経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31)

こんにちは、丸山満彦です。

経済産業省が、無人航空機を対象としたサイバーセキュリティガイドラインを策定したと発表していましたね。。。見逃していました(^^;;

策定の目的ですが、、、

---

測量や物流、設備点検、警備、災害時の被災状況調査など無人航空機システムの活用分野が広がる中、これらの用途で扱われる記録映像やフライトログなどの情報が漏えいするリスクも増大しています。

---

ということもあり、今回のガイドラインは、

記録映像、フライトログの漏洩リスク

を中心に考えているんですかね。。。ガイドラインの中で対象とするセキュリティについてより正確に定義しています、、、

---

本書が対象とする非耐空性のセキュリティ（Non-Airworthiness Security）の定義

本書において対象範囲とする、無人航空機の耐空性に影響しないセキュリティ領域を非耐空性のセキュリティ（Non-Airworthiness Security）と定義する。

• What：無人航空機システムにおいて実装されるソフトウェアや、取り扱われるデータが
• When：「企画」、「設計・製造」、「評価」、「運用」、「廃棄」に至るまで
• Where：電子情報及び、電子通信における経路上において
• Who：第三者や外部、あるいは内部から
• Why：意図的または随意的な
• How：攻撃を受けた場合や過失により
• Event：経済的損失、社会的信用の失墜、法制度への抵触、プライバシ侵害、セキュリティ機能の低下につながる

---

 

まずは、非耐空性のセキュリティ（Non-Airworthiness Security）のうち、情報システムの脅威を対象としているということですね。。。

 

---

図 1-1 DO-356A が定義する耐空性に関するセキュリティの範囲6と、本書の対象スコープ

---

で、さらに構成要素で見ると。。。

---

 図 2-1 無人航空機の汎用的なシステムモデル

---

となるようです。。。

PDFファイル314ページにも及ぶ大作ですから、全体像の理解が重要ですので、、、全体像の理解から、、、

第２章：無人航空機のシステムモデルイメージを定義し、システムモデル上のデータフローから取り扱われるデータを明確化する。
第３章：無人航空機分野として考慮すべきセキュリティ対策事項を導出する。
第４章：第２章の無人航空機のシステムモデルに対するリスク分析プロセスや、実施例を示す。
第５章：第３章の調査結果及び、第４章のリスク分析結果を踏まえ、無人航空機システムの構成要素別にセキュリティ要件を示す。また、ステークホルダー別に組織の活動に関するセキュリティ要件を示す。
Appendix_A ：第５章のセキュリティ要件について、国内外の主要なガイドラインとの対応関係を示す。
Appendix_B ：第４章のリスク分析プロセスの参考として、リスクレベルの検討例を示す。
Appendix_C ：用語に関する用語集を示す。
Appendix_D ：参考、参照した規格、ガイドライン文書を示す。

 

---

図 1-2 本書の構成と、各章の関係性の整理

---

 

セキュリティ要件は、IPAが発行した「制御システムのセキュリティリスク分析ガイド第2版」の事業被害レベルの判断基準を参考にした4段階に応じて設定しているようですね。。。

4段階の分け方は、利用目的に応じて、

• セキュリティクラス1：一般利用
• セキュリティクラス2： 測量や物流、設備点検など通常の産業利用が想定される分野
• セキュリティクラス3： 警備や災害対応など人命や安全に影響する分野
• セキュリティクラス4： 軍事・国防領域

として、このうち、セキュリティクラス2、3を対象としていますね。。。

 

---

---

 

 

● 経済産業省

・2022.03.31 無人航空機を対象としたサイバーセキュリティガイドラインを策定

・[PDF] 無人航空機_サイバーセキュリティガイドライン_Ver1.0

 

---

■ 参考

日本

● 一般社団法人セキュアドローン協議会

・2021.05.20 セキュアドローン協議会、『ドローンセキュリティガイド 第2版』公開

・ドローンセキュリティガイド

・ドローンセキュリティガイド第2版 ダウンロードフォーム

 

● 公立大学法人会津大学

・2019.05.22 サービスロボット・セキュリティガイドライン

・[PDF] サービスロボットセキュリティガイドラインVer1.0