暗号が解読されるリスクが高まり、安全性が脅かされる可能性があります。

■ 経営者が持つべき視座と調達のポイント

　宇宙事業に関連する経営者は、サイバーセキュリティ対策を「コスト」ではなく、ロケットや衛星と同等の「安全機能」を実現する投資と位置づけるべきです。サイバーセキュリティ投資を短期的な費用対効果だけで判断せず、中長期的な視点で予算や人材にリソースを十分に割り当てる必要があります。投資の優先順位を判断するためには、法律やガイドラインとのギャップ分析を実施することを推奨します。

　また、発注者側の意識も変えていく必要があります。宇宙に関連するサービスを調達する政府・自治体・企業は、RFPや契約時に「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインVer 2.0」の基本対策事項を満たす事業者であるかどうかを確認しましょう。

　宇宙システムは「安全保障」と「経済活動」を妨げることができるゆえに、サイバー攻撃者にとって魅力的で、守る側にとっては難易度が高い対象です。だからこそ、各種ステークホルダーがサイバーセキュリティの重要性を認識して、安全のための投資であると理解し、相互に協力しながら宇宙システム全体の成熟度を上げる必要があります。

上杉 謙二／神田 健生

https://news.yahoo.co.jp/articles/11d39ba8c7b98d2b6ab4ad0203f5a32daed59ba0?page=1

「宇宙ビジネス」市場拡大の裏で“地政学的緊張”による《敵対的なサイバー攻撃》が急増、

「우주 비즈니스」시장 확대의 뒤에서"지정학적 긴장"에 의한 "적대적인 사이버 공격"이 급증, 향후 상정되는 2개의 리스크란? / 1/13(화) / 동양경제 온라인

급성장하는 '우주산업'이지만 사이버 공격에 의한 국가 기능의 혼란과 기업 활동의 정지가 우려되고 있다(사진: Andrey Armyagov/PIXTA)

필자들이 2019년 우주 사이버 보안의 중요성을 연구하기 시작했을 때 '외계인의 위협에 대해 사이버 보안이 필요한가요'라는 정색으로 질문을 받은 적이 있었습니다. 당시에는 우주와 사이버 보안의 관계성이 아직 충분히 이해되지 않아 우주 시스템에 대한 사이버 공격은 SF의 세계 이야기라고 생각했을지도 모릅니다.

그러나 우크라이나 침공 때 이 나라가 이용하는 통신위성 시스템이 사이버 공격을 받으면서 세상의 시각은 달라졌습니다. 우주는 이제 「안전 보장」과 「경제 활동」의 양륜을 지탱하는 기반이며, 우주 시스템에의 사이버 공격은 국가 기능의 혼란이나 기업 활동의 정지로 직결됩니다.

■ 성장 전망 '우주산업'의 지금

다카이치 사나에 총리가 총리 취임 후 내건 17개 전략 분야에는 인공지능(AI)·반도체, 에너지 안보 등과 함께 '우주'도 포함돼 있습니다. 다카시 정권은 '우주'를 경제안보상 중요성이 높은 기술 '국가전략기술'(6개 분야)의 하나로 지정하고 있어 시장에서도 꾸준히 관심이 높습니다.

점점 우주 시스템의 사이버 보안 대책은 급선무가 되고 있는 것입니다만, 구체적으로는 어떤 위협을 생각할 수 있을까요. 먼저 '우주산업의 지금'에 대해 알아보겠습니다.

위성 제조나 발사 코스트의 저하를 배경으로, 우주 활동은 종래의 관수 주도로부터, 관민 제휴에의 이행이 진행되어 급속히 상용화하고 있습니다. PwC 컨설팅에서는, 23년 시점에 있어서의 우주 분야의 시장 규모를 약 4030억 미국 달러로 추계했습니다. 또한, 내각부 우주정책위원회의 자료에 의하면, 우주의 시장 규모는 30~40년에 약 1조 달러(약 150조엔)가 될 것으로 예측되고 있습니다.

사업 영역도 다방면에 걸쳐 있습니다. PwC 컨설팅에서는 우주산업의 사업영역에 대해 사업영역('지상', '준궤도·성층권', '궤도상', '심우주'로 분류)과 밸류체인(Upstream, Midstream, Downstream)의 2축으로 정리·분류하고 있습니다만, 이미 18개의 사업영역을 확인할 수 있습니다.

