ドローンに関する総合展示会である「Japan Drone 2024 / 次世代エアモビリティ EXPO 2024」が千葉県・幕張メッセで開催されました。GMOインターネットグループはプラチナスポンサーとして協賛し、空のセキュリティをテーマにブース出展を行いました。
さらに国際コンファレンスとして「ハッカー目線で徹底解説！ ドローンセキュリティ最新版」と題したセッションも開催しました。GMOインターネットグループからはGMOサイバーセキュリティbyイエラエから2人の専門家が参加。経済産業省の担当者がモデレーターとなって、ドローンに対するサイバー攻撃の最新情報を解説しました。
今回はこちらの国際コンファレンスで行ったセッションのレポートをお届けします。

出展概要

• 日　時：2024年6月5日（水）～7日（金）10:00～17:00
• 会　場：幕張メッセ（展示ホール5・6）千葉県千葉市美浜区中瀬2-1
• 主　催：一般社団法人日本UAS産業振興協議会（JUIDA）
• 共　催：株式会社コングレ

登壇者

• 山本健一氏　経済産業省製造産業局航空機武器宇宙産業課次世代空モビリティ政策室次世代空モビリティ戦略企画調整官
• 小池悠生　GMOサイバーセキュリティbyイエラエ株式会社　サイバーセキュリティ事業本部執行役員
• 三村聡志　GMOサイバーセキュリティbyイエラエ株式会社　高度解析部高度解析課

災害現場など様々な分野で活躍するドローンの規制の現状

ドローンは現在、空撮や測量、インフラ点検、物流、農業など、様々な分野で利用が拡大しています。ドローン技術の発展に伴って様々なリスクも高まっています。その1つがサイバー攻撃のリスクです。

まず冒頭、経済産業省の山本健一氏が、ドローンの活用事例として能登半島地震での活用状況を紹介。今回の地震では道路が寸断されて孤立した地域が発生して、歩いて行くにも5～6時間かかるような事例が起きていたといいます。

それに対してドローンで物資輸送したところ「わずか16分で届けられた」と山本氏は紹介。そのほかにも、壊れた家に人が入れない場合にドローンで確認する、災害住宅の建設に適した場所をドローンで上空から探す、といった活躍をしていたそうです。

こうしたドローンは、現在日本で38万機が登録されていると山本氏。現行の法規制では100g以上のドローンは登録が義務付けられており、100g未満のトイドローンなどを含めると数十万機のドローンが実際に使われていると山本氏は話します。

現行の政府の規制では、有人地帯での補助者なし目視外飛行を可能とするレベル4と立入り禁止措置（補助者、看板、道路横断時の知一停止）をおこなった目視外飛行が可能なレベル3があり、「立入り禁止措置」のハードルが高いため、「レベル3.5」という新たな制度も設けられました。

これによって、「道路を横切るときに見張りが必要だった」という状況から、ドローンのカメラで確認することで人の手間を省ける、ということになりました。こうしてドローンの利用拡大を図っているのが政府の方針だと山本氏は言います。

ただ、こうしてドローンの利用が増えると運行管理も重要になります。どのようにコントロールするか、規制、技術の両面から政府でも取り組んでいるそうです。

ドローンの運航管理技術だけでなく、性能評価、機体の安全性評価など、「政府では毎年30億円ほどの予算を使って開発している」と山本氏は説明しました。

ドローンに対するサイバー攻撃の脅威

現在、世の中のすべてのものがインターネットに接続する、いわゆるIoT（モノのインターネット）が広がっており、家電製品だけでなくドローンもIoTの1つに数えられます。そうしたインターネットに接続することで便利になる反面、危険性も高まっています。

そこで経済産業省でもIoT製品に対するセキュリティ適合性評価制度構築に向けた検討会を立ち上げるなど、セキュリティの確保に向けた取り組みを始めています。これはドローンに関しても同様で、政府はドローンの評価におけるセキュリティ適合性評価を検討していく考えです。

そうした規制の現状に対して、実際の攻撃の現状はどうなっているのでしょうか。GMOサイバーセキュリティbyイエラエの三村聡志は、ドローンに対するサイバー攻撃の脅威について次のように説明します。

「ドローンというのは、適切に対策をしないとサイバー攻撃の脅威に晒されてしまう危険性があります。例えば、第三者からの意図しない操作をドローンが受け付けてしまって、救援物資を意図しないところに運んでしまう、もしくは落とされてしまうというものです」。

これに加えて、ドローンが撮影した映像のデータを攻撃者に盗み取られてしまう、またそれを改ざんされてしまうといった、ドローンを介した攻撃というものも考えられます。

実際の攻撃手順についても三村は説明します。まずはドローン自体を把握するために分解をします。これによってWi-Fiとコントローラー間の通信など、一通りの機能を調べるのだといいます。ドローンの制御プログラムが書き込まれたチップを取り出して、プログラムを抜き出すといったことも行えます。

これによって、実際の攻撃ではどこをどのように狙えばいいのかといった部分がだんだんと見えてくると三村は指摘します。加えて、通信経路も調査します。ここで無線LAN経由での攻撃を調査した結果、攻撃の穴が見つかってドローンの映像を盗み見ることができたそうです。

過去の事例では、ドローンと接続したスマートフォンの画面を差し替えて制御を乗っ取り、PCで映像を盗むといった攻撃が成功したそうです。

こうした攻撃に対して、三村は「ドローンを守るには、まず前提として何を守らなければならないか」として2つのポイントを上げます。1つがデータ漏えい、もう1つが不正操作です。

気をつけるべきはドローンそのもの、通信経路、クラウドサーバーだと三村は指摘します。クラウドサーバーにはフライトプランなどの情報が格納されていて、録画データも伝送されている場合も多いため、クラウドの保護も重要になってくるわけです。もちろんカメラの映像を盗み見られる可能性もあり、「この3点セットの対策が重要」と三村。

基本的な対策としては初期設定パスワードを使わずに変更する、ソフトウェアアップデートを行う、通信はTLSなどにより暗号化する、不要な通信機能が存在していないか、秘密鍵や個人情報は適切に保護されているか、といった基本的な対策を適切に行うだけでも安全になると三村は説明します。

こうした対策に対して国の取り組みとしては、サイバーセキュリティガイドラインでドローンの用途ごとに、例えば点検用ドローンであればどの程度守るべきか、災害・警備のような人命に関わるドローンだとどうかなど、用途に応じてリスク分析をしてセキュリティの具体的な対策を示しています。

こうした政府のガイドラインも参考にしているとGMOサイバーセキュリティbyイエラエの小池は説明します。ドローンの開発支援をする場合も、まずはこのガイドラインを把握する必要性を紹介したり、診断の際にガイドラインに沿った説明をしたり、実際の現場で活用しているそうです。

「ドローンは、攻撃が実際の物理空間にも影響を出してしまうという側面を持ったデバイス」と三村は話します。従来のサイバー攻撃はPC内のデータが盗まれたり壊れたりといった被害は出ますが、ドローンの場合は墜落を含めて物理的な影響も出かねません。

悪用によって人命の被害が出る可能性もあるため、安全なドローンを作り上げるために、官民一丸となって取り組んでいく必要があると三村は訴えます。

小池も「ドローンは飛行高度が変わってしまうだけで何か事件が起きてしまう可能性も考えられる」と、ドローンのセキュリティ対策の重要性を指摘。ドローンの制御が奪われることで重大事件に繋がりかねないという認識は共有すべきだと強調しています。

三村は、ドローンは重要なインフラとしてセキュリティ対策は重要ですが、現時点で基本的な対策がしっかりできているドローンが増えれば、安全なプラットフォームとしてドローンがビジネスとして活用できるようになる、と説明。セキュリティ対策以上の効果が得られるとアピールします。

山本氏も、スマートフォンを購入して使うときに個人情報の漏えいに気をつけるように、ドローンを買ったら同様にセキュリティ対策に注意をする。一人一人が危機感を持って考える必要があると指摘します。

ドローンのセキュリティに取り組むことは、今後のドローンビジネスの拡大にも重要で、メーカーや政府、ユーザーそれぞれが取り組んでいくことが必要になりそうです。

こんにちは！GMOインターネットグループ広報部の石井 純です。

今回は“技術広報”に着任したばかりの私が幕張メッセで開催された展示会「Japan Drone 2024 / 次世代エアモビリティ EXPO 2024」をリポートさせて頂きます。取材するまではドローンも空飛ぶクルマも社会が便利になって楽しそう！と思っていた私でしたが…。
気を付けるべき“見えないポイント”もあるようですー

出展概要

• 日　時：2024年6月5日（水）～7日（金）10:00～17:00
• 会　場：幕張メッセ（展示ホール5・6）千葉県千葉市美浜区中瀬2-1
• 主　催：一般社団法人日本UAS産業振興協議会（JUIDA）
• 共　催：株式会社コングレ

開催まで1年を切った大阪万博、「空」への注目が高い

いよいよ2025年4月に大阪・夢洲を舞台に大阪万博が開幕します。万博会場には「モビリティエクスペリエンス」が整備されるそうで、実際に空飛ぶクルマの運行が予定されています。

「空の移動革命」と題されたこれらの取り組みは「Japan Drone 2024」でも日本国際博覧会協会や大阪府が紹介されていました。万博をマイルストーンに「空」への注目度が増していますが、当社でも昨年3月に「空飛ぶクルマ」の実証飛行を大阪府で行うなど「空の移動革命」への取り組みを進めているのです。

大盛況の「VR体験」、空飛ぶクルマが渋谷を飛ぶ

GMOはインターネットグループなのになぜドローン？と思われるかもしれませんが、当社の出展テーマはセキュリティ。ドローンや空飛ぶクルマの普及に向け、グループの強みである暗号セキュリティとサイバーセキュリティの観点から「空の安全」の確立に向けて取り組んでいるのです。

今回、当社が出展したブースでは空飛ぶクルマが社会実装された世界をVR映像で体験出来るエリアの他、暗号セキュリティとサイバーセキュリティの技術を紹介する展示エリアとプレゼンテーションエリアをご用意。3日間の会期を通じ、当社ブースには約4,000名の方にご来場頂きました。

中でも活気溢れるエリアは約1,000名の方にご体験頂いた空飛ぶクルマのVR体験。GMOインターネットグループの本社がある東京・渋谷から、GMOインターネットTOWERがある用賀まで、小室哲哉氏の楽曲「Internet for Everyone」をBGMに快適な「GMOエアタクシー」を体感します。最新のVRヘッドセットに身を包むとなんとそこは渋谷上空。飛行機とはまた違う景色に私も思わず感情が高ぶりました。

未来の技術は生活を支える身近なインフラへ

「Japan Drone 2024」では研究や実証試験を実施中である多くのドローンが展示されていました。建設業での利用が期待される構造物微破壊検査ドローンや水中ドローンによる橋梁点検。貨物運搬が期待される物資輸送用ドローンや林業資材運搬用ドローンなど…。社会課題や危険性を回避する重要なインフラとしてもドローンの利活用が進められていることが印象的でした。

また、山梨県の展示ブースでは甲府エリアと富士山麓エリアを空飛ぶクルマで結ぶ構想のPRを行っていました。空飛ぶクルマならトンネル知らず、渋滞知らずで目的地まで一直線！快適な社会を実現するために企業だけでなく自治体も一丸となってドローン利用を進めているのです。

「空」のインフラを整える～日本政府の取り組み

「Japan Drone 2024」会期初日には国際コンファレンスも開催。経済産業省 製造産業局 航空機武器宇宙産業課 次世代空モビリティ政策室 次世代空モビリティ戦略企画調整官 山本 健一 様を招き、「ハッカー目線で徹底解説!ドローンセキュリティ最新版」と題したパネルディスカッションが行われました。令和6年能登半島地震におけるドローンによる捜索・救助や物資輸送の事例紹介を頂いた他、ドローンの制度整備状況や技術開発を推進する方針が示されていました。日本政府が認可したドローン機体は40万機に迫り、「空」のインフラとしてさらなるドローンの利活用が進むそうです。

山本様のお話を伺いながら、ドローンは“便利なガジェット”から“人の命をも救う重要なツール”へと進化する転換点を迎えていると強く感じました。災害対応だけでなく、産業や観光分野での積極的な活用が期待されるよう、制度設計がより加速することも良いことだと思います。

一方でドローンが張り巡らされることによるリスクや悪影響はないのでしょうか？

身近な暮らしにハッキング？

では、身近な話題からドローンのリスクを考えてみましょう。IoT機器という言葉は耳にしたことがありますよね。Wi-FiやBluetoothに接続して制御する家電や電子機器のことで、かゆいところに手が届くような便利さが特徴的です。しかし、「インターネットに繋がる以上、ハッキングされるリスクは誰しもある」と警鐘するのはGMOサイバーセキュリティ byイエラエ株式会社　サイバーセキュリティ事業本部 執行役員の小池 悠生さんです。当社ブースステージ「ホワイトハッカーが解説！IoT セキュリティ編」で登壇した小池さんは次の指摘をしていました。「家電本体、操作するスマホアプリ、データを保管するクラウド。それぞれが脆弱性のリスクを抱え、どこからでも攻撃されてしまいます。スマートロックの不正開錠や医療機器への攻撃では人命にも関わることもー」。

そこでGMOサイバーセキュリティ byイエラエ株式会社ではIoT、「IoT診断 及び IoTペネトレーションテスト」を提供しています。ネットワーク接続型の様々なIoT機器に対し、攻撃者目線での調査や疑似攻撃を行うことでIoTデバイスの潜在的な脆弱性を発見し、対応策のアドバイスを提供するサービスです。「3度の飯より脆弱性やバグを発見することが好きなパートナー(社員)が集まっています。累計7,500件以上の実績とセキュリティコンテスト世界No.1を達成した技術力で多くの人を助けたい。」そう語る姿がとても印象的でした。

