乗っ取りや墜落だけではない「ドローン」のサイバーセキュリティリスク、データや防衛技術が狙われる懸念も

　ドローンが社会的に広く認知されたきっかけは、2015年春に首相官邸で起こったドローン墜落事件と言っていいだろう。

　さらに、当時の首相・安倍晋三氏が「3年以内にドローンを使った荷物配送を可能とする」と宣言したことから、同年12月には航空法が改正され、ドローンについてさまざまなルールが法的に明確になった。

　これにより、ドローンの活用は、空撮好きなプロスーマーを中心とした娯楽利用から業務利用にシフトしたと言える。また、2022年12月の改正航空法の施行により、人がいるエリアでの目視外飛行のルール「レベル4」も定められ、さらに業務活用の幅が広がっていった。

■産業活用の拡大で増大するサイバーリスク

　現在、ドローンの業務活用は大きく3つに分けられる。1つ目が、空撮だ。これは観光地の集客用動画をはじめ、テレビドラマやバラエティー、映画などで皆さんも触れる機会が多いだろう。

　2つ目は、作業代替。物流搬送、農薬散布、液剤吹き付け、消火などの用途がこれに当てはまる。

　そして3つ目が、情報収集。ドローンの業務活用というと前述の作業代替が一般的には目立つが、実は活用の多くが情報収集である。デジタルカメラやその他のセンサーでデジタルデータを空中で収集する作業となり、測量、点検、リモートセンシングなど多くの用途で使われている。とくに最近では、土木DXや点検DXなど、DXにおけるデータ収集に使われるケースも多くなってきている。

　しかし一方で、こうした産業活用の広がりにより、サイバーセキュリティのリスクも増大している。

　ドローンのリスク管理は、「セーフティ」と「セキュリティ」という両面が重要になる。両者は不可分な領域もあるが、基本的には、墜落、衝突、紛失など、物理的な損害が発生しうる事故に対する備えを「セーフティ」に関わる事項と捉える。

　ただし、事故要因は「自然災害や部品破損等、偶発的要因」と「第三者の悪意による意図的要因」が考えられ、前者がセーフティ、後者がセキュリティで取り扱う範囲と言える。

　セキュリティの範囲としては、例えば、悪意ある第三者の攻撃を避けるには、ほかのIT機器と同様に、データ関連の情報セキュリティ対策が必要だ。中でも機体情報(航行データや機体状態データなど)やペイロード(カメラやセンサーなど)の情報が狙われると、機密の搬送物の配送情報や重要な施設のメンテナンス情報の漏洩といった被害が想定される。

　これに関しては政府もドローンのセキュリティガイドラインを出して注意喚起を行っているが、よりリスクが高いのは「耐空性のセキュリティ」である。いわゆる機体の乗っ取りや墜落などを引き起こすものとなり、企業にとってはより被害が大きい。

■ポイントは「機体制御・機体管理・情報処理」

　ドローンのセキュリティ対策は、下記の4つを対象に行うことになる。

1:フライトコントローラ
機体制御の心臓部。ドローンに搭載され、自律制御、姿勢制御、自動操縦を行っている。
2:コンパニオンコンピュータ
高度な自律制御ペイロードなどを制御するコンピュータ。ドローンに搭載され、衝突回避などの高度な自律制御や各種センサー・映像データの収集、記録、所定の位置でモノを投下するための制御等を行っている。

3:グランドコンピュータ
地上側のコンピュータ。ドローンから機体位置や機体情報(バッテリー残量等)を取得し、遠隔からコマンドを送る役割をしている。
4:クラウド
現在、ドローン用のLTEやスターリンクの活用が始まっており、クラウドでは、ドローンに取り付けた各種センサーのデータの蓄積・解析、飛行ルート設定用の空域情報や気象情報の提供などが行われている。これはインターネットを使う形にもなっており、よりセキュリティ対策が必要となっている部分だ。

　では、具体的に誰がセキュリティ対策を担うのか。まずフライトコントローラやコンパニオンコンピュータなどの機体本体に関わるところが攻撃されると、ハッキング、乗っ取り、故意の墜落などにつながる。こうした機体制御の領域は、主に機体メーカーが主体となって対策を行うものだ。

　当然、機体管理も重要となる。例えば、プロポ(操縦用コントローラ)やタブレット、スマホ、PC、クラウドなどの管理領域が攻撃されると、遠隔からの妨害などが起きうる。ここは機体メーカーだけでなく、アプリケーションの提供などを行っているドローンサービス企業でも対策が必要だ。

