2022年3月31日、新エネルギー・産業技術総合開発機構(以下、NEDO)と経済産業省は、ドローンなど無人航空機システムの情報漏えい対策が求められていることを受けて「無人航空機分野サイバーセキュリティガイドライン」を策定し、同日公表した。
ガイドラインでは、設備点検や警備、災害対応など無人航空機システムが活用される用途と扱われる情報などの特性を踏まえ、リスク分析を実施し、情報セキュリティ上の対策をまとめている。機体メーカーやサービス事業者からユースケースごとの情報資産やセキュリティ要件などをヒアリングして内容に反映することで、実際のビジネスシーンに即したガイドラインとなっている。
機体メーカーやサービス事業者が同ガイドラインに沿ったセキュリティ要件に基づき対策を行うことで、利用目的に応じたセキュリティ基準に適合していることを示すことができる。
測量や物流、設備点検、警備、災害時の被災状況調査など無人航空機システムの活用分野が広がる中、記録映像やフライトログなどの情報漏えいリスクも増大している。
こうした背景から、NEDOは「ロボット・ドローンが活躍する省エネルギー社会の実現プロジェクト」の一環として、無人航空機に求められるセキュリティ対策の研究開発に取り組んできた。
なお、ガイドラインは「ロボット・ドローンが活躍する省エネルギー社会の実現プロジェクト」のウェブページよりダウンロードできる。
▼ロボット・ドローンが活躍する省エネルギー社会の実現プロジェクト
https://www.nedo.go.jp/activities/ZZJP2_100080.html
「無人航空機分野サイバーセキュリティガイドライン」の概要
1. 対象範囲
ガイドラインでは無人航空機システムの利用目的に応じて、一般利用をセキュリティクラス1、測量や物流、設備点検など通常の産業利用が想定される分野をセキュリティクラス2、警備や災害対応など人命や安全に影響する分野をセキュリティクラス3、軍事・国防領域をセキュリティクラス4の4段階に分類。このうち、今後の活用・利用拡大が期待されるセキュリティクラス2と3を同ガイドラインの対象としている。
2. リスク分析プロセス
サイバーセキュリティのリスク分析に用いるため、無人航空機システムの汎用的なシステムモデル(図1)を定義し、構成する要素(ドローン本体、地上制御局、ドローン運用クラウド、サービス運用クラウド)におけるデータ通信のフローを明確化した。ユースケースから守るべき情報を抽出し、想定される脅威やリスクの分析、重要度評価など必要な一連のプロセスを提示した。
3. セキュリティ要件
リスク分析結果をもとに国内外のIoT製品に関する基準やガイドラインを参照し、無人航空機システムで必要とされるセキュリティ要件を検討した。
セキュリティ要件については有識者委員会や関連業界などとの意見交換を踏まえ、対応すべき最低限の要件を「Mandatory」として分類。海外のガイドラインを参考に補助要件を「Optional」と分類し、海外との連続性に配慮している(図2)。