ドローンこそ万全なセキュリティを！

さて、IoT機器と同じくドローンもインターネットに繋がる以上、ハッキングのリスクがあるのです。特に「データ漏洩」と「不正操作」のリスクがあると指摘するのは、当社ブースステージ「ホワイトハッカーが解説！ドローンセキュリティ編」で登壇したGMOサイバーセキュリティ byイエラエ株式会社　高度解析部 高度解析課の三村 聡志さんです。三村さんは昨年のJapan Drone GMOブースでドローンに対するハッキングデモを実施。いとも簡単にカメラ映像の盗み見や映像の差し替え、制御の乗っ取りが出来ることを証明したのです。「ドローンは上空を飛ぶ以上、社会に物理的影響を与えます。セキュリティ対策は後手に周りがちだが、制御を奪い、墜落による危険を与えないようにする責任が伴うのです。」

ドローンを脅威から守るには？

三村さんはドローンにおける守るべき対象は①ドローン本体、②通信経路、③クラウド/サーバーであると指摘し、リスクを低減する確認箇所として下記5つを挙げられました。

• 推測されやすいパスワードを使用しない
• 安全なソフトウェアを使う
• 通信はTLSなどにより安全に暗号化する
• ドローンやクラウドにおいて仕様外の通信や不要な機能がないかを確認
• 秘密鍵や保存される個人情報は暗号化などにより適切に保護する

家には必ず戸締りをするが、ドローンに鍵をかけていないケースが多く見受けられるといいます。

そこで活躍するのがGMOサイバーセキュリティ byイエラエ株式会社が提供しているドローンに対するセキュリティ評価「ドローン/eVTOL 診断」です。守るべき対象となるドローン通信、クラウドの脆弱性を専門家が一括チェックするとっても頼もしいサービスなのです。

すべての「空」にセキュリティを～GMOの強みを活かして

脆弱性診断に加え、当社“ならでは”のアプローチとして暗号セキュリティ・認証技術の活用も挙げられます。

「悪意のある第三者による通信の傍受や、正規のドローンになりすました不正アクセスに対するセキュリティが必要」と指摘するのは当社ブースステージ「ドローンセキュリティ実装のポイント」に登壇したGMOグローバルサイン・ホールディングス 株式会社 CTO室室長 浅野 昌和さんです。ドローンとサーバー間で発生する通信を暗号化し、送受信するデータを保護。またドローン機体の認証も行い、なりすましによるサーバーへの不正アクセスも防止しています。SSLサーバ証明書国内シェアNo.1を誇るGMOグローバルサインの強みを活かした「空」への取り組みなのです！ドローンの利活用が一気に進む一方で、ついつい忘れてしまいがちな“見えない”セキュリティ対策…。ドローンに対するサイバー攻撃によって、思わぬところで危険が生じないように。ひとりひとりのリテラシーとセキュリティに対する危機意識を持つことが重要というわけです。

さいごに

ドローンや空飛ぶクルマに対する通信セキュリティ技術とホワイトハッカーによる脆弱性診断でドローンをサイバー攻撃から守ってくれる…そんな素敵な未来も当社ブースで体験することが出来ました。それが冒頭でご紹介した空を飛ぶクルマのVR体験だったのです。渋谷から用賀に向けて飛行中、実はいくつものサイバー攻撃に機体がさらされていました。ただし、当社の誇る技術とサービスで安全に飛行出来たというストーリーになっていました。

私たちは最良の環境を維持するためのアップデートを惜しみません。特に「目に見えるモノ」に気を遣う一方で、「見えないモノ」に対しては漠然とした安心感や、「自分には関係ない」という楽観的な考えを抱きがちです。しかし、見えない部分にこそリスクが潜んでおり、そのリスクが原因で、社会や技術の成長が遅れることは避けるべきです。ドローンも然り、サービスや製品を利用する以上、誰しもがあらゆる側面に注意を払うことが求められています。「空」と「セキュリティ」という一見関連性のないキーワードを解き明かすことで、私自身も重要性を理解出来ました。

今回のイベントはGMOが提供する安心で安全な「未来の空」を多くのお客様に体験していただいた3日間だったと思います。出展を通じ、「空のセキュリティ」の重要性を知るきっかけとなれば幸いです。

GMOインターネットグループは、2024年6月5日（水）から7日（金）の3日間、幕張メッセで開催される国内最大級のドローン・eVTOL国際展示会「Japan Drone/次世代エアモビリティEXPO 2024」に、今年もトップスポンサーである「Platinum Sponsor」として出展します。
国際コンファレンス（パネルディスカッション）でのセキュリティに関する解説コンテンツのほか、ブースでは、VRでの空飛ぶクルマの飛行体験を通じて「空のセキュリティ」の重要性をご体感いただく企画や、専門家によるパネルディスカッション等を予定しています。

Japan Drone/次世代エアモビリティ EXPO 2024について

「Japan Drone」は2016年の初開催以来、今回で第9回目を迎えるドローンに特化した国内最大規模の専門展示会です。様々な課題解決に向けた具体的なビジネスマッチングの場を提供し、社会基盤整備を促すと共に豊かなくらしの実現に向けたスマートシティの推進に積極的に取り組んでいます。
　同時開催展である「次世代エアモビリティEXPO」は新たな空の移動革命として期待される「空飛ぶクルマ」の社会実装に向けた取り組みの実現を支援し、新しい産業の創造に貢献することを目指しています。
　ドローン・次世代エアモビリティの最新テクノロジー、マーケット動向などを国内外のキーパーソンが紹介する国際コンファレンスでは専門展だからこそ聴講できるプログラムとなっていて、近未来へのヒントを発信しています。

出展概要

• 日　時：2024年6月5日（水）～7日（金）10:00～17:00
• 会　場：幕張メッセ（展示ホール5・6）千葉県千葉市美浜区中瀬2-1
• 主　催：一般社団法人日本UAS産業振興協議会（JUIDA）
• 共　催：株式会社コングレ
• 参加方法：https://japandrone.eventos.tokyo/web/portal/807/event/8775
  　　　　　※事前登録者は入場無料
• 公式HP：https://ssl.japan-drone.com/index.html
• 詳　細：https://www.gmo.jp/news/article/8950/

ブース展示の見どころ

来たる「空飛ぶクルマの世界」をVRで体感！

ブース内にVR体験を設置！空飛ぶクルマに乗り込み、GMOインターネットグループの本社がある東京・渋谷から、GMOインターネットTOWERがある用賀へ飛行します。VR映像では、東京の街並みを空からご覧いただき、空飛ぶクルマが実装された世界観を体感いただくのと同時に、その前提となる空の安全の確立に向けたセキュリティの重要性をお伝えいたします。

国内随一のホワイトハッカーがIoT機器やドローンに関するセキュリティを徹底解説！

国内外のハッキングコンテスト（CTF）で優勝・入賞実績を持つ社員を多数抱えるGMOサイバーセキュリティ byイエラエに所属するホワイトハッカーが、IoT機器やドローンに関するセキュリティを徹底解説いたします。

ホワイトハッカーが解説！ドローンセキュリティ編

登壇者

ホワイトハッカーが解説！IoTセキュリティ編

• GMOサイバーセキュリティ byイエラエ株式会社 サイバーセキュリティ事業本部 執行役員
  小池 悠生

ゲストを招いたトークセッション

ドローンセキュリティ実装のポイント

• wolfSSL Japan合同会社　技術統括
  古城 隆 氏

• GMOグローバルサイン株式会社 CTO室 室長
  浅野 昌和

ドローンの実運用における課題とDOP SUITEのねらい

• ドローン・ジャパン株式会社 取締役会長
  春原 久徳 氏

• GMOグローバルサイン株式会社 CTO室 室長
  浅野 昌和

国際コンファレンス

出展者セッション　｢ハッカー目線で徹底解説！ドローンセキュリティ最新版｣

詳細

2024年6月5日（水）13：30～14：15 コンファレンスルーム1（45分）　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

登壇者

• 山本 健一 氏
  経済産業省 製造産業局 航空機武器宇宙産業課 次世代空モビリティ政策室 次世代空モビリティ戦略企画調整官

• 小池 悠生
  GMOサイバーセキュリティ byイエラエ株式会社 サイバーセキュリティ事業本部 執行役員

• 三村 聡志
  GMOサイバーセキュリティ byイエラエ株式会社 高度解析部 高度解析課

ステージの詳細スケジュール

会期3日間、充実したコンテンツとなっております。詳細はこちらをご覧ください。

さいごに

GMOインターネットグループは、出展を通じて、グループの強みである暗号セキュリティとサイバーセキュリティの観点から「空の安全」の確立に注力し、ドローンや空飛ぶクルマの普及を支援しております。展示会では、様々な体験を通じドローンや空飛ぶクルマをより身近に感じていただくことができます。是非会場まで足をお運びください。

GMOインターネットグループは、2023年6月26日（月）～28日（水）に幕張メッセで開催された、日本国内最大のドローン・eVTOL（空飛ぶクルマ）展示会「Japan Drone 2023」にプラチナスポンサーとして協賛しました。

国際コンファレンスでは「ドローン・空飛ぶクルマ、国内外の制度整備・技術開発から考える空の安全」と題したパネルディスカッションを開催しました。国内外の制度整備の状況、必要な制度や技術など、幅広い観点でディスカッションが行われました。その模様をお届けします。

登壇者

• 経済産業省​　製造産業局　航空機武器宇宙産業課　次世代空モビリティ政策室　企画調整官
  山本 健一　氏
• 国土交通省​　航空局　無人航空機安全課
  保坂 達也　氏
• 株式会社SClabAir​　代表取締役
  各務 博之　氏
• GMOグローバルサイン株式会社　CTO室　室長
  浅野 昌和
• GMOサイバーセキュリティ by イエラエ株式会社　代表取締役
  牧田​ 誠

ドローンと空飛ぶクルマを巡る制度整備の現状

まずは最初に、ドローン・空飛ぶクルマの制度整備の状況について、国土交通省の保坂氏が説明をします。

ドローンに関しては小型無人機に係る環境整備に向けた官民協議会の下にワーキンググループなどを設置して検討が進められています。そこで「空の産業革命に向けたロードマップ2022」と呼ばれる工程表がまとめられ、制度整備としては「有人地帯での補助者なしの目視外飛行、いわゆるレベル4と呼ばれる飛行の実現に向けての制度整備を行ってきました」と言います。

具体的には、機体認証、操縦ライセンス、機体の登録といった制度を整えられてきました。2022年12月5日には、レベル4飛行が可能となる改正航空法も施行されています。

さらに2023年および2024年度以降の制度整備としては、ドローンの運航管理システム（UTM）の検討が重要になってくると保坂氏は指摘。段階的な制度整備で導入していくために検討を進めているそうです。

現状は空域の混雑度が低い、密度が薄い状態なのでUTMの利用は「推奨」という段階ですが、ステップ2、ステップ3と混雑度が増していく中でUTMの重要性は増していきます。そこで国土交通省が認定したUTMを利用することで、高密度の運航にも耐えられるようになる、と保坂氏は話します。

そもそもレベル4の飛行はリスクが高く、そのためには安全に機体を飛ばして十分な技量を持った人の操縦が必要です。それに加え、重要なのが機体認証制度です。保坂氏は、機体の安全性について、「航空の世界では3つの観点がある」と説明します。

（1）設計段階の安全性
（2）製造過程の安全性
（3）現状の確認

設計レベルで安全でも飛行させる時点で安全でなければならず、逆に、現状（飛行時点）で、しっかりとしたものが出来上がっていても、設計段階できちんと安全性が確保されていなければならない、という考え方です。

こうした制度整備を踏まえて、今年3月24日にはレベル4の初飛行が行われています。ACSLの第一種認証を受けた機体を使用して、一等の操縦ライセンスを保有する操縦士が操縦し、日本郵便の荷物を配送しました。飛行時間は約9分、距離にして約4.5kmでした。

現状の課題認識として保坂氏は、「運航規模の拡大が重要になってくる」と指摘。それを実現するUTMも、海外でもどういったシステム、仕組みを構築していけばいいのかも決まっていないそうです。

欧州とアメリカと行った国や地域でも違いがあるため、日本でどのようなUTMを作るか、民間の意向も取り入れつつ検討していく必要があると保坂氏は話します。

もう一つのテーマである「空飛ぶクルマ」に関しては、2025年の大阪・関西万博に向けて注目が高まっており、国土交通省でもロードマップを作成して検討を進めていると言います。

ドローンと同様に、ロードマップを作成して、道筋を示しながら進められており、大阪万博で飛行を実現させた上で、以降は運航を拡大していきたい考えだとしています。

空の移動革命に向けた官民協議会が制度整備や技術開発に関して取りまとめたロードマップがあり、「特に機体の安全基準、技能証明（ライセンス）、運航、事業制度、離着陸場などについて、個別の専門的な検討を進めています」とのこと。

制度整備については、2022年度までに制度整備の方向性が示されています。2023年度はそれを踏まえた具体的な制度改正を行っていく計画で、「順調に進めば、2024年度には事業者の準備が行える」と言います。ターゲットは2025年の大阪万博で、そこで運航が開始できるよう進めていきたい考えです。

技術開発やセキュリティ対策の進捗

技術面に関する現状はどういった状況でしょうか。こうした問いに回答したのは経済産業省の山本氏。経済産業省はロボットやドローンなどの技術開発に関して民間との取り組みを継続しています。

