9月に内閣官房より「ドローンに関するセキュリティリスクへの対応について」という資料が提出された。
この発表をうけて、毎日新聞が「政府機関、中国製ドローン新規購入を排除 情報漏えい・乗っ取り防止を義務化」といった報道がされた。
この記事により、DJIのドローンが70%程度を占める現在の市場において、政府機関の新規購入の排除という見出しはインパクトも強く、ドローン界隈が揺れている。この政府発表に触れる前にドローンのセキュリティリスクというものを考えてみたい。
セキュリティリスクを考える前に必要なこと
現在、ドローンは航空法などによる規制もあるため、コンスーマー向け(個人の趣味や娯楽)といった用途よりも、企業や団体での活用がメインであるところはドローン関連者の多くが認識していることである。
ドローンはそのものが目的ではなく、企業や団体にとって、何らかの目的を実現するための手段であるということだ。それは別の言い方をすると、ドローンがその目的に対して価値創造を行っており、その価値に対して企業や団体はコストを払い、ドローンを活用しているともいえるだろう。
筆者はセキュアドローン協議会という社団法人の代表理事をしているが、セキュアドローン協議会は2015年に安全な活用のためにドローンのセキュリティを検討する目的で作られた団体である。しかし、2017年までは特にセキュリティといった活動を行っていなかった。それは、ドローンがどんな価値創造を行うことができるか見えていなかったからであり、その価値創造や社会実装の形が見えていない中でのセキュリティリスクの検証は意味をなさないからだ。
そのため、セキュアドローン協議会は、2017年まで海外の事例を参考にドローンを活用して、世界と比べても遅れている農業産業でのデジタル情報化といった観点で検証を行ってきた(現在、この分野は日本において、まだ道半ばであるが、会員会社であるドローン・ジャパン株式会社がその事業を引き続いて行っている)。
2017年ごろから、点検や測量といった分野で徐々に実証実験を越えて、社会実装がされてきたこともあり、まずはドローンのセキュリティの考え方というものを整理するために「ドローンセキュリティガイド」の作成を行い、2018年3月にその第1版を提供した。
このセキュリティリスクを考える前に民間企業においては、まず現在のドローンソリューションがどんな価値創造を行っているかということをきちんと捉えなおすことが必要であり、その価値創造がベースとなり、セキュリティ対策の優先順位も決まってくる。また、そのセキュリティ対策を行うことで、それまで築き上げてきた価値創造を著しく劣化させるようなことを起こさないという観点も重要になってくるだろう。
いわば、価値創造がほとんどないものに数百万円のセキュリティ対策などを行うことで、今まで積み上げてきた価値創造が著しく劣化してしまっては本末転倒になるだろう。
ドローンのセキュリティ対策にむけて
こういった観点も踏まえても、すでに社会実装されているものや実証実験が最終段階を迎えているドローンのソリューションにとって、ドローンシステムのセキュリティはほとんど対策がなされておらず、システムとしての脆弱性を多くはらんでいるのも事実だ。
現状までは、実証実験などを通じて、ドローンの利活用といったところに視点が置かれてきており、どちらかというとその中で起こる様々なアクシデントの対処で手一杯であったということがある。現在もまだまだドローンのシステム全体で考えると、ユーザビリティなども考えた場合には解消しなければならない課題も多いが、それでも実装が近づくにつれ、悪意ある第三者による攻撃などのセキュリティの脆弱性を対策していかないと企業は以下のような多くのリスクを抱えることになるだろう。
ドローンのセキュリティ対策
ドローンのセキュリティ対策を実施するに際し、その対策はまず以下の3つに分類される。
- 機体制御
- 機体管理
- 情報処理
■1.機体制御