우선, 우주로 쏘아 올린 인공위성 등의 에셋을 활용해 지상에서 비즈니스를 실시하는 「지상」의 사업 영역은, 이미 지구상의 다양한 산업에 침투하는 곳까지 성장해, 향후도 한층 더 발전이 전망되고 있습니다.

예를 들면, 우측 그림의 ⑥리모트센싱이나 ⑦위치정보, ⑧통신·방송이라고 하는 인공위성을 활용한 영역에 대해서는, 방재나 자동운전 등, 지구상의 다양한 과제 해결에 도움이 되고 있습니다. 또한 최근 가까워진 '위성과 스마트폰의 직접통신'으로 인해 권외였던 곳에서도 하늘이 보이는 환경이면 위성모드로 자동 전환되어 육·해·공 어디서나 스마트폰만 있으면 인터넷으로 연결되는 세상이 실현되려 하고 있습니다.

그리고 지금, 사업 구역은, 「준궤도·성층권」으로부터 「궤도상」, 그리고 달 표면을 시작으로 하는 「심우주」로 퍼지고 있습니다.

미국이 주도하는 유인 우주 비행 계획 「아르테미스 계획」에서는, 일본은 월주회 유인 거점의 기기나, 월면 로버의 제공을 실시할 예정이 되어 있어, 다양한 업종의 사업자가 연구 개발도 포함해 사업 검토를 진행시키는 움직임이 나타나고 있습니다. 앞으로는 탐사정보 활용을 통한 자원개발이나 통신·에너지·거주 관련 인프라 개발 등 월면 개발의 진전이 기대되고 있습니다.

이와 같이 우주 산업이 확대되어 가는 가운데, 우주 시스템의 사이버 보안 대책이 급선무로 여겨지는 것은, 우리의 「안전 보장」과 「경제 활동」의 대부분이 위성에 의존하고 있기 때문입니다. 위성이나 지상국이 사이버 공격을 받으면 통신이나 교통 등 광범위한 영향이 발생할 가능성이 있습니다.

■ 지정학적 긴장 따라 '적대적 공격' 가시화

구체적으로, 작금의 사이버 공격 피해 사례를 살펴봅시다. 아래 그림과 같이 최근 몇 년간만 해도 일본의 우주연구기관, 한국의 제조회사, 러시아의 연구센터, 폴란드의 우주기관과 전 세계적으로 우주 관련 조직이 사이버 공격의 피해를 입어 시스템 정지나 정보 누설이 발생하고 있습니다. 피해 상황에서 지정학적 긴장이 고조됨에 따라 우주 시스템에 대한 적대적인 사이버 공격이 가시화되고 있음을 알 수 있습니다.

향후 동아시아에서 국제적 긴장이 고조될 경우 통신위성과 관측위성, 관련 지상시스템이 표적이 되어 일본도 안전보장상의 중대한 리스크를 안고 있을 우려가 있습니다.

우주 시스템의 시큐러티 대책은, 인시던트의 증가나 법규제의 정비를 배경으로, 서서히 진행되기 시작하고 있습니다.

일본에서는, 24년 3월에 경제 산업성이 「민간 우주 시스템에 있어서의 사이버 시큐러티 대책 가이드 라인 Ver 2.0」을 공개했습니다. 이 가이드라인에서는 민간기업이 주체가 되는 위성시스템이나 지상시스템을 대상으로 하여 망라적인 사이버보안이 기재되어 있습니다. 특히, 처음 보는 분은 「대책 요구사항 체크 리스트」를 보면, 사이버 시큐러티 대책의 전모를 한눈에 알 수 있게 되어 있습니다.

또, 24년 11월에 일반 사단법인 Japan Space ISAC가 설립되었습니다. 우주 산업에 참가하고 있는 사업자를 중심으로, 우주의 사이버 시큐러티를 중심으로 하는 프랙티스, 과제, 정보등을 서로 공유하기 위한 활동을 실시하고 있습니다.

EU에서는 우주 분야의 사이버 보안을 법적으로 강화하는 움직임이 진행되고 있습니다. 구체적으로는 유럽위원회가 시행하는 사이버보안에 관한 법적 틀 'NIS2 지령'에서 우주산업은 주요 사업체로서 자리매김하고 있습니다.

또, 25년 6월에 유럽 위원회는 EU Space Act(EU 우주법)의 초안을 발표했습니다. 이 법안은 EU 역외의 사업자라도 EU 역내에서 우주 서비스나 데이터를 제공하는 경우에는 적용 대상이 되기 때문에 일본 기업도 주의가 필요합니다.