2016年から始まった「ロボット・ドローンが活躍する省エネルギー社会の実現プロジェクト（DRESS）では、4つのテーマで技術開発の推進が行われてきました。

ここでは例えば機体の性能を統一的に評価できる手法やセキュリティ対策の開発を行っており、特にセキュリティ対策は「見えない部分ですが、ドローンを支える安全安心にはセキュリティも大事なので、ガイドラインも定めました」と山本氏。

運航管理は、ドローンや空飛ぶクルマだけでなく、ヘリコプターや航空機なども空域には存在するようになるため、今後人力で管理するのは難しくなり、自動化、自律化を支える技術が必要になります。「将来的に、ドローンや空飛ぶクルマが飛び回ることを見据えて開発しています」（山本氏）。

こうした取り組みにおける成果もあります。政府機関における警護や監視、インフラ点検でドローンのニーズが拡大したときに、情報漏えいやハッキングなどの攻撃への対応が必要で、さらに災害現場でのドローンの情報をセキュアに届けることも必要になります。

その観点から2019年に16.1億円の予算で開発された成果の1つがACSLのドローン「蒼天」です（21年12月発売）。セキュリティを確保したドローンとして、ISO/IEC 15408のセキュリティ評価基準に準拠しており、海外での販売時もISO取得をアピールできるようにしていました。

他の成果としては「性能評価基準」や「無人航空機 サイバーセキュリティガイドライン Ver1.0」も策定されています。

セキュリティガイドラインでは、セキュリティレベルに応じて運用時だけでなく、ドローンの製造時、ドローンの廃棄時も含めて、情報漏えいなどにどこまで配慮すべきか、といった観点でも対策がまとめられています。

運航管理システムの開発では、ドローン向けに2017年から研究開発に取りかかり、2020～21年度には全国13地域での実証実験も行われました。これをさらに進化させるために、2022年度からスタートした「次世代空モビリティの社会実装に向けた実現プロジェクト」（ReAMo）において、ドローンに加えて空飛ぶクルマを含めた運航管理技術の開発に向けた取り組みが行われています。

このReAMoでは、ドローンや空飛ぶクルマの安全性能を評価する手法の開発や操縦者1人が多数のドローンを操縦するシステムの技術開発なども行われる予定です。

海外でも議論の真っ最中

続いて海外の動向について説明したのがSClabAir​の各務氏。各務氏によれば、海外でもドローンや空飛ぶクルマを含めた次世代空モビリティに対する技術的なディスカッションが行われています。

各務氏は、こうしたグローバルな標準化の取り組みに参加していく必要があると指摘しています。

例えば各務氏が参加しているSAE Internationalの「G-34」。これは航空機へのAIの搭載において、どう安全性を担保するかを議論しているそうです。同じく各務氏が参加するRTCAのSC-240は、空モビリティにソフトウェアの基準をどのように適用するか、安全にソフトウェアを開発するためにはどうしたらいいかといった議論をしているといいます。

各務氏は、「AIは民間航空機よりもドローンや次世代空モビリティに搭載される方が早い」という見込みで、ドローンや空飛ぶクルマにおける先進的な取り組みの必要性があるという認識を示します。

そのAIを扱うG-34ですが、「どちらかというとAIはヨーロッパの方が進んでいる」と各務氏。すでにEASAのコンセプトペーパーと連携して議論が進められているそうです。

SC-240では、民間航空機にソフトウェアを搭載する際に従わなければならないガイドラインとして「DO-178C」がありますが、民間航空機ほどの厳密さが必要かどうかという議論もあり、グレードを下げたガイドラインの議論が進んでいるといいます。

特に機体のセキュリティに関しては、RTCA DO-326A、DO-356Aというガイドラインがすでにあり、これをドローンや次世代空モビリティについても適用することが良いのではないかと議論されているそうです。

そうした議論を踏まえて各務氏は、「セキュリティアセスメントのプロセスとセキュリティ対策の両輪でやっていく必要がある」と説明します。

GMOインターネットグループのセキュリティに期待することは？

パネルディスカッションにはGMOサイバーセキュリティ by イエラエの牧田とGMOグローバルサインの浅野も参加しており、例えばイエラエではペネトレーションテストを提供し、攻撃者の立場からその技術が安全かを可視化するようなサービスを提供。

GMOグローバルサインは暗号セキュリティや認証サービスを提供しています。「ドローンや空飛ぶクルマはインターネットに繋がるデバイスが空を飛んでいるイメージ」（浅野）であり、そういったデバイスに対しては認証や暗号化が必要になってくるという考えだということです。

こうしたセキュリティを担うGMOインターネットグループの2社に対して、ドローンや空飛ぶクルマの制度整備や技術開発に携わる登壇者の面々から期待感が語られました。

経済産業省の山本氏は、「利便性とセキュリティのトレードオフは必ずついて回る」という認識を示しつつ、リスクをゼロにすることはできず、「リスクがゼロでなければならないならドローンを飛ばさない選択しかない」と指摘。

そこで、いかにリスクを低減させられるかという点が重要で、その点で山本氏は、

ドローンにおけるセキュリティ対策の重要性を強調し、政府、民間が一体となってセキュアで、安心安全な次世代空モビリティの実現に期待を寄せていました。

国土交通省の保坂氏は、現状の空飛ぶクルマでは操縦士の存在が前提となっていますが、将来的には自律的に飛ぶようになるという予測を示し、そうであればさらにセキュリティ対策が重要になってくるとの考え。その点で、民間の知見を取り入れながら国際的な議論作りに取り組んでいきたい考えを示していました。

SClabAir​の各務氏は、海外の議論でもソフトウェアの分野でセキュリティとの連携が大切だという話になっていると指摘。「新しいガイドラインにもセキュリティとソフトウェアのコラボレーションをちゃんと考えなきゃいけないという文言が入る話になっている」そうで、ソフトウェアにおけるセキュリティ対策の重要性が認識されているようです。

2023年6月26日（月）～28日（水）に幕張メッセにて開催された日本国内最大級のドローン・eVTOL（空飛ぶクルマ）展示会「Japan Drone 2023」を、入社1年目の新卒がレポートいたします。

はじめに

こんにちは！GMOインターネットグループ株式会社の内野です。今年の春に新卒として入社いたしました。よろしくお願いいたします。さて、今回はGMOインターネットグループがプラチナスポンサーとして協賛させていただいた「Japan Drone 2023」について、レポートさせていただきます！

出展概要

「JapanDrone2023」は、6月26日から28日までの3日間、幕張メッセにて開催された、ドローン本体や周辺機器、ドローンに関する取り組みや研究などについての展示会です。メーカーや自治体、省庁や研究・教育機関など、多数の団体が出展していました。実際に様々なドローンを動かしてのデモンストレーションや、ドローンにまつわるトピックスのセミナーなど、3日間通して大盛況でした。GMOインターネットグループは、この「JapanDrone2023」にトップ協賛しているプラチナスポンサーであり、入口すぐに大規模な展示を行っていました。大盛況の展示には、3日間で3500名以上の方にご来場いただきました！

この展示が評価され、最終日のJapanDroneAward表彰式にて審査員特別賞をいただきました！

GMOインターネットグループは、グループ全体として「ドローン」や「空の交通」に強い関心を寄せています。

サイバーセキュリティと暗号セキュリティについて展示

今回GMOインターネットグループが協賛、そして出展した理由は、「すべての空にセキュリティを」というキャッチを広めるため。そして、ドローンを始めとした「空の安全」という概念を広く理解していただくことを目的としています。
というのも、私たちGMOインターネットグループは、ドローンのように通信を利用する「すべて」のサービスに、高度なセキュリティを提供することができるのです！例えば、日本最強のホワイトハッカー集団を擁する、「GMOサイバーセキュリティ byイエラエ」は、ドローンの脆弱性を判定し、そのフィードバックを企業に提供することができます。また、世界中のウェブサイトの通信を安全にしてきた「GMO GlobalSign」は、ドローンの通信を暗号化したり、認証技術を用いたりすることで、ドローンとサーバー間のデータの盗聴や改ざん、ドローンのなりすまし被害から守ることができます。これら2社の基準を満たすドローンは、安全性を証明する認証マークが利用できます。

他にもドローンやドローンスクールに関するメディアを展開する、「コエテコドローン」の展示もしていました。どうやら、隣のブースのスクールも紹介しているようです！

さて、ここからは毎日多くの方にご来場いただいた展示内容について、2つ紹介させていただきます。

ホワイトハッカーによるドローンハッキングデモ

まずは、毎日500名以上の方にご覧いただいた「GMOサイバーセキュリティ byイエラエ」の三村さん

による、「ホワイトハッカーによるドローンハッキングLIVE！」。これは、実際に販売されているドローンにハッキングを仕掛け、その操作を奪ってしまう・・・、というデモンストレーションです。操作を奪ったり、ドローンの映している映像を差し替えたり、様々な攻撃をいとも簡単に仕掛けます。

これでは、操作中のドローンは簡単に墜落させられてしまいますし、ドローンが撮影中の映像も盗まれてしまいます。大きな機体の墜落は大変な事故に繋がりますし、国や企業の重要な施設の点検中に機密情報が抜かれてしまうと・・・、と考えるとゾっとします。開発者の方も気づかないような脆弱性にを発見することができる、「GMOサイバーセキュリティ byイエラエ」の力で、「すべての空にセキュリティを」が推進されていくことの重要性を、個人としても強く認識しました。

（この機会に、ドローンだけでなく、パスワードの使いまわしなど、身の回りの全てのセキュリティリスクを確認したいですね・・・！）

空飛ぶクルマの試乗・VR体験

そして、3日間続いて大盛況だったのが、「空飛ぶクルマ」の試乗体験・シミュレーション体験です。このLIFT社作成の空飛ぶクルマ「HEXA」の展示機体は、3月の実証実験で、GMOインターネットグループ代表の熊谷が実際に乗って飛んだ機体です！

この空飛ぶクルマに乗車しようと、毎日長蛇の列が・・・！3日間で350名以上の方に体験していただきました！

残念ながら、実際に機体に乗って飛んでもらうことは出来ませんでしたが、機体のプロペラを回すと、並んでいらっしゃるご来場の皆様から感嘆の声が漏れていたのが印象的でした。

この展示が、イベント全体を大いに盛り上げたとして審査員特別賞をいただきました！本当にありがとうございます。

また、VRゴーグルをつけて行う空飛ぶクルマの運転シミュレーションも大人気でした・・・！

こちらは合計で130名以上の方にご体験していただきました。実際に他の新卒のメンバーが体験させてもらい、「爽快感」に感動していました。一方で、操作が難しいというような声も・・・。これを機に、空の安全を身近に考える人が増えると良いですね！

出展企業のブース展示

さて、せっかくのイベントレポートなので、ここからは他のブースで気になった展示や、新卒の目線で「真似したい！」と思った展示などについて書いていきたいと思います。

水上ドローン

かわいらしいジンベイザメをモチーフにした水上ドローンは、水上のごみを集める用途で使われるそう。

テーマにあった可愛い見た目で集客も印象付けもバッチリ。炎重工業株式会社の技術とアイデアの賜物ですね。

アスカ

しばらく近くを歩いていると、どこかで聞いたことがある声が・・・。なんと、エヴァンゲリオンのアスカの声優さん、宮村優子さんの声でした！日本鯨類研究所は、「飛鳥改五」の名前にちなんで、「アスカ」の起用を決めたようです。（サインの実物も展示されています。）

ガジェットや新しい技術が好きなロマンある人たちに刺さりそうな取り組み！勉強になります・・・！

会場内では、他にも多くの展示で、実際の機体をうまく動線に配置することで詳しい説明を読んでもらったり、近未来的なライティングを行うことで来場された方々の興味を引いたり、と様々工夫を凝らしてお客様を集めているブースを見かけました。今後のGMOインターネットグループのブース展示でも、他の素晴らしい展示を参考に、動線やパネルの配置、カラーリングなどをもっともっと改善して、多くの人に空のセキュリティの必要性を伝えられると良いですね。ハッキング中は、照明を真っ赤で点滅させてもいいかも・・・？（目に優しくないか・・・！）

さいごに

さて、今回は6月26日から3日間に渡って行われた、「JapanDrone2023」についてのレポートでした！
3日間通じて多くの方が来場されていました！GMOインターネットグループのブースにも何千人もの方に訪れていただきました。本当にありがとうございました。個人としては、ドローンに対する期待やワクワクは、今後もっと大きくなっていくのでは？、という感想を抱いています。グループとしても、そして個人としても更に注目していきたいですね！

空のセキュリティ対策の重要性が、より一層伝われば幸いです。空のセキュリティにお困りの際は、是非GMOインターネットグループにお気軽にご相談ください！今後もGMOインターネットグループは、空の安全のために邁進してまいります。

すべての空にセキュリティを

GMOインターネットグループは、2023年6月26日（月）～28日（水）に幕張メッセにて開催される、日本国内最大のドローン・eVTOL（空飛ぶクルマ）展示会「Japan Drone 2023」にプラチナスポンサーとして協賛し、最大規模で出展します！

JapanDroneとは？

「Japan Drone」は、一般社団法人日本UAS産業振興協議会が主催する、日本国内最大のドローン・eVTOL国際展示会です。
ドローンやeVTOL（空飛ぶクルマ）をはじめとする空の移動に関する国内外のサービスが展示され、会期中は官民有識者によるパネルディスカッションやセミナー等も開催されます。

