米航空宇宙局(NASA)の重要な制御システムのセキュリティについて、NASA監察総監室(OIG)が監査結果を公表している(リポート: PDF、 V3の記事)。

従来の運用技術(OT)は人の手による直接的な操作が中心となっていたが、近年ではデバイスの「スマート」化が進み、ITインフラを通じた操作の導入が進んでいる。NASAにおけるOTシステムはロケット推進テストシステムや宇宙船制御・通信システム、地上の支援設備など重要なインフラを数多く制御しており、物理的なセキュリティ対策に加え、サイバーセキュリティ対策の重要性が増している。

しかし、NASAではOTを適切に定義しておらず、設備の管理システムや保護計画なども作られていないという。ITとOTの区分も明確になっていないため、OTに特化したトレーニングなどは行われず、OTシステムに対してITシステム向けのセキュリティ対策をそのまま適用することによるトラブルも発生しているそうだ。

たとえば、大型電気炉の温度管理を行うOTシステム稼働中、セキュリティパッチが適用されたコンピューターが再起動し、温度調整ソフトウェアが動作しなくなったことで火災が発生。再起動でアラーム機能も動作しなかったため、職員が発見するまで3時間半を要し、内部に置かれていた宇宙船のハードウェアが破損したとのこと。脆弱性スキャンが開始されたことで地球軌道上の宇宙機との通信が失われ、次の軌道通過までデータが収集できないトラブルも発生したという。

監査の結果、OIGではOTシステムの範囲を明確にし、セキュリティ計画や組織全体で協調的にセキュリティ対策を行うためのフレームワークを策定すること、OTシステムに特化したトレーニングを実施することなどを勧告している。

Microsoftは10日、Windows 10およびSurfaceデバイスが米国家安全保障局(NSA)のCommercial Solutions for Classified Program(CSfC)に認定されたことを発表した(Windows For Your Businessの記事、 CSfC — Components List、 Softpediaの記事、 Neowinの記事)。

CSfCは米政府機関が機密情報を扱うのに適した安全な商用製品を認定するプログラム。Windows 10はVPNクライアントおよびSurfaceデバイスのOSとしてリストに掲載されている。Surfaceデバイスでは既にWindows 8.1を搭載したSurface Pro 3が認定済みで、今回Windows 10を搭載したSurface Book/Pro 3/Pro 4が追加されている。モバイルデバイスとしてはAppleのiPhone/iPadシリーズやSamsungのGalaxyシリーズ、LGのGシリーズなどがリストに掲載されているが、デスクトップOSを搭載しているのはSurfaceデバイスのみのようだ。