サイバーセキュリティ月間

2016年2月24日(水)

お互いを知ることが安全への近道?

 ソフトバンク株式会社 セキュリティ本部 
 マネージドセキュリティ統括部セキュリティリスクマネジメント部 
 セキュリティコンサルティング課 洲崎 俊

 
 皆さんこんにちは。
 私は洲崎という、とあるセキュリティエンジニアです。
 システムに存在する危険な所、いわゆる「セキュリティホール」を洗い出して、指摘をする脆弱性診断という仕事に従事しています。
 現在は企業内のセキュリティエンジニアとして脆弱性を見つけるだけではなく、適切に修正されるように担当の開発者やシステム運用者をフォローしています。
 
 その役割を通じて感じたこととしては「脆弱性を発見することは結構大変、だけどちゃんと直してもらうことはもっと大変」ということです。
 もちろんこちらが指摘した内容について素晴らしいスピードで修正してくれる場合もありますが、修正完了までに時間がかかったり、色々苦労したケースもたくさん経験しました。
 
 指摘した脆弱性の修正がなかなか完了しない一つの原因としては、開発者に問題の本質が正確に伝わってないことだったりします。その結果、いつまでたっても正しく修正されずに、何度も何度も同じやり取りが繰り返されるなんてこともあったりしました。
 そのため、どうやったら相手に分かり易く問題点を伝えられるのか今でも日々あれこれ工夫したりしています。
 ちょっとしたことですが、伝わってないなあと感じた場合などには、メールで終わらせず、会話することなども重要ですね。
 
 上記以外には、「指摘した脆弱性については理解したが、諸事情ですぐに対策することが難しい」というケースにもよく遭遇します。
 よくある理由としては「アップデートしたらアプリが動かなくなる」とか「改修にかけるお金や時間がない」などです。
 「いいから対策してよ」とただ相手に押し付けることは簡単ですが、こういった状況を前にすすめるためには、解決への道を担当者の方と一緒になって模索することが重要ではないでしょうか。
 例えば、私たちはあまり負担をかけずに実施できるような暫定対策案を提案したり、着手すべき問題点の優先順位などを提示してみたり、少しでもリスクを減らす方向へ進むために何ができるのか、一緒になって考えるようにしています。
 また、逆に本当に危険なものがあった場合には、諸事情を理解した上でも、早急に修正の必要がある旨を、私たちが上層部などに訴求していかなければならないかなとも思っております。
 
 こういった経験を通じて私は、この仕事はシステムを相手にしているようで、最終的に相手にしているものはシステムの先にいる「人」なんだなと強く感じました。
 当然ですが相手の気持ちが分からないと、解決したい問題がなかなか前に進みません。
 
 こういった経緯から、相手の気持ちを理解したかったということもあり、最近はコミュニティ活動などを通して、多くの開発者、運用者の方々と交流する機会をいただいております。
 
 交流を通じて知り合った、第一線で活躍されている開発者、運用者の方からは、自分が1人では考えつかなかった問題の解決策のヒントやアイデアなどをいただけたりするので、大変感謝しています。
 
 もし「情報セキュリティって難しい」と今まであまり関わることがなかった開発者、システム運用者の方々がいらっしゃったら、是非一度セキュリティ系のイベントやコミュニティに参加してみてはいかがでしょうか?ちょっとでも興味を持っていただくきっかけになると思いますし、素敵な出会いも待っているかもしれません!
 
 ちょっとした宣伝となりますが、私は#ssmjpというIT勉強会の運営もしております。セキュリティネタを題材にすることもありますので、もしよろしければ是非一度遊びにきてください。
 
 分野や担当を超えて、お互いを理解しあうことが、安全なサービス提供につながる近道なのではないのかなと思う今日この頃です。
 
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。

2016年2月24日(水)

ドローンのセキュリティ(安全性)

ドローン・ジャパン株式会社 CEO、セキュアドローン協議会 会長
春原 久徳

    
 通常セキュリティというとデジタル関連のハッキングやデータ改ざん、ウィルスといったものが想定されますが、ドローンの世界では、そういった観点もIoT的な利用が増えるにつれ、重要な要素になってきていますが、それ以前の、落下による対人対物に対する危害といった観点の安全性というものをどうするのかというのが必要になります。
 
<ドローンの飛行ルール>
 2015年4月の首相官邸への落下から注目を浴びたドローンではありますが、その事件を契機に諸外国に比べて遅れていたドローンの飛行ルールに関する法律-航空法改正の動きが進み、2015年12月10日に改正航空法が施行されました。その内容は以下の通りとなっています。
 