イベント開催概要

• 日　時：2023年6月26日（月）～28日（水）10:00～17:00
• 会　場：幕張メッセ（展示ホール5・6）千葉県千葉市美浜区中瀬2-1
  　　　　GMOインターネットグループブース：AF-3
• 主　催：一般社団法人日本UAS産業振興協議会（JUIDA）
• 協　賛：株式会社コングレ
• 参加方法：https://eventregist.com/e/6LPyXDhn0sC2?_fsi=KYEHVaUy
  　　　　　※事前登録者は入場無料
• 公式HP：https://ssl.japan-drone.com/index.html
• 詳　細：https://www.gmo.jp/news/article/8424/

会期中、ブースではGMOサイバーセキュリティ byイエラエ株式会社に所属する、国内随一のホワイトハッカーによるドローンへのサイバー攻撃実演・解説デモンストレーションや、IoT機器の脆弱性検証・通信セキュリティに関する技術の展示を行います。

また、経済産業省／国土交通省／空飛ぶクルマ認証技術研究者／ホワイトハッカーによるパネルディスカッションや、GMOインターネットグループで空の移動のセキュリティを担う企業の紹介等のステージイベントも行う予定です。

空の移動に関する産業や、サイバーセキュリティの最新動向にご興味をお持ちの方はぜひお越しください。

ブース展示の見どころ

国内随一のホワイトハッカーがサイバー攻撃手口・手法を再現！
ドローン実機を用いたサイバー攻撃手法デモを実施

国内外のハッキングコンテスト（CTF）で優勝・入賞実績を持つ社員を多数抱えるGMOサイバーセキュリティ byイエラエに所属するホワイトハッカーがドローンへのサイバー攻撃手法を実演・解説するデモンストレーションを実施します。

• ホワイトハッカーによるドローンハッキングLIVE ! 映像編
• ホワイトハッカーによるドローンハッキングLIVE ! コントローラー操縦編
  ※各日それぞれ２、３回開催予定

登壇者

LIFT AIRCRAFT社製eVTOL「HEXA」を展示

ブースには、米国LIFT AIRCRAFT社製のeVTOL「HEXA」を展示いたします。2023年3月14日（火）・15日（水）に大阪城公園にて、日本で初めて国の許可が必要な屋外スペースでパイロットが乗り組み有人飛行した機体です。3月14日の飛行では、GMOインターネットグループのグループ代表・熊谷正寿がパイロットを務めました。

機体乗車体験＆VRシミュレーター体験

GMOインターネットグループブースにて、空飛ぶクルマに乗車し記念撮影をしていただけるコンテンツをご用意しております。
また、Lift社でトレーニングとしても実用されているVRシミュレーターも体験いただけます。貴重なこの機会にぜひお試しください！

ミニセッション

米国LIFT AIRCRAFT社のCEO Matt Chasenが登場し「空飛ぶクルマ実証実験におけるセキュリティと今後の展望」と題して26日（月）の13時よりミニセッションを行います。

パネルディスカッション（国際コンファレンス）

「ドローン・空飛ぶクルマ、国内外の制度整備・技術開発から考える空の安全」と題し、空飛ぶクルマ、ドローンの国内外の制度設備の現状と、今後の社会実装のために必要となる制度や技術を、経産省、国交省、航空コンサルタント、セキュリティ企業、それぞれの見地からディスカッションします。

登壇者

• 経済産業省​　製造産業局　航空機武器宇宙産業課　次世代空モビリティ政策室　企画調整官
  山本 健一氏

• 国土交通省​　航空局 無人航空機安全課
  保坂 達也​

• 株式会社SClabAir​代表取締役
  各務博之

• GMOグローバルサイン株式会社 CTO室 室長
  浅野昌和

• GMOサイバーセキュリティ by イエラエ株式会社　代表取締役
  牧田​誠

ブース詳細スケジュール

会期3日間、充実したコンテンツとなっております。詳細はこちらをご覧ください。

さいごに

事前登録していただければ、どなたでも入場無料で参加することができます。
空の移動に関する産業や、サイバーセキュリティの最新動向にご興味をお持ちの方はぜひGMOインターネットグループブースへお越しください。

皆さまのご参加をお待ちしております！

2022年6月21日（火）～23日（木）に日本国内最大のドローン・eVTOL（空飛ぶクルマ）展示会「Japan Drone 2022」が幕張メッセにて開催されました。
GMOインターネットグループはプラチナスポンサーとして協賛し、最大規模で出展しました！

今回は、ブース内ステージ
「ホワイトハッカー＋暗号化通信・認証技術が守るGMOインターネットグループのドローン・IoTセキュリティ」
の書き起こし記事となりますので、ぜひご覧ください。

イベント告知：https://developers.gmo.jp/18770/

登壇者（敬称略）

• GMOサイバーセキュリティ byイエラエ株式会社 取締役COO
  伊藤 章博
• GMOグローバルサイン・ホールディングス株式会社 CTO室 室長
  浅野 昌和

ブース内ステージ
「ホワイトハッカー＋暗号化通信・認証技術が守るGMOインターネットグループのドローン・IoTセキュリティ」

GMOサイバーセキュリティ byイエラエ株式会社について

GMOサイバーセキュリティ byイエラエの伊藤でございます。
弊社は、誰もが犠牲にならない世界を創るというコーポレートメッセージをもとに、最強の攻撃力、最高の品質、最低価格という形で、ホワイトハッカーの攻撃力を利用して脆弱性のない世界を創っていこうと進んでいる会社です。

どういうことをやっているかというと、まず、セキュリティの診断、チェックをするホワイトハッカーの人数が120名で国内最大手です。脆弱性診断、セキュリティチェックをやっている対象数は6千件を超えています。ペネトレーションテストなどで成果が出せなかった率は10％以下で、大きな脆弱性を数多く見つけています。2021年には、未知の脆弱性、CVEとして認定されたものを新たに15件発見しました。ハッキングコンテストで世界1位となったこともあり、ハッキングコンテストで好結果を持っているホワイトハッカーが数多く所属している会社です。

今回のIoT・ドローンの観点でいうと、まずハードウェアとしてのチェック、それからドローンと通信するインターフェースのチェック、それからドローンで動いているファームウェアのチェックをします。それだけではなく、ドローンにデータを通信しているクラウドや、データのしまい場所としてのクラウドのセキュリティチェックを行うとか、ドローンを動かすのにスマホを使う、クラウドとスマホがつながっているというケースもあるので、スマホアプリ診断も行って、ドローンを使ったビジネス環境全般を脆弱性診断する、セキュリティが大丈夫かどうかをチェックしています。

伊藤

ドローンの脆弱性とは何かとか、どこに脆弱性があるかが分からないけどセキュリティチェックしなければいけないという世評もある中、それらの診断にどのぐらいお金がかかるのか分からないというお声をいただいていたので、今回経済産業省と我々を含めた診断会社が連携して、脆弱性診断を無償で受けられる制度を立ち上げました。ぜひご活用いただければと思います。

伊藤

例えば、今の段階でドローンの設計図ができただけだとか、そろそろ組み込まなければいかないといったような様々なプロセスの中でお申し込みいただける制度になっているので、設計図が大丈夫かとか、あるいは部品が大丈夫かとか、ドローン全体が大丈夫かとか、こういった様々なケースで利活用いただけるような制度になっています。

伊藤

GMOグローバルサイン株式会社について

浅野

GMOグローバルサインの浅野と申します。よろしくお願いいたします。私どもGMOグローバルサインがどういう会社かというのをご紹介したいと思います。

まず、私どもはセキュリティの中でも電子認証、電子証明の分野を担っております。具体的には電子証明書を発行して、通信の暗号化や認証を実現するサービスを提供しております。
電子証明書については、日本を本社拠点として、全世界に展開している唯一の電子証明書ベンダーです。日本はもちろん、グローバルで、ヨーロッパ・アジア・北米・南米に拠点を持っておりますので、どこからでも証明書のサービスやサポートを受けることができる、こういったことが非常に大きな特徴になっている会社です。

また、CA/Browser Forumという団体があります。これは全世界でCAベンダー（電子証明書を発行するベンダー）や、Googleやマイクロソフトなどのブラウザを提供するベンダーが集まって、電子証明、電子認証の標準化を定める団体ですが、こちらにも参加しています。

もう少し具体的に、ご提供しているサービスについて説明します。電子証明書の発行をメインにしているなかで、特に大きな割合を占めているのがSSLサーバ証明書です。これは皆さんも意識せずにお使いいただいていますが、ウェブサイトに接続する時にアドレスバーの横に鍵マークが出てくると、それは通信が暗号化されている、サーバ側にサーバ証明書が設定されている状態なんですね。このSSLサーバ証明書において、私どもは日本No.1のシェアを持っている会社です。

そのほかにもいろいろな用途の証明書を発行しています。証明書の発行だけではなく、証明書を期限が来て更新する、あるいはいらなくなったから失効する、といったことを管理する仕組みも、ライフサイクル管理ということで提供しています。

それから、少し違う分野では、マイナンバーカードを使った本人確認のサービスとか、あるいはeKYCと呼ばれる、よく金融機関で本人確認のため使用されるサービスもやっています。

あと、一番最近伸びているのが「電子印鑑GMOサイン」です。これはよく言われる電子契約のサービスで、紙の契約書の代わりに電子的データで契約書を取り交わすというものです。コロナ禍を契機に非常に大きく伸びている分野です。

ID管理については、複数のサービスに一つのID・パスワードで入れるいわゆるシングルサインオンの仕組みをご提供しています。

こういった事業をやっているGMOグローバルサインがなぜドローンの展示会に出展しているのかということですが、我々は今までインターネットで培った技術を使って、IoTと呼ばれる分野でのセキュリティ強化に取り組んでおり、ドローンについてもIoTの中の１つだと考えています。

ドローンはクラウドとの間でお互いに通信しながら飛んでいくというのがこれから主流になると思いますが、こういった通信を暗号化して、誰かに内容を盗み見られたり改ざんされたりしないようにする。あるいは機体とクラウドの相互認証、つまり機体とクラウドが通信する時に、相手が本当に自分が意図した相手であるかどうか、ドローンになりすまされてクラウドに不正なデータを送りつけたりとか、あるいはドローンが正しい送信先であると思ってデータを送ったら実は全然違うシステムでデータを不正取得されてしまったり、ということがないように、お互いを認証するための技術を提供しています。

浅野

はい。今回機体を展示させていただいていますが、ドローンベンダーの一つであるプロドローン様と一緒に実証実験を行っています。具体的には、展示してある機体に私どもが発行した電子証明書を搭載していただいて、実際にクラウドと相互に認証しながら、通信を暗号化して、安全にデータをやりとりするということを実現しています。

セキュリティは、できあがったものに対してだけにやっていくのではなくて、できあがる前に「何がセキュリティ的に気を付けなければいけないのか」、あるいは作り上がったものに対して攻撃者目線で考えた時に「何が攻撃できるのか」という観点を、まずはチェックすること。これが重要ではありますが、実は本質的にはその作った状況、セキュアである状況を守り続けなければいけないと思います。我々で支援したものに対して、浅野さんのところでしっかりと守り続ける、そういった役割分担が美しいと思っています。

伊藤

浅野

まさに、いま伊藤さんがおっしゃった通り、我々はセキュリティという同じ分野ですけども、それぞれに違う得意分野を持っています。いまお話があったように、セキュリティは点で考えるものではなくて、線で考えていく。いかにずっと守り続けていくか、こういったところでまず診断するというところを、GMOサイバーセキュリティ byイエラエでやって、我々の方でそれに対してきちんと対処していく。こういったことを線で繋いでいくことをやっていければと思っています。

アーカイブ公開

今回のブース内ステージ
「ホワイトハッカー＋暗号化通信・認証技術が守るGMOインターネットグループのドローン・IoTセキュリティ」
の映像はアーカイブ公開もしていますので、以下より是非ご視聴ください。

さいごに

この度は会場へお越しいただき、
また、レポート記事をお読みいただきありがとうございます。

JapanDrone2022の開催レポートは、「Vol.01～Vol.04」を掲載しております。
ぜひご一緒にご覧いただければと思います。

2022年6月21日（火）～23日（木）に日本国内最大のドローン・eVTOL（空飛ぶクルマ）展示会「Japan Drone 2022」が幕張メッセにて開催されました。
GMOインターネットグループはプラチナスポンサーとして協賛し、最大規模で出展しました！

今回は、ブース内ステージ
経済産業省「開発段階におけるIoT機器の脆弱性検証促進事業」
の書き起こし記事となりますので、ぜひご覧ください。

イベント告知：https://developers.gmo.jp/18770/

登壇者（敬称略）

• 経済産業省商務情報政策局サイバーセキュリティ課長
  奥田 修司
• GMOサイバーセキュリティ byイエラエ株式会社 取締役COO
  伊藤 章博

産業分野におけるサイバーセキュリティ政策について

伊藤

経済産業省が本事業を立ち上げた背景、政策の内容についてお聞かせください。

まず事業の説明をする前に、経済産業省としてこのIoT機器のセキュリティについてどのように考えてきたのかを簡単にご紹介します。

IoT機器はこれまでの様々な開発の中で、セーフティについては意識をしている人が多かったのですが、セキュリティについては、アンケート調査などをみると1/4ぐらいの人が何らかのセキュリティのインシデントを経験しているのが実態です。

例えば自動車でのリコールや、心臓のペースメーカーで脆弱性からリコールになったという例が起きていますし、ネットワークカメラではメーカーに対する訴訟も行われています。開発側が脆弱性の対応に後追いで追われていくということで非常にコストもかかってきます。そこの対策をしっかり最初の段階からセキュリティ・バイ・デザインという形で実装していくことが大事だと考えています。

その中で、経済産業省として皆さんへ意識してもらいたいことは、「IoTセキュリティ・セーフティ・フレームワーク」という考え方の枠組みです。いろいろなステークホルダーがいるので、その間のコミュニケーションを円滑にしてもらうための枠組みを作りました。

