ドローンのセキュリティ
いよいよ本格的なドローンの業務活用にむけて、サービス提供事業者やユーザー企業が動き出している。現在、多く実施されてきた実証実験から実用化の検討が各企業の中で行われてきている。
その際に、様々な項目-経済合理性、横展開に伴う人材育成、機体管理、安全性、リスク管理などが検討されており、そういった実証実験と実用化の大きな壁が存在している。この壁を超えてこそ、業務活用が大きく推進されていく。
また、今年度からの5G運用開始は、ドローンの業務活用の可能性を高めるものであると一方、セキュリティ対策を含むリスク管理はより重要な項目となっていくだろう。
ドローンのリスク事例
現在そこにあるリスク事例を見てみよう。毎年、DEF CON(ハッキング会議)が開催されているが、そこではドローンに限らず、自動走行車の社会実装にむけて、2010年ぐらいから本格的にハッキングコンテストなどを通じて検証されるとともに、ハッキング事例が紹介されている。
2017年のDEF CONでは、ARMベースの組み込みシステムによってBluetooth経由でワイヤレスキーボードからの信号を盗聴し、ユーザーIDやパスワードなどの情報を入手する技術を応用して、マイクロコンピュータをドローンのコントローラに接続して、フライトフライトコントローラーを乗っ取る事例が紹介された。
また、Wi-Fiなどの通信方式をハッキングすることで、操縦者になりすましてドローンを悪用する危険性もある(毎年開催されるDEF CON27は8月に今年もラスベガスで開催されるが、今年は中国で初めてDEF CON CHINA1.0がちょうどこの原稿執筆中に開催されている)。
また、ドローンで取得したデータを守る対策も重要だ。ドローンによる空撮やスキャニングデータは、機体内部の不揮発性メモリやMicroSDカードに保存される。その段階で、ドローン本体を何者かに盗まれてしまうと、暗号化されていないデータは容易に漏洩してしまう。
DJIはMavic2 Enterpriseで、写真、動画、飛行記録といったデータをMicroSDに保存するのではなく、24Gバイトの内蔵ストレージに保存し、ストレージを含むドローン全体をパスワードで保護できるため、そのパスワードを知っている人しか、ドローンを飛ばしたりデータにアクセスしたりできないという機能を搭載している。
ドローンのリスク管理
ドローンのリスク管理は以下の要素に区分される。
1)法令順守(コンプライアンス)
2)トラブルに対するフェールセーフ
3)管理者・操縦者/機体の認証
4)データ保護
5)悪意ある第三者による攻撃
6)運用
7)再発防止
1)法令順守(コンプライアンス)
関連する法令(航空法、道路交通法、民法などの関連法だけでなく、各業種業態に関連する法律)、また、直接の法令ではないが、飛行地域の住民説明などもここに含まれる。
2)トラブルに対するフェールセーフ
各種トラブル-無線障害、GPSエラー、バッテリーエラーなど、ドローンを運用する際には様々なトラブルが想定されるが、その際のフェールセーフの方法、優先順位などの策定となる。
3)管理者・操縦者/機体の認証
人と機体の認証で、正しい人が正しい機体に紐づけられて使用しているかということだ。例えば、現状ではプロポが盗まれた場合などには、その盗んだプロポでドローンが操縦できてしまう。例えば、スマートフォンなどで使われているような指紋認証のような仕組みをプロポに搭載するなどが必要になってくるだろう。
4)データ保護
先ほど記載したような取得したデータや機体のデータなどの保護となる。これはPCやスマートフォンで培われてきた技術やその管理の応用となる。
5)悪意ある第三者による乗っ取りや攻撃
これはドローンを初めとするヴィークル型ロボット(自動走行車なども含む)に新たに生じている脅威である。特にマルチコプターの場合は空を飛行するということもあり、何らかの墜落を生じさせることによる機体の損害だけでなく、対人・対物への損害を及ぼすリスクがある。
6)運用
リスクをミニマイズするための準備、確認事項、緊急時の対応など、リスク管理のためには運用も非常に重要な要素となる。
7)再発防止
トラブルが起こってしまった場合に、再発防止のためのステップがきちんと作られているかも重要だ。特に各種ログデータを初めとした何が起こったのかという検証は必須であるといえよう。
上記にあるようなドローンリスク管理体制を構築していくことが、ドローンのサービス提供する事業者やユーザー企業にとって重要になるが、一方で、完璧な対策を目指そうとするほど、コスト増となってしまい、ドローンを利用して解決したかった課題を行うのが困難になってしまうことも懸念される。
そのため、事業者は、リスクベースド・アプローチを取り、リスクアセスメントを実施し、根拠を持った指標による優先順位付けを行った管理策を実施することが望まれる。従来の手法にあったISO/IEC 27001:2013及びISO/IEC27002:2013をベースラインとし、資産のリストアップ、リスクの事前検証、リスク分析/評価を実施することなども効果があるだろう。
中国リスク
先月、米国土安全保障省が中国製ドローン(小型無人機)の使用について、情報漏洩のおそれがあるとして警告するメモ「米国のデータを権威主義的な国家に移すあらゆる製品を米政府は強く懸念している」と記載した。
機器を扱う個人や企業のデータを収集し、ネットワークを通じて移転できるとして「中国製ドローンの購入に慎重であるべきだ」)が出されたという報道がアメリカメディアの各社からなされた。日本でも日本経済新聞が取り上げ、TVのニュースでも取り上げられた。
この内容自体は、2017年に出された報道を焼き直す内容になっており、これが現在の米中貿易関連の流れに沿ったものなのか、公共(警察や消防など)の現場でより実用にむけて前進させるための米国サイドからのある種の圧力なのか、見極める必要がある。
現在米国において、消防や警察での実験導入は既にいくつかの州で始まっており、効果もみられていく中で、その大半がDJI製の機体が採用されており、また、DJI以外の適切なオルタナティブがなかなか見当たらない以上、公共利用を進めるために、DJIにもう一歩の開示(例えば、MSがWindowsのソースコードを国との契約で開示したような)を迫るものなのではないかと筆者自身は予想している。
この件に関しては、2017年のときにこのDRONE.jpで書いたコラムの時の見解と大きな差はない。ただし、今後、日本でも公共の現場や企業での業務利用が進んでいく中で、DJIのソリューションで出来ることや懸念すべき事項などの洗い出しを行う必要はあるだろう。
ドローンセキュリティガイドやコンサルティングサービス
ドローン特有の対策もあり、各事業者においては自社内だけでドローン業務活用に向けた計画の策定や体制を行うのも難しい場合もあるだろう。その際には、セキュアドローン協議会が策定している「ドローンセキュリティガイド」を参考に計画策定をしていくことも有効だろう。
また、2019年4月に、サイバートラスト株式会社とドローン・ジャパン株式会社は、産業用途での実用化が進むドローン(無人航空機)における、ドローン本体ならびに周辺デバイス、周辺ソリューションに関するセキュリティコンサルティングサービスの提供開始しており、そういったサービスを利用することも検討いただければ幸いだ。
