一般社団法人セキュアドローン協議会（東京都港区、会長：春原 久徳 以下 SDC）は、ドローンの業務活用におけるセキュリティ技術実装のための実証開発に取り組んでいる。その実証開発について、2019年3月に開催されたJapan Drone 2019のワークショップで発表した。

SDCは、2015年の6月に設立した団体。IT企業が中心になってドローンの産業活用をどのように進めるかを考えるため設立された。当初からドローンのセキュリティを考えることを目的にしており、ドローンのセキュリティ課題を検討するため、北海道などで農薬散布といった単純な用途でなく、農地の生育情報の収集、収穫予測などのための農業リモートセンシングや、ヒグマなどの自然動物の探索なども行ってきた。

乗っ取りのリスクが高いドローン

現実にドローンの産業用の利用は徐々に立ち上がっている。一方で、ドローンのセキュリティをソリューションとしている企業や団体はほとんどないと春原氏は指摘する。

春原氏は「例えば、ドローンは簡単に乗っ取れる。正規のコントローラから乗っ取り用のコントローラにスイッチすると乗っ取り用のコントローラに主導権は移ってしまうためだ。ドローン本体とコントローラの通信には基本的にWi-Fiが使われているため、SSID とパスワードだけで接続されている。ドローン利用にあたっては、工場出荷時のSSID、パスワードが利用されているケースが多く見受けられる。これはWi-Fi ルーターやWeb カメラ、監視カメラで課題となっているケースと同様に、セキュリティリスクが高い。さらに、ドローン本体とPC やスマートデバイス間の通信には暗号強度の低い技術が使用されているため、セッションハイジャック（乗っ取り）の危険性がある。産業用途の利用が増えていくことを考えると、ここは懸念されるところである」と語る。

例えば、今飛んでいるドローンを見て、それが正しい人が正しいドローンを飛ばしているかなどは判断できないであろう。春原氏によると、「今までは、善意のユーザーが多かったが、産業用途が増えてくることで悪意のユーザーが増えることも想定されている。飛行しているドローンが乗っ取られたものである可能性は否定できない」。こうした理由から、東京オリンピック・パラリンピックの会期中はドローン飛行が全面的に禁止される見込である。

今後、ドローンの都市部での産業活用が考えられるが、実はリスクは大きい。「ドローン、操縦者　管理者の認証も重要であり、サービスを提供する側だけでなく依頼する側も、セキュリティの想定もしておかなければならないであろう」と春原氏はコメントした。

さらに、操縦者とドローン本体が正しいとしても、ソフトウエアのバグや脆弱性によるリスクもある。ドローンは無線で動くので電波の妨害も考えなければならない。情報を収集するので、データを掠め取られる危険性もある。すなわちセキュリティリスクは山済みである。防御対象も、フライトコントローラー、インテリジェントなコンピュータ、ペイロードユニット、グランドコンピュータ、クラウドなどがコアシステムとしてある。

「ドローンを飛ばすことは手段だ。重要なのはそのデータで、例えば山間部などで墜落した場合、データが保全できるのか？現状のストレージはSDカードが主流であるが、誰かがドローンを拾ったらそのデータを取得できることには問題がある」と春原氏は指摘を続ける。

セキュアガイドの利用促進とセキュリティリスク回避の実証をアピール

ドローンの産業利用には、以上のように多くのトラブルリスクがありながら、対策はほとんどされていない。「施設の点検や物流、災害時の調査でドローンの産業用途は立ち上がっているが、安全に利用するために、データをどうするか、安全の通信をどうするか。操縦やデータの保護などを強化しなければならない」（春原氏）。

SDCでは、ドローンのセキュリティを強化するために、セキュリティガイドを発表している。ドローンに携わる人や企業には一読を願いたいというスタンスである（参考記事：ドローンをあらゆる角度からセキュアに、「ドローンセキュリティガイド」の意義）。

SDCは、ガイドラインの提供だけでなく、実際にセキュリティ技術を実装したサービス提案も行っている。その一環として今回の実証開発の成果を発表した。

セキュリティガイドでは、ドローンの利用時に、「操縦者・管理者（人）の認証」に加えて、「ドローン本体との認証には、電子証明書などを利用したセキュアな認証技術の実装が必要」だと説明する。そこでSDCは、ドローン本体とPC の間の認証をSSID とパスワードだけでなく、電子証明書による認証を実装することによって行い、正しい電子証明書を所持するPC のみがドローンに接続できる技術を実証した。この技術により、正しい人が正しいPCから操作していることがわかる。また電子証明書によってクライアント認証を行うことで、アクセス制御も可能になる。

実際にこういった技術を実装したチップをドローンに搭載できれば、機体の認証と操作する人の1対1の認証ができる、しかも、電子証明書で認証を強化することで、ID、パスワードのように「漏れてしまったらドローンが乗っ取られてしまう」ということはなくなる。春原氏は「現在は、フライトコントローラーを乗っ取られれば操縦が可能であるが、すくなくとも今回の実証開発でこうした事態は防ぐことができた」と説明する。

本実証開発にあたっては、セキュアIoTプラットフォーム協議会が策定したIC チップやデバイス層に求められるセキュリティ機能や仕様に基づき、実装を検討し開発したものを活用した。

このように「セキュリティリスクを分析して、セキュリティで思いつくところに対策を実装していくことが必要である。今後は、サービスを依頼する側からセキュリティについての確認がされるようになるはずである。現在ほとんどのサービスベンダーはセキュリティについての取り組みが遅れていることを考えると、むしろ、こういったセキュリティを提案できるところはビジネスチャンスになるだろう」と春原氏は提言した。

春原氏は、「今後も、SDCとセキュアIoTプラットフォーム協議会との連携・協力により、ドローンやロボティクスなどの分野において、安全な産業利用法を確立するため共同で実証実験を実施していく予定だ」と講演を締めくくった。