サイバー空間でいろいろなデータのやりとりがされるようになる中、IoT機器は、実際のフィジカル空間とサイバー空間の間をつなぐ層として様々なことを実現していきます。いわば三層構造の第二層として、信頼性をどのように確保していくかが大事なポイントです。フィジカル空間から得られるデータが正しいデータなのか、正しくサイバー空間に展開できているのか、逆にサイバー空間からフィジカル空間へ影響を及ぼす制御をする時に、そこの制御は正しく行えるのかといったことを意識していかないといけない、ということです。

ではどのような考え方で実行すればよいのかですが、まず一つは、様々なリスクを分析して、リスクの重みに合わせて対策をとるということです。例えば死亡事故が起こってしまうような場合、ペースメーカーみたいな話ですと、回復困難性を高くとみておかないといけないですし、回復困難性の度合いをどのように定めるのかということがポイントです。

もう一つは経済的な影響。非常に広く普及しているものであれば、リコールになった時に経済的な影響が大きいことや、もしくはその機器が動かなくなってしまった時の経済的な影響が非常に大きいことがあるので、これら2つの軸でリスクを分析しながら、対策を考えていくということです。

対策については観点が4つあります。

第1の観点は、まさに機器そのものがどのぐらいの性能を有していないといけないのか、機器に対する要求事項。

第2の観点は、運用中の確認要求。運用中にどのように使っていけばよいのかということ。

第3の観点は、運用する人に対する要求。

第4の観点は、社会的な制度。

例えば、ドローンでいうと、ドローンそのものにすべての責任を押しつけて、とてもセキュアなものを作ろうとすると、とてもコストがかかるわけです。それは、すべてを第1の観点に押さえ込むということではなくて、きちんと責任を分けながら、誰がどの役割を担って、全体としてきちんとセキュリティを担保されたものを作っていくのかということを考えていかなくてはいけない、ということです。ドローンそのものに求められる性能はなんだ、ということもあるし、運用のルール、例えば人が多いところには飛ばさないといったことを決めていくってこともこの1つの関係でしょうし、実際にドローンを操作する人の資格みたいなことは第3の観点に入ってきます。

第4の観点は、保険制度のようなもので、全体として経済的な被害をどのようにカバーするかということまで考えて、全体として考えていきましょうということがこのフレームワークの考え方の基本になっています。

これは分かりにくい話なので、ユースケースを作りました。

いろいろなIoT機器のユースケースを作りましたが、1つの例として、ドローンのユースケースを作って公開していますので、もしご関心があれば「IoT-SSF ユースケース」で検索してもらうとすぐに出てくると思います。
ここから先が今日ご紹介する事業につながってくるのですが、いまご紹介したような4つの観点で見ていく時に、第1の観点は当然重要になって、機器そのものにどのぐらいの信頼性を持たせるのかということですけれども、それに関して我々はいろいろな検証事業をしっかりやりながら、機器の信頼性を確保していこうということを実施しています。

去年まで実施した事業として、攻撃型を含めたハイレベルな検証サービス、IoT機器の実機に対する攻撃を含めてきちんと検証して信頼性の高い製品であるということを世の中にお示しできる枠組みや、検証の手引きを作成しました。また、いろいろな方と議論している中で、検証についても信頼性のある事業者でないと安心して検証を任せられないということで、信頼のある事業者をどのように決めていけばいいのか、もしくはそれを世の中の人に知っていただけるのか、ということを議論してきていました。

そのような議論が進んでくれば進んでくるほど、では開発段階でどのようにしていけばいいのかということが問題になってきます。特に中小企業の皆様にとっては、コストのかかる話になってくるので、どこまで何をやればいいのかということも含めて、中小企業の方々がセキュリティ・バイ・デザインを実現する開発とは何をすればよいかということを、しっかりと考えていきたいということが、今回の事業の一つの大きなポイントになります。

実際に事業の前提となっているところをもう少し説明しますと、開発段階で実際に対策を行っている事業者は多くないというのが現状です。ではどのようなところをどこまで実施できているのかということが気になりますが、現状では脆弱性による損害が開発企業に生じてくるということが実際に起こっているわけでして、金額も1千万円を超えるような被害額になっているようなケースも国内のアンケートでは出てきています。このようなところをしっかりと考えながら、開発段階から脆弱性についてきちんと検証しながら開発を進めていくということが良いのではないかと。検証サービスが出てくると、ユーザー側にとってみれば、自分たちが使う前に検証サービスの方で検証してもらって、これは良い、これは悪いということになれば、良いものを使えばいいことになりますが、開発側からすると、開発したあとにそんなことを言われても困るということもあるので、開発段階でしっかり考えていく必要が出てきます。

今回我々が事業の中でやりたいと思っていることと、中小企業に対しても協力をお願いしたいことがあります。まだまだ対策が進められている中小企業はそんなに多くないと思っているので、現状どこまでやられているのかということと、それがどのぐらいの普及をしているのかということを、きちんと把握をしながら、ここまではみんな統一的にやるべき、ここから先はリスクに応じて段階的にレベルを上げていくところだと描き出していく必要があります。そこで、中小企業の皆様がいま開発していることをぜひ情報提供いただきたい。

例えば設計書や仕様書、ソースコードやファームウェア、もしくは実機をいただいて、それを委託している検証事業者に実際に検証していただいて、どのぐらいの対策が進められているのかということを明らかにします。同時に我々としては、中小企業の皆様の開発段階におけるガイドラインを示しながら、一方で検証事業者にも、大企業のようにあれもこれもやるというわけにはいかない中小企業向けの検証はどのようなことを考えなければならないのかというのをガイドラインとして示して、その2つがうまくマッチングするようなことを考えているところです。

奥田

伊藤

結果として、協力いただいている中小企業の皆様にも、脆弱性診断がアウトプットできるということですよね？

はい。開発段階の脆弱性診断を今回は経済産業省の事業として実施するので、中小企業の皆様にとっては情報提供していただいたり、実機を提供していただいたりということはありますが、費用をかけずに、我々の事業の中で、GMOサイバーセキュリティ byイエラエさんのような検証事業者に検証いただくことになります。なので、結果として、設計書・仕様書といったものを検証させていただいた場合には、開発の遅れや修正にかかるコストを低減するということで、設計段階できちんと修正点が見つかってくるということがあります。また、結果として開発される機器全体がセキュリティのレベルアップ、アシュアランスのレベルを向上することにつながっていき、開発段階できちんと検証してどこに脆弱性があるのかということを明らかにしながら開発の次のステップに進んでいけるということが、ご協力いただく中小企業の皆様にとっては非常に大きなメリットになるのではと考えています。

奥田

伊藤

次のステップは、脆弱性診断を実施しないと可視化できないところを、この制度で1度実行してみるということで、メリットはありますね。

考えたことがないという方も、ぜひご応募いただいて、1回見てもらうということが最初のステップとしてはすごく大事だと思います。

奥田

GMOサイバーセキュリティ by イエラエ について

伊藤

ご説明ありがとうございました。

続きまして、私どもの簡単なご説明になります。

GMOサイバーセキュリティ byイエラエという会社でございまして、特徴としては、最強のホワイトハッカー集団によるIoT診断を提供させていただいているということです。バイナリを読んだりとか、ファームウェアを読んだりとか、インターフェースを読んだりとか、テクニカルなことができます。

案外IoT機器は、ドローンもそうですけど、サービスの中の1個なのです。ドローンだけで動いているサービスでなくて、そこにはクラウドが連携されている、データを収集するための、それからドローンを動かすためのスマホアプリとかプロポとかコントローラーとか、これらを一括して皆様と一緒にセキュリティの設計から考えていける、そういった特徴を持っているのがGMOサイバーセキュリティ byイエラエという会社です。

では、改めて、脆弱性検証事業を行う背景や思いがあればお話しいただければと思います。

脆弱性検証促進事業の背景と思い

先ほどお話ししましたように、我々としてはIoT機器のセキュリティレベルを上げていくという中で、検証事業を普及させていこうと考えているわけです。その中で、中小企業の皆様も一緒になって取り組んでいける環境作りをしていきたいということがあります。製品開発が終わってから検証してもらって気付くということではなくて、開発段階における検証、これをどのように実施していけばいいのかというのを明らかにしていきたいと。

一方で、セキュリティ側からだけ見ていると、とてもレベルの高い、中小企業がついていけない検証を求めていっても仕方がないので、いまそれぞれ中小企業の皆様がどの程度まで検討されていて、対策をとられているのかを我々としてもしっかりと把握をしながら、その次の段階として何をすべきかをきちんと描き出すことによって、徐々に日本の開発段階におけるセキュリティの段階を挙げていきたいという思いがあるので、中小企業の皆様にご協力をいただいて、事業を進めていきたいというところです。

奥田

伊藤

先ほどの説明の中に、損害額1千万円～1億円という数字がありましたが、これはどのような金額の算出なのでしょうか？

ケースによりますが、イメージしやすいのはリコールが発生してしまうというもの、もしくは自社製品を使い続けると問題が起こるので製品回収したり、ソフトウェアのパッチを開発して展開して使ってもらったりということが一緒になってきますので、そこに非常にコストがかかります。もしくは、ケースによってはお客様に対するお詫びの費用も当然発生する可能性がある、これらを含めて非常にコストがかかってきますし、弁護士費用も含めて、後追いになればなるほどいろんな費用がかかると思っていただければと。

奥田

伊藤

さらに、評判リスクや事業のレピュテーションリスクなどを換算すると、もっと損害は大きくなります。

そうですね、そこはなかなか先ほどの金額にはカウントできないところもあります。
実際にGMOサイバーセキュリティ byイエラエさんがこれまで取り組まれていて、お客様の対応で苦労された事例はありますか？

奥田

伊藤

先ほど奥田さんの説明にあった「セキュリティ・バイ・デザイン」が非常に重要です。我々が困るケースはリリースの最後に脆弱性診断を行い、「リリースに間に合わせるためにここまでにやってください」という、最後にセキュリティを無理やりやっているところ。我々から見ると、「仕様書を先に見せてもらえたらそこで問題が潰せたのに」というようなケースが結構多いのです。

ことが起こっている、あるいはポイント・オブ・ノーリターンが過ぎて工場出荷前という段階でご相談いただくと後戻りが大きくなるので、設計開発段階、まさにセキュリティ・バイ・デザインを考えるところから開発して作っていくところまで、一気通貫の中でこのような脆弱性診断を行い、我々みたいなセキュリティのエンジニアを混ぜていただいて物事を考えると、手戻りが少なくてセキュリティ対策ができると思うのですが、やはり後ろになってしまうことが困るところです。

今回の事業の中でも、実機を提供いただくこともありますが、設計書だけしかなくてもぜひ応募いただいて、その段階から見ていくことが大事です。

奥田

事業のスケジュール

伊藤

本事業は中小企業にもメリットが高いと思うのですが、どのようなスケジュール感で進んでいくのでしょうか？

いま、まさにお声掛けをさせていただいて、中小企業の皆様から応募いただくというフェーズになっていまして、個別の検証期間は1か月程度です。

この検証期間で徐々にケースを蓄えていくということを考えていまして、個々の事業者は1か月程度で検証結果が出て、フィードバックされると思っていただいてよいですけど、事業全体としては今年度末に開発段階で中小企業がどのように考えればいいのかというガイドライン、それと検証事業者のガイドラインをまとめていくスケジュール感で動いていければなと思っています。

奥田

伊藤

事業者にとっては、脆弱性診断が無料で受けられるということで、メリットがかなりある政策だと思うのですが、応募の空き枠はどうなっているのでしょうか？

計画の半分程度までは事業者様に応募いただいている状態で、残り半分を埋めていくという段階です。できるだけ早く、対象になる事業者を決めて次のフェーズへ進んでいきたいと考えています。

奥田

情報の管理について

伊藤

事業者にとっては機微な情報を経済産業省に共有していくという制度でもあるのですが、情報の管理はどのような状況でしょうか？

確かに、実際に販売前の開発途中の非常に企業秘密にあたるようなものを提供いただいて、それを検証していくということになりますので、検証事業者の信頼性が非常に大事だと思っています。今回の事業でいうと、そのような情報をきちんと管理できる事業者に対して検証をお願いするということにしています。その一つとしてGMOサイバーセキュリティ byイエラエさんもありますが、信頼できるというだけでなく契約の中でも情報の扱いをきちんとやると、我々とGMOサイバーセキュリティ byイエラエさんとの契約の中で結ばせていただきますし、そのようなことをきちんと実施しますということを、ご協力いただく中小企業の皆様にも提示しながら進めていきます。

奥田

伊藤

我々も、情報管理の工夫として、入退室の管理、人の制限、情報の制限、この3つのレイヤーにおいて、皆様の情報をしっかりと守りながら本事業に参画させていただいていますので、ご安心いただければと思っています。

提供いただいた設計書や機器の返却方法はどのようにお考えでしょうか？

まず、提供いただいて、脆弱性の検証をしますので、脆弱性が見つかってくると思います。
それは、提供いただいた中小企業の皆様にお返しいたします。具体的にここに脆弱性があるということをお伝えします。それ自体は我々の方で、個別の企業名が分かるという形で公表することはありません。ただ、一般化したうえで、こんなことがありますという形では使うかもしれません。

それから、預かった設計書や実機は当然お返しすることになるので、個別の契約の中できちんと取り決めさせていただきます。ただ1点だけ、実機の方はお預かりして検証する中でどうしても機器を壊しながら検証するみたいなことが必要になってくるので、廃棄してしまうことを前提に実機はご提供いただく必要があります。その点はご留意いただければと思います。