ドローン本体のセキュリティとなる。主に、ドローンに搭載された機器(フライトコントローラー、センサーなど)のセキュリティ、通信のセキュリティ、機体制御のコードや高度な自律処理(衝突回避やSLAMなど)のアプリケーションなどが含まれる。この分野は基本的に各機体メーカーが担うものとなるだろう。ユーザーサイドからいえば、各機体メーカーにホワイトペーパーやセキュリティ監査を提供させるような動きとなるであろう。
■2.機体管理
ドローン外部のセキュリティとなる。主に、プロポの操縦者・機体間の認証などのセキュリティ、地上側のグランドコントロールステーションなどからのコマンド送信のセキュリティ、機体の状態や位置情報などのセキュリティ、目視外飛行におけるグランドコントロールなどのアプリケーションのセキュリティなどが含まれる。これも主に各機体メーカーでの対策が求められるが、カスタマイズや専用化といった中で、ドローンサービス事業者やエンドユーザーが行う必要も出てくるだろう。
■3.情報処理
ドローンで取得したデータのセキュリティとなる。これは、PCやスマートフォンなど今まで対策を行ってきた内容を応用できるケースが多い。簡単なところでいえば、SDカード内データの暗号化といったところが分かりやすい。そのほか、データの扱いにおけるプロセス(スマートフォンやタブレット、PCからクラウドまで)でのセキュリティなどになるだろう。
この分野は、ドローンサービス事業者やエンドユーザー自身がきちんと行う必要がある。セキュアドローン協議会では上記分類に準じる形での「ドローンセキュリティガイド」第2版の作成を今年度中に行っていく予定としている。
ドローンのセキュリティ対策のステップ
今後、ドローン機体メーカー、ドローンサービス事業者、ドローン活用ユーザーはどんな風にセキュリティ対策を行っていったらいいかを記したい。
■ドローン機体メーカー
(1)機体制御や機体管理におけるセキュリティ項目の洗い出し
この部分に関しては、今後、「無人航空機性能評価手順書」のセキュリティ対策を含んだものが出てくる可能性はあるが、そういうものがないと政府調達のセキュリティ基準が判明しないということもある。時間がかかることが想定されるため、DJIが出している「SYSTEM SECURITY」のホワイトペーパーがまずは参考になるだろう。そんな観点でいえば、現状いわゆるセキュリティ対策が一番進んでいるのはDJIのソリューションであるともいえる。
(2)優先順位をつけての対策の実施
(3)ホワイトペーパーなどの作成
■ドローンサービス事業者
(1)機体管理・情報処理におけるセキュリティ項目の洗い出し
(2)優先順位をつけての対策(ユーザーとの連携の中で優先順位を決めていく必要がある)
(3)ホワイトペーパーなどの作成
■ドローン活用ユーザー
(1)現状および想定されるドローンソリューションによる価値の算出
(2)機体制御・機体管理・情報処理におけるセキュリティ項目およびセキュリティリスクの洗い出し
(3)セキュリティ対策のロードマップ策定
(4)被るリスクが大きい可能性があるものから優先順位をつけての対策および対策依頼
(5)継続的なセキュリティ対策
上記に挙げた通り、セキュリティリスクの実害を受けやすいドローン活用ユーザーがきちんと対策を行わねばならないといった内容になっていることがわかる。セキュアドローン協議会では、こういった各企業へのドローンのセキュリティ対策を支援するための体制を構築している。興味ある企業は相談してほしい。
「ドローンに関するセキュリティリスクへの対応について」の政府発表
冒頭に挙げた「ドローンに関するセキュリティリスクへの対応について」の政府発表を行った理由はいくつかあると思われる。まずは、政府も推進してきたドローンの利活用もLevel4(人口集中地区での目視外飛行)の実現や各分野でのガイドライン(インフラ点検、プラント点検、警備、パブリックセーフティ、災害時など)が整備されてきたこともあり、本格的な社会実装が間近であるという点であろう。