 無人機の定義「人が乗ることができず、遠隔操作や自動操縦で飛行させることができる」もの(対象外の超軽量:重量が200g未満)
1.日出から日没まで
2.有視界
3.人または物件と距離を持つ(30m以上)
4.多数の者が集合する場所での飛行禁止
5.揮発物、爆発物等の輸送禁止
6.物件の投下禁止

 
 以下、飛行禁止区域
1.一定の高度以上の空域(150m以上)
2.空港周辺等の航空機の航空の安全に影響を及ぼす空域
3.人や家屋が密集している地域の上空(添付図3)
 (別途、国が定める国の重要な施設等および外国公館等の周辺地域の上空)
 違反者には50万円以下の罰金となっています。

 
 法律の内容自体は、先行する諸外国のものに比べ、対象外の超軽量が200g未満という部分を除けば、ほぼ同様の内容で、穏当なものであると思います。
 
 禁止されている飛行の方法および空域を飛行させる場合には、許可・承認が必要になっています。
 申請方法に関しては、飛行開始予定日の 10開庁日前までに申請書を 飛行場周辺に関する進入表面等の上空の空域又は地表若しくは水面から 150m 以上の高さの空域に係る飛行の許可申請は、当該飛行を行おうとする場所を 管轄区域とする空港事務所長にそれ以外は 国土交通省(本省運航安全課)に提出する必要があります。
 基本的には、飛行させる場所ごとに申請する必要があります。
 申請の際の許可・承認の基準は以下になっています。
  •  許可等の審査においては、①機体の機能及び性能②無人航空機を飛行させる者の飛行経歴・知識・技能③安全を確保するための体制の3つの観点から、『基本的な基準』と『飛行形態に応じた追加基準』を定め、それらへの適合性について判断する。
  •  原則として、第三者の上空で無人航空機を飛行させないことを求めることとし、人又は家屋の密集している地域の上空や催し場所の上空において飛行させる場合であっても、第三者の上空で無人航空機を飛行させないことを求める。

 
 安全性という観点からドローンを考えた場合、今回の改正航空法は、飛行ルールが定められたこと、また、その飛行に関する安全性を高めるに際して、どんなことに留意したらいいのかということを促している点からも、非常に有効なものであると考えます。
 
 業務の中で、ドローンを活用する際には、飛行マニュアル等の明文化された形で、飛行の安全性を確保するための体制作りを行うことが必要であり、企業のコンプライアンスからも必須事項となっています。
 
<ドローンの安全対策>
 ドローンにはどうしても空中から落下するというリスクがあります。
 そのための対策としては、人や物の上を飛行しないというのがベストではありますが、それでもどうしても人や物の上空を飛ぶ必要や、また、トラブルで思いもよらぬ方に飛行してしまうことがあります。
 そういった際の落下対策においての研究もされ始めています。
 マルチコプターにおいては、通常はクアッドと呼ばれる4個のプロペラを持ったものが多いですが、このモデルは1個のプロペラが何らかのトラブルで停止した場合にすぐに落下につながります。そのため、業務用では6個や8個のプロペラを持ったものを使う場合もあります。(落下防止という観点だけでなく、ペイロード<搭載重量>の観点も関係はしますが)この6個や8個のプロペラのものの場合は、螺旋を描きながらの落下となり、操縦で誘導をかけることで安全な場所まで回避させることが出来ます。

 また、落下という観点からは、パラシュートを装着するというソリューションも出てきています。
 これからもこういった形で様々な安全対策が施されていくことでしょう。

  

 
<ドローンのセキュリティ>
 様々な業務分野でドローンの活用が広がっていますが、その中でドローンのIoT的な使い方も広がってきています。
 その拡大に連れて、冒頭に書いた今までPCや電子デバイスで起こってきたハッキングやデータ改ざん、ウィルスといったものの脅威が出てきています。
 現状、ドローンをめぐるシステムの中では、そういった対策がほとんど為されておらず、その脆弱性が今後問題になってくることが予想されます。
 それはIoT全般にいえる脅威ということもあり、昨年ぐらいからIoTでの対策ソリューションが出てきています。そういった動きが2016年にはドローンでも活発化してくるでしょう。そのためにも、各ドローンのハードウェアには、そういった対策を織り込むことが出来るようなフレームワークの形成が必要になってきます。
 そういったフレームワークやルールといったものは、この2016年におけるドローン業界としてのテーマになってくるものと思われます。
 セキュリティソリューションベンダーにとって、注目すべき領域といえるでしょう。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。







 

 

  

 
NISC SNS一覧 
セキュリティ情報
Twitter
 活動情報
Twitter
Facebook

LINE
※ SNS運用ポリシーはこちら

 

 
NISCサイバーセキュリティ意識啓発動画ポータルへ 
ご注意 上記リンクをクリックすると別サイトに移動します。