奥田

伊藤

ありがとうございます。

いろいろな種類の検証があって、たくさん進めていただくことになりますが、GMOサイバーセキュリティ byイエラエさんの場合、こんな検証が得意で、ぜひうちに来て欲しいといったことはありますか？

奥田

伊藤

我々は未知の脆弱性を検証していくということが得意分野です。未知のものを診断する時に何が必要かというと、攻撃者目線です。ドローンなどのIoT機器について、攻撃者から見てどんな攻撃をするとメリットが出るのかや、攻撃する入口（エントリーポイント）がどこかを、一般的な診断項目だけではなくて、攻撃者の観点からいうとどこなのかをチェックしていくということは有用性が高く、得意分野かなと思っています。小さいところをやるよりは、一番狙われがちなところからやる方が費用対効果もあるし、最終的には狙われがちのところを修正することが費用対効果の高い改修だと思います。「優先順位の付けやすさを攻撃者目線でやっていく」というところに、我々のストロングポイントがあります。

今回、かなり応募される事業者も多いと思うのですが、対象事業者が具体的に対応すべきことは何でしょうか？

検証させていただくために必要な材料をご提供いただくということが一番のメインになりますので、例えば設計書や実機、ソースコードなどをご準備いただいて提供いただくという形になります。

そのあと、スケジュールの打ち合わせをさせていただいて、準備を進めていただきます。

奥田

伊藤

検証した場合に、何か標記のようなものが発行されるのでしょうか？

この事業の中では、我々として特に何かこの事業に参加しましたということを公表する予定はありません。将来的には検証した既製品であることをうまく世の中にアピールできる制度作りは必要になってくるとは考えていますが、この事業の中ではそこまでは対応できていません。

奥田

伊藤

ちなみに、GMOインターネットグループでは、脆弱性診断を受けていただいた際に認証マークを発行しようと検討を進めています。

コストをかけて診断していただいて、それが一般の消費者の皆様に、この会社はセキュリティに気を遣っているということをうまく表示できると、単にセキュリティの担保だけでなくて、ものが売れる、ブランディングができる、その世界までいくと、セキュリティももっと進むと思っています。その一助となるマークとして検討しています。

事業者の方でこういうものを付けていただけると非常に浸透していくと思います。

奥田

伊藤

ありがとうございます。せひ、このようなマークが普及することで、結果的に「この会社がセキュリティに気を遣っている」と思っていただける世界観が作れると嬉しいと思い、進めています。

本事業は、事業者が引き続き検証したいと思った場合、補助金のような仕組みがあるのでしょうか？

事業の先に

この事業自体は今年のある切り口でワンショット切り取って、中小企業の現状を把握しながらガイドライン作りを進めていくことになりますが、中小企業の政策の中でいえば、IT機器の政策でいうと、「ものづくり補助金」の制度があるので、これらを積極的に活用していただくことで、検証の費用をカバーしていただける仕組みになっています。検証は1回だけやればよいというのではなく、継続的に検証しながら製品のセキュリティレベルを上げていくことが必要になってくると思うので、我々の各種の補助制度をうまく使っていただきながら継続していただけるとありがたいと思います。

奥田

伊藤

今回の検証事業で一番良いところは、どこのポイントで何をやるのかがかなり明白になることです。継続的にやっていく時に、1回1回ゼロベースでやるのではなくて、例えば「仕様書レベルではここでやっておこう」、逆に「実機レベルではバージョンアップだからここでよい」などが見える化できるのが、サステナブルな事業検証というか、セキュリティの環境を作っていく中で重要であると思うので、今回の事業を1回活用いただいて、どこが更新ポイントなのか、どこがいいのかを見定めていただけるといいですね。

そうですね。「うちはあまりセキュリティを考えていないからこの事業に応募するのはどうかな？」と思っている方こそぜひ応募いただければと思います。

奥田

伊藤

リスクがない形でできる制度であると思うので、ぜひご活用いただきたいですね。

本日はお話しいただきましてありがとうございました。対象事業者、経済産業省、検証事業者の三者いずれにもかなりメリットがある制度だと思っています。引き続き検証事業者もがんばりますし、対象事業者の方々にもぜひ応募いただきたいと思います。

ぜひいいものを一緒になって作っていければと思いますのでよろしくお願いします。

奥田

アーカイブ公開

今回のブース内ステージ
経済産業省「開発段階におけるIoT機器の脆弱性検証促進事業」の映像はアーカイブ公開もしていますので、以下より是非ご視聴ください。

さいごに

この度は会場へお越しいただき、
また、レポート記事をお読みいただきありがとうございます。

JapanDrone2022の開催レポートは、「Vol.01～Vol.04」を掲載しております。
ぜひご覧いただければと思います。

2022年6月21日（火）～23日（木）に日本国内最大のドローン・eVTOL（空飛ぶクルマ）展示会「Japan Drone 2022」が幕張メッセにて開催されました。
GMOインターネットグループはプラチナスポンサーとして協賛し、最大規模で出展しました！

今回は、ブース内デモンストレーションコンテンツ
「ホワイトハッカーによるサイバー攻撃手法デモ」
の書き起こし記事となりますので、ぜひご覧ください。

イベント告知：https://developers.gmo.jp/18770/

登壇者（敬称略）

• GMOサイバーセキュリティ byイエラエ株式会社　高度解析部 高度解析課課長
  三村 聡志

ブース内デモンストレーションコンテンツ
「ホワイトハッカーによるサイバー攻撃手法デモ」

GMOサイバーセキュリティ byイエラエは、「誰もが犠牲にならない社会を創る」をテーマに、創業以来、脆弱性診断に注力をしております。
「最強攻撃」、「最高品質」、そして「最低価格」、イメージとしては、皆様とよりよいものを、我々としては診断というものを使って、皆様と一緒により良いものを世の中に出していって、より良い世の中を創っていきたい、こういうことを行っている会社です。
弊社は現在120名と、国内トップクラスのホワイトハッカーを含む数多くのセキュリティエンジニアを抱えております。また、ハッキングコンテストで世界1位ということですが、ここに書かれていないほかのコンテスト等でも好成績を収めている社員がいます。
皆様の中にはイエラエセキュリティという名前でご存知の方もいらっしゃるかもしれないですが、2022年4月にGMOインターネットグループにジョインしまして、現在はGMOサイバーセキュリティ byイエラエとなっています。

三村

ホワイトハッカーという単語はマーケティングでよく使われますが、イメージとしては、企業に対していろいろ攻め込んでくる攻撃者の知見を持って、それを皆様と一緒に安全なものづくりをするために、どういうことをしたらよいか、あるいはどういう攻撃の穴があるか、を調べるとか、またそれをどのように直せばいいかというところに知識を活用できる人たちのことです。攻撃をする者が悪いことで使う知識を、守る側に使える人たち、いわば正義の味方です。

三村

私は高度解析部高度解析課課長ということで、ドローンを解析している側の人間でございます。私のいる課では、主にIoT機器、ドローンやそれ以外でもテレビやゲーム機、車載機器など診断して、安全にするといったことを行っております。

三村

いろいろな形がありますが、例えばアメリカのDEF CONだと、ハードウェアとして銀行のATMが本当に置いてあります。それに攻撃をして、中からお金を取れたらもらっていいから、どうぞやってくれと。チャレンジャーは好きに椅子に座って、パソコンを操作してお金が出せたらもらって帰る。そんな感じのコンテストがあります。

三村

はい。そういうことになります。

三村

デモの説明に入る前に、まずドローンの状況をご説明します。

国内のドローンビジネス市場の想定年間平均成長率は22.8％増とありますが、様々な展示等見ていただければお分かりのように、ドローンの利用がどんどん増えていっています。業界でも、物流、農業、点検等々、様々な分野で利用が進んでいます。

ドローンが最近高度化・自動化が進行していて、それに合わせてサイバー空間とフィジカル空間の融合も進んでいます。イメージとしては、以前はプロコンを手に持ってドローンを運転するのが主流でしたが、近年はPC等と接続して、フライトプランをドローン側に入れ込んであげると、ドローンがそれに従って自由に飛ぶものがあるほか、コントローラー側もスマホ等でカメラの映像がこちらに届いて、スマホの画面上にまさしくゲームみたいな感じでドローンが制御できるといったことが進んでいます。

言い換えると、インターネットやパソコン同士が通信するのと同じネットワークに、ドローンがつながるようになってきたということ。それは、つまりセキュリティ上のリスクが複雑化しているということ、今までIoT機器がインターネットにつながると何か問題が起きますよ等々、色々なところで言われたりもしているのですが、それがそのままドローンの世界にどんどん入り込んできていると。そういうイメージを持っていただければ間違いでないかなと思います。

三村

そうですね。IoT機器が色々なシステムに接続して、ドローンの未来もどんどん広がっていくというのはもちろん非常に素晴らしいことだと思っていますが、その時に攻撃者も穴を狙おうとする。ということで、安全を付加した状態でどんどん良くしていくということが重要になってきます。

先行している例だと自動車です。皆様も自動車を運転していて、カーナビゲーションが「この先の道が混んでいます、なのでルートを変えましょう」などと案内することがあると思います。これは、カーナビが外のシステムに対して、様々なルートで通信して実現しています。自動走行など、自動車もネットワークにつながって、より良く、より面白いものができあがっていきますが、ならばどうすれば安全になるだろうか、問題があるのだろうかという検討がかなり先行して進んでいます。ドローンも今後、そういう形になっていくだろうと考えられます。

また、ドローンによる事故も色々報告されています。事象としては海外が多いですが、日本でも、最近法改正などが進んで、さらにドローンの利活用が進むということで、脅威が日本でも発生する可能性はあると考えています。
では、ここから、サイバー攻撃リスクの話に入ります。

ドローンに対するサイバー攻撃リスクは代表的なものが2つあります。データ漏えいと不正操作です。

まずデータ漏えいです。プロポやスマホなどからドローンが操作できるようになるという話をしましたが、例えばカメラ映像とドローンの位置情報が本来の操作者以外の攻撃者によって入手できる状態になると、何が考えられるか。機密エリアでドローンを使って確認していた場合、それらの情報が攻撃者に渡ってしまうと、機密エリアの情報を得るためのツールとして悪用されてしまうということもあるでしょう。

もう一つが不正操作です。ネットワーク経由でフライトコントローラーに何らかの命令を送れるようになっている場合、もしここに脆弱性があると、不正な操作指令を送り込んで実行できるということになります。また、ファームウェアのアップデートをする時に、本当にそのファームウェアが正しいものかということを検証してあげないと、攻撃者が細工した偽のソフトウェアを書き込まされてしまって、悪意のあるファームウェアが実行されてしまう可能性もあります。

三村

DEF CONなどで「自由にやっていいよ」と言われたら、ドローンを使って、従業員しか入れないエリアに従業員の後ろをついて入っていくことをやるかもしれません。

三村

はい。また、自律運転も法改正によってどんどん広がっていくと思われますが、例えば荷物を配達するドローンを攻撃して、送り先を書き換えて受け取ることもあるかもしれません。様々な不正操作による影響もあるということになります。

ドローンに想定されるサイバー攻撃例をお話ししてきましたが、これらをまとめると、「通信の強制切断」「不正な制御信号の送信」「情報の窃取」「GPS偽装」の4つです。このうち、今からデモで行うものは、「不正な制御情報の送信」と「情報の窃取」です。
ファームウェアはArduPilotで、一般的に入手可能でオープンな規格のものを使って、一般的な構成として作成してあります。そこに私がPCを使って、ドローンを攻撃してみようというデモです。

三村

はい。再現手順は以下の4つです。

1.ドローンが接続されているWi-Fiに接続
　→墜落or何らかの方法で奪取したドローンから情報を抜き出した想定
2.Wi-Fi内でネットスキャンを実施し、攻撃対象のドローンのIPアドレスを特定
3.攻撃コードを実行
4.DisArm処理がドローン側で実行され、正規の操作者の意図にかかわらず動作が停止

今回のデモでは、1と2は完了しているものとして、3と4を今から実行しようと思います。

三村

（ドローンが飛行開始）

今から攻撃をしてみたいと思います。

三村

（PCからの操作で、飛行中のドローンが床面に落ちる）

一般的に、攻撃を行おうとする場合はその場でプログラムを組もうとするのではなく、あらかじめ準備をしておいて、現地に行ってコマンドを実行してみて、動いたら儲けものといった感じで行われることが多いです。

三村

そうですね。先ほど行ったものは、同一ネットワーク上からの攻撃でした。なので、複数台が協調動作していて、同じネットワークに接続されているという時に、例えば1台ドローンを落として、何らかの方法で入手して、ファームウェアを解析して接続方法を入手すれば、ほかのドローンに手を出すことも可能になるかもしれません。

また、今回のデモではお見せしていませんが、クラウド側も今回のデモ環境でもし不備があり、こちらも侵入できると、今度はクラウド側からもドローンを攻撃することができる、つまり、私がここにいなくても、なんなら地球の裏側からでもドローンを落とすことが可能になります。

では、どうすればよかったのか？これが一番重要なポイントになります。

クラウドとドローンのところに鍵が2つ付いています。ドローン側でいうと、IP経由のコマンド送付の時に、本当に正しい人からのコマンドかどうか、認証認可をしっかりやって欲しいのです。

今の例でも、正規の運転士がドローンを上げるところまでやって、本来であれば第三者である私が先ほどはDisArmコマンド（モーターを緊急停止させる命令）をドローンに送りました。その際にドローンが、本当にプロポや正規のドライバーから送付されたコマンドか、あるいはこちらから送ったコマンドかをまったく区別せずに、すべて正規のコマンドだとして届いた順に実行してしまいます。そのために、私のDisArmコマンドもそのまま実行されて落ちた、という内容でした。