この本格的な社会実装を迎えるにあたり、現状のドローンセキュリティの脆弱性が高いことは様々な混乱を引き起こす可能性があり、それにより進んできた利活用の推進がストップしてしまう懸念がある。その点からいえば、この対策は推進に対し前向きなもので、この壁をきちんと越えれば、ドローンの利活用が進んでいくということになる。
このセキュリティ対策にむけて、ベースとなる政府の組織は「内閣サイバーセキュリティセンター(NISC)」におけるサイバーセキュリティ戦略本部である。このサイバーセキュリティ戦略本部で「サイバーセキュリティ2020」といったペーパーが出され、日本全体のサイバーセキュリティ戦略が提示されている。
この機関の中でIoTや自動運転自動車システムなどのセキュリティも検討されているが、それらと同様にドローンソリューションも俎上に載せていかなければならないということで、ドローン(将来的には空だけでなく、陸上、水上、水中なども含んでいくだろう)には自律機体制御や機体管理といった移動体特有のセキュリティリスクもあり、今後どういう形で定義付けをし、対策を講じていくのかということになるだろう。
一方で、この政府機関では民生の利活用の中で悪用や混乱を引き起こす要因のあるセキュリティリスクの他、国家安全保障上でのサイバーセキュリティといったものもこの機関としての重要なテーマである。今回の「ドローンのセキュリティリスク」の政府発表に対して、冒頭で紹介した毎日新聞の「中国製ドローンを排除」という記事はそういった背景も含んでのことだろうと想像される。
ここで想定されるセキュリティリスクは、重要インフラなどでの故意の墜落、自衛隊、警察や消防といったパブリックセーフティでの飛行位置や状態の情報、重要インフラでのドローンで取得した点検の情報などが挙げられよう。
DJIのドローンは機体制御だけでなくソリューションとしても優れており、多くのドローン利活用のシーンにおいて、DJIのドローンが適切なケースも多い。また、先に示した通り、実際上のいわゆるセキュリティ対策に関して一番進んでいることも事実だ(これは米国市場でだいぶ苦心してきたこととも関連が深いだろう)。
だが、中国企業であるDJI自身のセキュリティへの懸念に関して、以下のDJIのサイトで示してはいるものの、インターネットから完全に切り離した形での運用が可能なように丁寧な対応や日本国内企業との連携が必要であろう。
今回の政府発表に関しては、まずは以下に限定されているということをドローン活用している企業は冷静に捉える必要がある。
(1)カメラやセンサーから収集される情報の窃取や飛行記録データ(時間・場所)の窃取により、活動内容が推測されうることで、公共の安全と秩序維持に関する業務の円滑な遂行に支障が生じるおそれがある業務
例)我が国の防衛、領土・領海保全、犯罪捜査、警備等(2)カメラやセンサーから収集される情報の窃取により、公共の安全と秩序維持等に支障が生じるおそれがある業務
例)国民保護法の「生活関連等施設」(※)の脆弱性に関する情報を収集する業務(点検等)(※)その安全を確保しなければ、国民生活に著しい支障を及ぼす、もしくは周辺の地域に著しい被害を生じさせるおそれがある施設、その他機密性の高い情報を取り扱う業務(詳細な3D地図の作成のための測量業務等)
(3)人命に直結する業務であって、無人航空機の適時適切な飛行が妨げられる(例:無人航空機が突然動かなくなる)ことで、その遂行に支障が生じるおそれがある業務
例)救難、救命等の緊急対応業務等
もう一つ、今回の政府発表の背景には日本国内のドローン産業(特にドローン機体メーカー)の育成支援というものも見え隠れしている。
国家安全保障上の自衛隊や警察・消防のパブリックセーフティの領域はともあれ、民間でのドローン活用においては、あくまで製品の開発技術力やサービス付加価値といった合理的な中で競争が行われることが重要であり、それがドローン産業全体にとっても有益であることを忘れてはならない。ここ何十年の間、日本の各産業で通ってきて失敗した道(ガラパゴス化など)を歩んではならないと感じている。
