NASA、制御システムのIT化に伴う対策不足を指摘される 17
ストーリー by headless
対策 部門より
対策 部門より
米航空宇宙局(NASA)の重要な制御システムのセキュリティについて、NASA監察総監室(OIG)が監査結果を公表している(リポート: PDF、
V3の記事)。
従来の運用技術(OT)は人の手による直接的な操作が中心となっていたが、近年ではデバイスの「スマート」化が進み、ITインフラを通じた操作の導入が進んでいる。NASAにおけるOTシステムはロケット推進テストシステムや宇宙船制御・通信システム、地上の支援設備など重要なインフラを数多く制御しており、物理的なセキュリティ対策に加え、サイバーセキュリティ対策の重要性が増している。
しかし、NASAではOTを適切に定義しておらず、設備の管理システムや保護計画なども作られていないという。ITとOTの区分も明確になっていないため、OTに特化したトレーニングなどは行われず、OTシステムに対してITシステム向けのセキュリティ対策をそのまま適用することによるトラブルも発生しているそうだ。
たとえば、大型電気炉の温度管理を行うOTシステム稼働中、セキュリティパッチが適用されたコンピューターが再起動し、温度調整ソフトウェアが動作しなくなったことで火災が発生。再起動でアラーム機能も動作しなかったため、職員が発見するまで3時間半を要し、内部に置かれていた宇宙船のハードウェアが破損したとのこと。脆弱性スキャンが開始されたことで地球軌道上の宇宙機との通信が失われ、次の軌道通過までデータが収集できないトラブルも発生したという。
監査の結果、OIGではOTシステムの範囲を明確にし、セキュリティ計画や組織全体で協調的にセキュリティ対策を行うためのフレームワークを策定すること、OTシステムに特化したトレーニングを実施することなどを勧告している。
従来の運用技術(OT)は人の手による直接的な操作が中心となっていたが、近年ではデバイスの「スマート」化が進み、ITインフラを通じた操作の導入が進んでいる。NASAにおけるOTシステムはロケット推進テストシステムや宇宙船制御・通信システム、地上の支援設備など重要なインフラを数多く制御しており、物理的なセキュリティ対策に加え、サイバーセキュリティ対策の重要性が増している。
しかし、NASAではOTを適切に定義しておらず、設備の管理システムや保護計画なども作られていないという。ITとOTの区分も明確になっていないため、OTに特化したトレーニングなどは行われず、OTシステムに対してITシステム向けのセキュリティ対策をそのまま適用することによるトラブルも発生しているそうだ。
たとえば、大型電気炉の温度管理を行うOTシステム稼働中、セキュリティパッチが適用されたコンピューターが再起動し、温度調整ソフトウェアが動作しなくなったことで火災が発生。再起動でアラーム機能も動作しなかったため、職員が発見するまで3時間半を要し、内部に置かれていた宇宙船のハードウェアが破損したとのこと。脆弱性スキャンが開始されたことで地球軌道上の宇宙機との通信が失われ、次の軌道通過までデータが収集できないトラブルも発生したという。
監査の結果、OIGではOTシステムの範囲を明確にし、セキュリティ計画や組織全体で協調的にセキュリティ対策を行うためのフレームワークを策定すること、OTシステムに特化したトレーニングを実施することなどを勧告している。
ひでぇ (スコア:1)
ミッションクリティカルなシステムで、
ミッションに関係ない保守プロセスが意図せず入って失敗って、
間抜けすぎるにもほどがある
しかし、windows10になってからそれ(update,etc)が強制されるようなポリシーに・・・・
間抜けトラップはより高性能に!
さて、悲劇は続くか拡大するのか
Re: (スコア:0)
「間抜け」が他のOS使ったらもっと悲惨な結末とかだから
いやそれ以前に扱うことができないか?
トレーニングがなっていないってのは元の記事にも書いてあるでしょ
さすがにNASAは使う人間の落ち度を「道具の罠」だと思考停止するようなアホじゃない
あほくさ (スコア:0)
OSレスで問題ないものにわざわざOSを使うからトラブルが起きる
OS使うメリットとコストの大小を考えてない
ま、Linuxが動かないと何も出来ないプログラマが組込開発やる時代だからしょうがないね
#時代はOSレスのPICマイコンだ!?
Re: (スコア:0)
ほんとアホくさ。
>OSレスで問題ないもの
じゃないでしょ。ってか、さすがにNASAも、OSレスでいちいち個別に制御プログラム組み込んでられる悠長な時代なんてとっくに終わってるでしょ。いつの話をしてるんだか。
# PICマイコンもアポロを月まで往復させた制御コンピュータよりはるかに高性能だけどね
Re: (スコア:0)
トレーニングだけの問題じゃないというのは正しいが、一番の問題はSPOFがあることでしょう。
ゆとりプログラマー (スコア:0)
プログラム教育の拡大でなんでも無料と考える質の悪いプログラマーが増えたことに関して実際に事故が起きても責任は誰もとらない
Re:ゆとりプログラマー (スコア:1)
無料でもいいんですよ
自分のローカル内で失敗を経験せずに
公開サーバーや他社のシステムに携わるのがあかん
ぶっちゃけ現代の情報社会なら
初期投資に数千円のハードで後は無料で学べるんだし
ググレカス大先生を正しく師匠と出来ればだけれども
一番あかんのは目的持たないボトムアップ学習なんじゃないかな
目的からのトップダウンできっちり組み上げを繰り返して
その隙間を補強する学び方でないと
どうしてこうなった!?ってものしか作れない人材になっちゃう
Re: (スコア:0)
失敗を経験させることが大切というより失敗しやすいポイントと対策を教えたうえで練習用環境で確認させるのがいい。
転職・就職を目指す場合も最初はどっかの教室に行くか知り合いに教えてもらうか本を買うかオンライン講座を受講するあたりを選ばないと隙間を補強できない。そもそもグーグル検索で勉強すると隙間があることに気付けない。
Re:ゆとりプログラマー (スコア:1)
プログラム(と言うよりソフトウェア)無料という日本文化が
正しくNASAに浸透した結果です。(NASAの「N」は「NIPPON」の意味もあるとか)
あとは上司が怒鳴りさえすればNASAの問題は全て解決します。
Re: (スコア:0)
アメリカにも最初からあっただろ
ビル・ゲイツが「お前らは泥棒だ」って指摘するまでは
Re: (スコア:0)
プログラマてより計装屋がゆとりすぎ
技術継承途切れちゃってんだろうなて感じ
IT+OT=IoT! (スコア:0)
つまり神は遍在する
Re:IT+OT=IoT! (スコア:3, 興味深い)
神は知りませんが、IoTが流行るとコレと同じ問題が至るところで起こる訳で。
IoTは情報セキュリティの無法地帯になりかねませんが、実際の物理的デバイスに繋がっていると言う危険性もあるのですよ。
つまり危機は遍在する。
--- de FTNS.
Re:IT+OT=IoT! (スコア:1)
IoTが流行るとToTも流行るってことですね
Re: (スコア:0)
今さら無法地帯も何も、IoT向けに組み込まれる安価な中国製部品には、バックドアがいくつも仕込まれてるんだから。
たとえば、
https://motherboard.vice.com/en_us/article/this-teen-hacked-150000-pri... [vice.com]
の記事の真ん中あたり。
Re: (スコア:0)
それしってる!
やおよろずのかみ、っていうんだよね!
すごーい!
Re: (スコア:0)
遍在する神といえばヨグソトホート