なので、ちゃんと認証認可、そしてポートや不必要な機能の制限、これはぜひ行っていただきたいと思います。まさしくパソコンと一緒です。

もう1つ、クラウド側です。今回、デバイス間の通信も通るようになってしまっていたという問題もありました。同じようにドローン間でできると、ドローンを落としてしまうことができるので、例えばクラウドの先にオペレーターがいるのであれば、ドローン－クラウド間は通ります、ドローン相互間は最低限の通信だけ通ります、などときちんと制限を掛けることで、きっちり設定をして守る必要があります。

今回、発見した脅威は以下のものです。

——————————
■ドローンに対する脅威
・遠隔からの攻撃（乗っ取り）
・アップデート機能の悪用
・遠隔制御機能の悪用
・入出力の脆弱性
——————————
■クラウドに対する脅威
・ドローンなりすまし
・入出力脆弱性
——————————

これ以外の問題も様々なドローンを解析すれば、ほかの問題もいろいろ出てくるだろうと考えています。

ここからはサービスの説明になってしまいますが、まず1つ、セキュアな開発プロセスです。皆様のドローンを診断したいという時に、テストの段階でご依頼する方がいらっしゃいますが、その前の実装や設計、ドローンをこういう形で作りたい、ドローンを使ってこういうことをしてみたいという時に、最初にご相談いただければ、「安全にその機能を実現するためにはこういうふうにしたらいいです」「例えば暗号であればこのように使うと安全です」、または「危険です」等々のアドバイスがきちんとできます。

また、後だと手戻りが発生してしまう。これも最初の方であれば手戻りなく、スムーズに開発ができることになります。

三村

そういうことです。また、IoTデバイスセキュリティ診断サービス。こちらは、実物がある時に診断をご依頼いただければという形ですが、イメージとしては、例えば「OEM元で製作された実機が来て、うちでこれを売りたいが、果たしてこれは安全なのだろうか？」とチェックする時、もしくは「いま手元にある製品について他社様から問題が報告されてきた、少し不安だけど自分のところはどうなのだろう、チェックしてもらいたい」という時に、こちらのサービスを使っていただければと考えております。

サービス内容としては、以下の3つがあります。

——————————
①IoTペネトレーションテスト
私も通常時はエンジニアとしてやっていますが、実際にドローンをバラして中のケーブルを出したり、ファームウェアのコードをアセンブラレベルで読んで問題がないかをチェックしたりするものです。

②クラウド診断
先ほどのドローンでは、ドローンの管理基盤がクラウド側にありました。いくらドローンが安全でも、クラウド側、管理側が安全でなければ攻撃されてしまう。ならばクラウド側も守りましょう、というものです。

③スマホアプリ診断
スマホでドローンが操作できるという時に、そのスマホアプリから先ほどの2つについて侵害するような情報がないかどうか。スマホアプリを悪用することで先ほどの2つに対して何か影響が出てしまうと問題ですので、スマホアプリも診断しましょうというものです。
——————————

三村

経済産業省が、中小企業の皆様を対象にIoT機器等に対する脆弱性診断を無料で行う事業を実施しています。日本国内に安心安全なデバイスをどんどん広げていきたいという趣旨で、私どもと同じような複数の診断会社の皆様と経済産業省とでタイアップして、無料で診断をします。

三村

アーカイブ公開

今回のブース内デモンストレーションコンテンツ
「ホワイトハッカーによるサイバー攻撃手法デモ」
の映像はアーカイブ公開もしていますので、以下より是非ご視聴ください。

さいごに

この度は会場へお越しいただき、
また、レポート記事をお読みいただきありがとうございます。

JapanDrone2022の開催レポートは、「Vol.01～Vol.04」を掲載しております。
ぜひご一緒にご覧いただければと思います。

2022年6月21日（火）～23日（木）に日本国内最大のドローン・eVTOL（空飛ぶクルマ）展示会「Japan Drone 2022」が幕張メッセにて開催されました。
GMOインターネットグループはプラチナスポンサーとして協賛し、最大規模で出展しました！

今回は、国際コンファレンス「攻撃者はどこを狙うのか？ドローン・eVTOLに求められるセキュリティ対策～GMOインターネットグループが目指す「安全な空の移動」～」と題し、ドローン・eVTOL産業に携わる3人の専門家パネリストが「空の移動」におけるセキュリティや業界動向、GMOインターネットグループの目指すビジョンについて語りました。

イベント告知：https://developers.gmo.jp/18770/

本記事はこちらのイベントの書き起こしとなりますので、ぜひご覧ください。

登壇者（敬称略）

• DRONE FUND 創業者/代表パートナー
  千葉道場ファンド 創業者・ジェネラルパートナー/慶應義塾大学SFC 特別招聘教授
  千葉功太郎
• GMOグローバルサイン・ホールディングス株式会社 CTO室 室長
  浅野昌和
• GMOサイバーセキュリティ byイエラエ株式会社 執行役員 高度解析部部長
  寺村亮一

国際コンファレンス

「攻撃者はどこを狙うのか？ドローン・eVTOLに求められるセキュリティ対策～GMOインターネットグループが目指す「安全な空の移動」～」

ドローン、 eVTOLの将来像と現在の状況

千葉

まず自己紹介からですが、わたしはドローン大好き人間です。DRONE FUNDというドローンの投資ファンドは、今日もたくさん出展していますが、ドローンに夢を賭けている会社に株式出資をして、取締役としてわたしも入るとか、経営のご支援をしながらドローンの未来を作っていくということを主にやっています。

ほかにも、日本のスタートアップに投資、支援する仕事をしていて、現在約140社、個人も含めて日本中、世界中の会社を支援しています。
わたしはパイロットをやっています。ホンダジェットの国内1号機をオーナーとして所有していて、せっかく飛行機を所有したのならばパイロットになろうと思い、苛酷な訓練を2年半やりまして、昨年パイロットライセンスを取得。現在副機長として、今週の金曜日にも乗務予定です。

皆さんに今日お伝えしたいのは、この会場にはドローンの未来に期待をしている皆さんが集まっていただいているのですが、最終的には人間が空を飛びます。空を飛ぶということに対して一番知見が多いのは航空機産業だと思っています。航空機産業でパイロットが一番安全に対してすごく意識を持っていて、皆さんが気軽に乗っている飛行機は、日々1秒1秒がパイロットをはじめ業界全体の人たちによって守られています。これを学んで皆さんの業界に伝承し、ノウハウを引き継いでドローンやエアモビリティが安全に飛ぶ社会を作っていきたいというのが、わたしが取り組んできていることです。

我々の活動は世界で唯一のドローン・エアモビリティ専業の投資ファンドです。我々のテーマは、ドローン・エアモビリティ前提社会を作るということでして、小さい頃に見たアニメとか映画の世界が21世紀になっても全然実現しないわけです。それに僕は21世紀になった瞬間に絶望して、このままでは自分が生きている間に人間は空を飛べないと思って、人間が空を飛ぶ社会を作りたいと思ったのが自分の根幹です。

実は5年前に、「2023年、六本木ヒルズ屋上から見たドローン前提社会はこうなる」という絵を描きました。来年ですね。皆さんというところのレベル4です。東京都心部の上空でも自律飛行型のドローンが飛ぶ社会というのが来るだろうというのを、5年前に絵を描いて、こういう世界を作っていこうということをやっていますし、あるいは「2025年、墨田区のビルの屋上で離発着するドローンタクシー」という絵、これも今、大阪・関西万博に向けて政府が2025年にドローンタクシーの商業運用を発表しています。

こういったことを5年前に絵を描いて、未来予測を立てて、みんなを巻き込んで、こういう未来を作っていくんだ、日本から発信するんだというようなことをやっています。

最終的には、皆さんの生活の中に普通にドローンが入り込んでくる。例えば小学生の忘れ物を届けてくれるお母さんの代わりにドローンが届けてくれるとか、犬のお散歩をしてくれるとか、歩く女性の日傘の代わりになってくれるとか、こういう日常生活まで来る日が、この絵では2024年と書いたのですが、それぐらいのスピード感でくるといいな、と思っています。

我々は夢がたくさんあるなと、よくGMOインターネットグループの熊谷代表がおっしゃっていますが、「空は最後の産業のフロンティアだ」と。我々の社会はインターネットや、航空機産業やクルマ産業などいろいろな産業で大きくなってきましたが、実は空、特に低中空域は誰も開拓していない、ゴールドラッシュの可能性がある場所だと思っております。そこにリモートセンサー、フィールドロボット、モビリティがあるし、特に日本は課題先進国であると考えていて、いろんなことをネガティブにとらえるのではなく、だからこそドローンを代表するロボットが活躍するには日本は最良の国ではないかと、そういうふうに考えております。日本で勝ち抜いたソリューションというのは世界中に輸出することができるのではないかと考えており、それがこのドローン・エアモビリティの社会実装になっていくのだと。

ということは、今日のこのセッションもそうですが、いわゆるドローンの本体を作るだけの仕事ではなくて、このドローンが安全に飛行するための様々な見えないところに気を使っていかなくてはいけない。ドローンが落ちたら怖いじゃないですか。例えばここに書いてあるのは、我々の投資しているところで言うと“風を読み取るスキャナー”に投資をしています。3Dスキャナーで風のこの空間の中が一体どういうふうに空気が動いているかというのをリアルタイムにデータ化して、例えば東京のビル群の中をどう具体的にどういう向きでどういう風が動いているかというのもスキャンするような仕組みです。こういう仕組みがないと、東京のビルとビルの間を自動飛行のドローンやエアモビリティが安全に運航することは不可能です。

なので、こういう技術もドローンの一部ですし、このあとお話しするセキュリティの技術も当然ハッキングされて盗まれてどこか持っていかれても困るし、墜落させられても困るので、要はやっぱりドローンが安心安全であるというのが、ドローン前提社会では必要なテーマになります。

そのために我々のDRONE FUNDファミリーがいま54社いて、ソフトウェアを作っているチーム、ハードウェアを作っているチーム、あるいはまさに周りの安全運航を支える基礎技術を作っているチーム、様々なチームが一緒になってDRONE FUNDファミリー、合宿もよくやっていますけど、みんなで未来を作る活動をしております。

我々GMOインターネットグループは、昨年2021年から「空の移動革命に向けた官民協議会」に参画し、主にeVTOL（空飛ぶクルマ）の検討を行っております。

ロードマップを今回2つご用意していますが、こちらがドローンの官民協議会（「小型無人機に係る環境整備に向けた官民協議会」）に出されたものです。今年12月に改正航空法が施行されますが、ロードマップ上で黄色で示されているところ、これによって法的には今千葉さんがおっしゃったドローンのレベル4の飛行が可能になります。

レベル4というのは、「人がいる地帯」の上を飛べる、しかも遠隔操縦あるいは自律飛行が可能になるということです。最初は山間部と離島部などで実証実験が始まりますが、ゆくゆくは都市部でもドローンが人のいる上空へ飛んでいくことが実現可能になってくるかと思います。

次に、いわゆる空飛ぶクルマ（eVTOL）については、「空の移動革命に向けた官民協議会」において安全性基準の検討や、あるいは「社会受容性」といって、皆さんに受け容れていただく、皆様が安全で便利な乗りものだということを認識いただくための活動をどう行えばよいかという検討をしております。今年からは、空飛ぶクルマが離発着する離発着場（ポート）の検討にも具体的に入っていく予定です。2025年の大阪・関西万博で、遊覧飛行する予定になっておりますので、大阪・関西万博を節目にして、大きく認知が広がっていくと考えています。

浅野

千葉

ドローンも含めた代表的なメーカー2社ということでご紹介します。

1社目はプロドローンです。
今日ご紹介する2社とも愛知県のスタートアップとなりますが、まさに日本の地域に根ざしたいろいろな技術がある、日本はクルマで産業が大きく育っておりますので、特に愛知であればトヨタ関連の会社とか技術がたくさんあります。日本各地にいろいろな技術があって、その技術をドローンや空飛ぶクルマにいまコンバートしていくチームがたくさん現れている中の、ドローンチームがプロドローンです。
もちろん皆さんがご存知の中型大型のドローンもありますし、サンダーバードドローンというものもありまして、空から飛んでいって海の上に着水して、そこから潜水艦ドローンが出てきてそれが海に潜っていく。それも発表して、実用になっています。

あとはヘリコプタータイプのドローン。ドローンはマルチコプターだけではなくて羽が付いた固定翼型のものもあれば、ヘリコプター型もあれば、さっき言ったとおり水中に潜るドローンもあったりとか、あるいは無人の船の型だったりとか、ドローンは非常に広範囲の定義になってきていると思います。
こういったメーカーが日本でも生まれていると。

2社目が同じく愛知県のSkyDriveです。
カーゴドローンと、人が乗るドローンを両方作っておりまして、2025年の大阪・関西万博に実際にお客様を乗せて運航するという日があと3年です。

いまこのカーゴドローン、大型ドローン、特に人が乗る空飛ぶクルマは世界の競争が激しい分野です。もともと進んでいるのが中国、そしてアメリカ、ドイツといった国で、うれしいことで日本勢はトップ5にちゃんと残っています。まだまだメダルが狙える位置にある。誰もまだ商業化に来ていないということを考えると、商業化できたチームが金メダルだと考えると、日本勢も金メダルのチャンスはあるのでは、という状況です。

ドローンや eVTOLなどを含むIoTセキュリティの現状

ドローンを飛ばすにあたって国土交通省から認定をもらっていないと飛ばしてはいけないという型式認証の話が出てきています。5年ほど前の自動車と同じ状況かなと思っていますが、型式認証の中のひとつにサイバーセキュリティという項目がちゃんと残っています。まだ最終版ではないですが、型式認証をとるためにドローンに要求されているものとして、「きちんと脅威を分析、特定して、その脅威に対して適切な対策をとっていること」という、脅威に関する文言が、抽象的ではありますが残されています。