■ 대책이 어려운 '우주 특유의 제약'이란?　

이와 같이, 우주 시스템의 보안 대책은 법규제가 정비되어 현장의 의식도 서서히 높아지고 있습니다. 그러나 우주 시스템은 수명이 길고 발사 후 설계 변경이 어렵다는 우주 특유의 제약으로 대책 추진이 쉽지 않습니다. 그 때문에, 계획·설계 단계부터 시큐러티를 짜 넣는 「시큐어·바이·디자인」이 불가결합니다.

게다가 클라우드 기술을 활용한 지상 세그먼트 서비스(Ground Segment/Station as a Service)의 보급에 따라 설정 미비나 취약성을 찌른 부정 액세스의 리스크가 높아지고 있습니다. 우주 관련 기업은 법령이나 가이드라인 등의 베스트 프랙티스에 근거해 보안 대책의 성숙도를 조기에 높여야 합니다. 그러기 위해서는 예산이나 인재라고 하는 상응하는 자원이 필요하며, 경영층이나 조달측의 이해와 지원을 얻는 것이 불가결합니다.

앞으로 주목해야 할 주요 리스크는 두 가지가 있습니다.

첫 번째는, 「생성 AI에 관한 리스크」입니다. 이미, 공격자는 생성 AI를 이용한 피싱 메일용 문장 작성, 취약성을 악용하기 위한 공격 코드 작성을 실시하고 있습니다. 나아가 'AI 구동형 악성코드'가 25년 7월 우크라이나에서 발견돼 생성 AI를 악용한 방법으로 주목을 받고 있습니다.

이 AI 구동형 맬웨어란 맬웨어 자체에는 악성 프로그램을 보유하지 말고 '감염된 시스템의 목록을 수집하라'는 자연어 프롬프트를 생성 AI에 송신하고 그 답변을 바탕으로 공격 코드를 실행하는 것입니다.

즉, 외부의 생성 AI에 프롬프트를 보내는 기능이 존재하는 "자율적 멀웨어"인 것입니다. 일반 보안 툴이나 생성 AI의 가드레일 기능으로는 감지하기 어렵고, 프로그램 자체도 경량으로 끝나기 때문에 처리 성능이 한정되는 위성 기기에 이용될 우려가 있습니다.

두 번째는 '암호의 2030년 문제'입니다. 양자컴퓨터가 실용화되면 효율적으로 소인수분해 등을 하는 알고리즘을 이용할 수 있게 되어 RSA 등의 공개키 암호방식을 깨는 능력을 가질 수 있다고 되어 있습니다. 그 시기는 30년경으로 알려져 있으며, 우주 시스템이나 각종 서비스에서 이용하고 있는 암호의 마이그레이션이 늦어질 경우 암호가 해독될 위험이 높아져 안전성이 위협받을 가능성이 있습니다.

■ 경영자가 가져야 할 시좌와 조달의 포인트

우주사업에 관련된 경영자는 사이버보안 대책을 '비용'이 아니라 로켓이나 위성과 동등한 '안전기능'을 실현하는 투자로 평가해야 합니다. 사이버 보안 투자를 단기적인 비용 대비 효과만으로 판단하지 말고 중장기적인 관점에서 예산과 인력에 자원을 충분히 할당해야 합니다. 투자의 우선순위를 판단하기 위해서는 법률이나 가이드라인과의 갭 분석을 실시하는 것을 권장합니다.

또한 발주자 측의 의식도 바꾸어 나갈 필요가 있습니다. 우주와 관련된 서비스를 조달하는 정부·지자체·기업은 RFP나 계약 시에 「민간 우주 시스템에서의 사이버 보안 대책 가이드라인 Ver 2.0」의 기본 대책 사항을 충족하는 사업자인지 여부를 확인합시다.

우주 시스템은 「안전 보장」과 「경제 활동」을 방해할 수 있기 때문에, 사이버 공격자에게 있어서 매력적이고, 지키는 측에 있어서는 난이도가 높은 대상입니다. 그렇기 때문에 각종 이해관계자들이 사이버 보안의 중요성을 인식하고 안전을 위한 투자라고 이해하며 서로 협력하면서 우주 시스템 전체의 성숙도를 높여야 합니다.

우에스기 켄지 / 칸다 켄세