　こうした機体の制御や管理における具体的な対策としては、PCやスマホと同じで、機体認証や人認証が重要となる。また、認証が突破されることも想定し、モーターの緊急停止などの重大なインシデントを引き起こすアクションについては、多重化対策も必要だ。

　そして今、とくに懸念されるのが、PCやクラウドにおける情報処理の領域。ここが攻撃されると、ドローン搭載のカメラやセンサーのデータの不正利用、データの盗難などに遭う。

　例えば、点検分野においては各重要インフラのメンテナンス情報、土木分野においては新規着工工事の測量データなどの機密情報の漏洩が考えられる。さらに、情報漏洩に伴う直接的な被害だけでなく、信用失墜やその報道による企業価値の毀損につながるだろう。

　また、ドローン搭載のカメラに写り込んでしまった映像や画像データの個人情報が、悪意ある第三者に渡ることによるさまざまな被害も想定され、機体メーカーはもちろん、ドローンサービス企業やエンドユーザー企業に至るまで対策が求められる。

　これまで日本において、ドローン関連のセキュリティインシデントは多く発生していないのだが、それは対策がきちんとできているというよりも、現在までのドローンの使用は実証実験が多く、実用化しているケースが少なかったことにもよるだろう。

　悪意ある第三者は、主に「愉快犯的な要素」「特定の企業や人に対する怨恨的な要素」「金銭的な要素」、もしくはその混合が動機となって犯罪に至る。今後ドローンの実用化が進んでいった場合には、動機を誘発する機会が増え、犯罪が増加していく可能性があるだろう。

　また現状、ドローンのセキュリティに関してはまだ脆弱性が高く、狙われやすい状況にもある。実際、海外ではドローンのライトショーにおいてさまざまな妨害行為が起こってきており、ドローンの産業活用が進む日本も対岸の火事ではない。

■実際に対策ができている企業はわずか5.9％

　ドローンのセキュリティ対策が進んでいないのは、筆者が代表を務めるセキュアドローン協議会が昨年末に実施した「ドローンの業務活用におけるセキュリティ対策の意識調査」にも表れている。

　同調査では、機体メーカー・機体関連機器メーカー、ドローンサービス提供事業者、ドローン活用ユーザー企業の136人から回答を得た。ドローンのセキュリティ対策は必要だと思うかの設問についての回答は、「とても必要だと思う:58.1％」「必要だと思う:39.7％」と大半の回答者が、ドローンのセキュリティ対策の必要性を認識している。

　とくに心配な点については、「電波障害・GPS障害:73.5％」「墜落:73.5％」「ドローンで取得した情報漏えい(各種ログや映像・画像データ等):69.9％」「悪意ある第三者によるハッキング・乗っ取り:65.4％」「悪意ある第三者による脆弱性の悪用:45.6％」が上位を占めた(複数回答)。

　ところが、ドローンのセキュリティ対策の実施については、「対策している:5.9％」「将来的な対策を検討している:16.2％」となり、対策の必要性の認識と実際の対策には大きなギャップがある結果となった。

　対策の実施については予算上の課題もあると見受けられ、経営層を含めたドローンのセキュリティ対策の重要性についての意識向上が必要ではないかと思われる。

　また、ウクライナ戦争以降、ドローンは戦いの中でも重要な役割を担い始めており、各国ではドローンの開発や製造が本格化している。

　日本もウクライナ戦争以前は他国と同様にあまりドローンを重要視していなかったが、現状では防衛省もドローン向けに予算計上している。とくに日本は海に囲まれていることもあり、より航行範囲が広い固定翼機やVTOL(垂直離着陸機)のほか、水上ドローンや水中ドローンなどの開発や装備に力を入れている。

　ドローン産業全体においても、防衛に寄与する中での研究開発が強くなってきているが、防衛関係のドローンは攻撃されるリスクも高い。

　例えば昨今、カウンタードローンやアンチドローンの技術が向上している。これらの技術は、通常は不審なドローンに対して排除や攻撃などを行うものであるが、この技術が悪意ある第三者に渡ることで正常なドローンへの攻撃に利用されてしまい、セキュリティリスクにつながっていく懸念がある。そのため、より現実に即したセキュリティ対策が求められており、実際に高度化している。

　このようにドローンは今、さまざまな分野での本格活用を目前に控える中、大きなリスクも抱えており、厳重なセキュリティ対策が必須になってきている。