これは何かというと、自動車の型式認証とほぼ同じなのです。自動車の時は、国際連合の法規で「このような脅威に対抗すること」という項目が決定された上で、日本でも「このようなことをやりなさい」と法律として出ているのですが、おそらくドローンも同じような方向性になると思います。「このような脅威例がある」といった具体的な議論はまだまだですが、今後ドローンをリリースする、型式認証をとる作業を行う上で、きちんとセキュリティの脅威を自分たちで分析し、それに対して自分たちで対策を立てることが必要になってくるのかなと思います。「これをやらないとドローンがリリースできない、市場に出せない」という、自動車と同様な世界がドローンに対しても近付いていると思っています。

自動車も同じ道をたどりましたが、実際に脅威分析をやるとなると、どこまでやればいいのかと。自動車もドローンも、最悪の状況は人が死ぬこと。自動車はもともと安全の世界で、制御は絶対大事。曲がる・止まる・走る、この3つを守らなくてはいけない。ドローンや空飛ぶクルマが制御を奪われるということは人命に直結するので、脅威分析をやらないことが絶対に許されない世界になっていくと思います。

ただ、これをやっていくと、ビジネスで使われる用途ごとにまったく脅威が変わってきます。例えば、人を乗せるドローンと、物を運ぶドローンと、カメラで撮っているドローンで、最終的に何かしら攻撃された時の影響はまったく変わってきます。だから、それぞれ一つ一つに対してカスタマイズした脅威分析をやっていく。自動車の場合は、自動車会社が体力があるので多額の資金をかけてやっていますが、ドローンについてもどこまで要求されるかは分からないですけど、たぶんその世界が近付いてきています。

まず技術面で言うと、攻撃者がドローンに対して「ここは絶対攻撃したい」と思うところはそこまでパターンはないかと思っています。攻撃者としては、一発で大きい影響を与えたいので、リモートからドローンの制御を奪うだけでは全然面白くない。「リモートからドローン制御を奪う、そしてどこかへ飛ばす、落とす」ということを、攻撃者としてはやりたいわけです。

もう1つは、ドローン単体の制御を奪うだけではなくて、ドローンを操作しているクラウド側を奪いたい。そのクラウドに繋がっている他のドローンの制御も全部奪えるとか、クラウド経由でドローンを操作しているオペレータールームの制御を全部奪えるとか、大きく制御をとるところを絶対狙いたいと思います。

3つ目として、ドローンで重要情報を運んでいる場合にその情報を盗みたいというのもあると思います。

寺村

本当にいろいろあって、先ほど国土交通省から脅威分析してくださいよという話がありましたが、これがまず脅威モデリングという形で分類されています。大枠としてはそもそもちゃんと脅威について考えましょうというだけですが。今年3月に経済産業省から出されたガイドラインは良いなと思っています。

寺村

経済産業省管轄のNEDOさんからドローンのセキュリティガイドライン（「無人航空機分野　サイバーセキュリティガイドライン」）が出ています。

浅野

このガイドラインで良いと思っているのが、ドローンの使われ方ごとに「こんな脅威の例がある」という話と、それに対する対策が書いていること。
自分のドローンの使われ方を想定した上で、どのような脅威があるのかを自分なりに考えてみて、それに対して「こういうセキュリティを入れているから防げる」もしくは「この使われ方ではこの攻撃方法はたぶん通用しないので対策しなくていい」ということで取捨選択をできると。ドローンを飛ばすのも大事だけど経営を守るのも大事。全部やっているとお金はいくらあっても足りなくなります。セキュリティをやって経営が傾くと意味がないので、そこはバランスをとらないといけなくて、その考えをまず整理するというところが大事です。

その上で「何のルールに基づいてセキュリティをやるか」を決定して、要件定義から設計実装、そしてテスト、運用、それぞれの方に何の技術を得るのかを決定していく、そういうことが必要になってくるのだろうと思います。

寺村

多くの方は「机上でそんな分析をするって言ってもそれは何なの？」と思われるでしょうし、「それをやる意味はあるのか？」ということをよく言われます。

結局何からやるのが一番良いかというと、現状問題があるかどうかをまず一度確認すること。机上で検討していてもまだ決まっていないことや実装に落ちていないことばかりだったりするので、「実際動いているもので今現在テストしてみましょう」「テストして問題点を洗い出した上でフィードバックさせましょう」という方法です。正式には要求定義からするかもしれないけど、なかなかそれでは現場で入っていけないので、実際の製品にテストをしてダメなところを洗い出して、次の製品もしくは現状の製品に対してフィードバックをかけ、それをもとにしてセキュリティ要件を作る、という形で流していくやり方を、結構やっています。

例えば私たちはIoTペネトレーションテストの中でハードウェア解析を行っています。ドローンが廃棄されたり墜落したりしたとして、悪い人の手に渡ったらどこまでの情報がハードウェアから盗めるかというテストをドローンを分解してしたり、テスターから空を飛ぶドローンに対して通信をどこまでできるのか試してみたりするものです。実際にやってみると、アップデート機構で脆弱性が見つかることが多い。鍵をドローンの中に入れているパターンで、鍵の管理が甘くて、ソフトウェア解析をするとその鍵が簡単に取れてしまいます。ファームウェアをリバースエンジニアリングして、アセンブルといいますが、その中で鍵を取れたらそれが同一ロットのドローンに関してはその鍵が使え回せたとなると、同一ロットのドローンになりすませることが確定します。

ドローンがどういう通信をクラウドに対してやっているかということまでファームウェアから読み取れてしまいます。どこの宛先に対してどこのポートに対してこの鍵を使ってアクセスしたかが全部分かるから、次はそれを模擬していくわけです。

今回、ブースでデモをやっていますが、これもこのファームウェア解析をして見つけた脆弱性をもとに、プロドローンさんにご協力をいただきながら行っているものです。利用しているドローンはホワイトラベルなのでプロドローンさんの直接の製品ではないですけども、実際の解析結果をもとにして攻撃するコードを書いてパソコンから操作すると、クラウド経由でドローンを墜落させられるというデモをやっています。

このような脆弱性が見つかるので、まずはここからやってみるということを対策としておすすめしています。

寺村

私どもは、主に通信の暗号化と、機体の認証を専門にやっています。

特にレベル4になってくると、ドローンと地上のクラウドのシステムを本当に密にやりとりをしながら、機体の状況を常に地上で把握しなければいけない。通信が非常に重要になってきます。

そこに対して通信を盗み見られないような暗号化であるとか、あるいは機体や地上システムが相互に認証し、お互いのことを相手が意図したドローンあるいは地上システムであるということを確認しながら通信を行うというところをお手伝いさせていただいています。

浅野

千葉

すごく平たく言うと、会場の皆さんが業務で使われているドローンは穴だらけの可能性があるという話をしています。

わたしはインターネット業界出身で前職はスマートフォンゲームの開発をしていました。何百万人のお客様に使っていただいていると、サーバーのハッキングが経営の恐怖です。インターネット企業を経営していると、当たり前のようにハッカーからどうこの我々のサーバー、インターネットの資産を守っていくか、お客様のデータを守るか、というのは至上命題です。なので、まさにGMOサイバーセキュリティ byイエラエさんのようなホワイトハッカー集団に頼んで徹底的に攻撃してくれと。自社の例えばゲームサーバーを攻撃して、我々のシステムは盤石だからといって自信を持ってご依頼すると、やすやすと侵入されてしまい、やすやすと入られたのを塞いでいくというようなことを、ゲームやインターネット業界は息をするようにやっています。

でも残念ながら、ドローン業界はハードウェア中心の業界、通信中心の業界なので、あまりハッカーに対してどうこうという概念がない業界です。飛べればいい、あるいはプロペラが止まっても安全に着陸できるようなところに安全性があると、それも正しいです。ハードウェアにトラブルがあった時に何かあっても、人間が死なないためにゆっくり降りてくるとか、あるいはドンと落ちないようにパラシュートを付ければとかありますが、それ以前に一番怖いのは、1万機のドローンが東京の空にレベル4で飛んだ時に、さっきおっしゃっていたように、1万機を根こそぎ奪ってしまったら面白いという考え方、悪意のあるハッカーにすれば、まさに1万機を全部乗っ取ってターゲットポイントに集めて一斉に次々と落としていったら大変な攻撃力を持ってしまうわけです。

こういうことを我々がやろうとしているドローン前提社会は、広げれば広げるほどハッカーの脅威にさらされていく。こういう現実を我々は認識しないと、ここから先はやられ放題になるというセッションです。

GMOインターネットグループが今後取り組んでいくこと

今後の対策として、セキュリティをやっていくというのはなかなか大変です。これはドローンに限らなくて、Webであっても、どこの大企業でも大変です。その中で、やはり国が主導してセキュリティ対策を進める傾向にあると思っています。

国土交通省や経済産業省、NEDOさん等がいろいろと進められていますが、あとは業界やセキュリティベンダー等が、国と一緒に、国だけでなく世界と一緒になって、まずはセキュリティインフラを整備していかないといけないと思います。これがないと安全にドローンを飛ばせない。GMOグローバルサイン等のセキュリティベンダーやドローンを作ってくださっているベンダーさんが一体となって、インフラ整備等の取り組みを今後しっかりとやっていかなくてはならないと考えています。

寺村

先ほど千葉さんもおっしゃいましたが、なかなかセキュリティにまで意識が向かないというのが現状だと思います。今回私どもがブースを出しているのは、本当にそういったところを皆さんも気を付けていかなければいけないということを啓蒙していくため。こういったことを今後も続けていかなければいけないと思っています。

そうした上で、「では何をやったらいいんですか」という話になった時に、GMOサイバーセキュリティ byイエラエであるとか、我々GMOグローバルサインがお手伝いさせていただき、皆さんが不安に思われたところをきちんと埋めていく。こういった作業をしていければと思っております。

浅野

千葉

今日改めて思いましたが、スポンサーの顔ぶれがすごい。わたしはインターネット業界出身なので、これはどこのインターネットイベントなんだろう？と思ってしまいました。

このJapan Droneは歴史ある業界イベントですが、こういったインターネットのトップ企業がプラチナスポンサーをやり、その下にKDDIさん、ソフトバンクさん、NTTドコモさんと通信事業者が冠スポンサーになり、テララボとブルーイノベーション、これらはDRONE FUNDファミリーの大切な仲間なんですが、ドローンを作っているチーム、ソリューションを作っているチームも入っていて、異種格闘技戦みたいな、そういう時代に入ったのかなという感想を今日持ちました。

我々は今まで、ラジコン的なドローンから、飛ぶものを作るぞということでずっとこの業界をスタートしてきましたが、いよいよこの社会実装が1年以内に迫ってきたことによって、まさにこのインターネット業界の培ってきたセキュリティなど様々な技術を実装していかないと安心と安全は守れない、だからこれだけの人たちがドローン業界に興味を持っていただけている、というのがわたしの感想です。

千葉

インターネット業界においてありとあらゆるインフラをやられているど真ん中の会社様が、ドローン業界に興味を持っていただけたこと自体がすごいと思っていて、SSLの通信を暗号化して守るみたいな話とかはインターネットでは当たり前ですが、たぶんGMOさんが本気でこちら側に興味を持っていただかなければ、我々はたぶんドローン業界で実装することがないと思います。

なので、わたしからの期待としては、ぜひインターネットの常識をドローン業界の常識に変えていただければなと思っています。

まさに私どもが目指しているところです。インターネットで培ってきた技術をドローンあるいは空飛ぶクルマに適用していく、広げていくということを、これからやっていかなければいけないんだ、という気持ちを新たにしたところです。

浅野

「期待に応えられるように頑張ります」の一言です。ドローンのセキュリティも大事だということで頑張っていきます。新参者かもしれませんけど。

寺村

千葉

特に、空飛ぶクルマも開発が進んでいまして、ぜひGMOサイバーセキュリティ byイエラエさんにペネトレーションテストを徹底的にやっていただきたい。人が空を飛ぶ時にハッキングされたくないじゃないですか。一番恐ろしいなと思っています。

自動車のペネトレーションテストはたくさんやってきているので、それも踏まえてeVTOLもやれたらと。

寺村

千葉

以前、GMOサイバーセキュリティ byイエラエさんの会社の資料を拝見した時に、車を乗っ取って、遠隔からパソコンで動かすというデモンストレーション動画を拝見したことがあって、背筋が凍りました。わたしが持っている車種で、乗っ取られるというのはこういうことなのかと。

経済産業省さんが本年度事業として、IoT・ドローンも含めたセキュリティリスクの調査をするプロジェクトをやっており、弊社も協力させていただいております。条件はありますが、ドローンを提供いただいたらある程度テストさせていただいて、その結果をフィードバックするという内容になっています。テスト結果は公表しないと思いますが、経済産業省で収集するという調査協力の形でプロジェクトを展開されています。詳細は、興味があればブースの方にお立ち寄りいただければと思います。

寺村

アーカイブ公開

今回の国際カンファレンス
「攻撃者はどこを狙うのか？ドローン・eVTOLに求められるセキュリティ対策 ～GMOインターネットグループが目指す「安全な空の移動」～
の映像はアーカイブ公開もしていますので、以下より是非ご視聴ください。

さいごに

この度は会場へお越しいただき、
また、レポート記事をお読みいただきありがとうございます。

JapanDrone2022の開催レポートは、「Vol.01～Vol.04」を掲載しております。
ぜひご一緒にご覧いただければと思います。